Nowy rok – nowe obszary kontroli.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
- zgodnie z planem kontroli zatwierdzonym przez Prezesa UODO lub
- na podstawie informacji uzyskanych przez Prezesa UODO, lub
- w ramach monitorowania przestrzegania stosowania RODO,
- jeżeli w toku postępowania w sprawie naruszenia przepisów o ochronie danych osobowych zajdzie konieczność uzupełnienia dowodów.
Plan kontroli na 2019 r. obejmował znacznie szerszy zakres niż tegoroczny, mianowicie: 6 obszarów w sektorze publicznym, 3 obszary w sektorze prywatnym, 4 obszary w sektorze organów ścigania i sądów oraz 3 obszary w sektorze zdrowia, zatrudnienia i szkolnictwa.
Obecny plan kontroli ma znacznie skromniejszy zasięg.
Co tym razem znajdzie się na celowniku UODO?
-
System Informacyjny Schengen i Wizowy System Informacyjny – konsulaty i fiskus
Po pierwsze, organ nadzorczy skontroluje organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym tj. konsulaty i organy administracji skarbowej, w zakresie przetwarzania danych bezpośrednio w tych systemach lub poprzez Krajowy System Informatyczny.
Pamiętajmy jednak, że oprócz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych w polskim porządku prawnym obowiązuje również ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Trzeba zatem rozważyć, czy w kontekście przetwarzania danych w SIS II oraz VIS w jakimś zakresie nie znajdzie zastosowania druga ze wskazanych ustaw.
-
Kopie/skany dokumentów tożsamości w bankach
Drugim obszarem kontroli będzie przetwarzanie danych przez banki w związku ze sporządzaniem kopii bądź skanów dokumentów tożsamości klientów – co jest w ostatnim czasie dość medialnym zagadnieniem.
Na to, że banki nie zawsze mogą kserować dowód osobisty, UODO zwracał już uwagę w stanowisku wydanym we wrześniu 2019 r. Organ nadzorczy podkreślił, że podstawą do kserowania dowodu przez banki mogą być jedynie sytuacje wskazane w ustawie z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, przy czym jest to możliwość, a nie obowiązek banku.
-
Zdalny odczyt wodomierzy
Trzecią grupą podmiotów podlegających, zgodnie z planem, kontroli będą podmioty korzystające z systemu zdalnego odczytu wodomierzy (tzw. inteligentne liczniki). Choć zdalny odczyt wodomierzy niesie szereg korzyści zarówno dostawcom, jak i odbiorcom produktu, to nie można zapominać, że znacznie częstsze niż dotychczas odczyty danych o zużyciu mogą prowadzić do gromadzenia danych osobowych przez podmioty mające dostęp do takich odczytów. W jaki sposób? Przede wszystkim gdy odczyt odbywa się bezpośrednio, podmiot go wykonujący uzyskuje informację, że ktoś w danym momencie znajduje się w mieszkaniu. Poza tym na podstawie godzin korzystania z wody można pozyskać informacje o zwyczajach domownika (np. o której godzinie korzysta z prysznica rano, o której wieczorem), a nawet o liczbie osób przebywających w lokalu (np. na podstawie wielkości dobowego zużycia wody). W przypadku jednoosobowego gospodarstwa domowego informacje na temat osoby fizycznej będą jeszcze bardziej precyzyjne.
Wnioski z przedstawionego planu kontroli
Warto zaznaczyć, że motywem zaplanowania kontroli były coraz częściej pojawiające się zagrożenia naruszenia przepisów o ochronie danych osobowych we wskazanych wyżej sektorach, a także duże społeczne zainteresowanie tego typu problemami. Jaki możemy z tego wysnuć wniosek? Jest on bardzo prosty – społeczne zainteresowanie kwestią ochrony danych w danym obszarze może rychło skutkować przeprowadzeniem kontroli przez Prezesa UODO u podmiotów, które przetwarzają dane w sektorze budzącym takie zaciekawienie. Zatem szum medialny wokół konkretnego zagadnienia związanego z ochroną danych to dla podmiotów, których ono dotyczy, ostatni dzwonek, by zadbać o zgodność z przepisami. Warto przypomnieć, że szerokie rozpowszechnienie informacji o naruszeniu ochrony danych, do którego doszło w Szkole Głównej Gospodarstwa Wiejskiego, skutkowało bardzo szybkim podjęciem przez UODO stosowanych działań.