Kontrola stosowania przepisów RODO u pracodawcy – praktyczne wskazówki
Kontrola przestrzegania przepisów o ochronie danych osobowych jest w Polsce prowadzona przez Prezesa Urzędu Ochrony Danych Osobowych (UODO). Podczas takiej kontroli upoważnieni przez Prezesa UODO kontrolujący mogą weryfikować m.in. zakres przetwarzanych danych w stosunku do celu ich przetwarzania, a także sposoby zabezpieczania danych. Kontrole te są prowadzone zarówno na podstawie zatwierdzonego przez Prezesa UODO planu kontroli, jak również mogą być wynikiem wpływających do urzędu skarg lub innych pozyskanych przez Prezesa UODO informacji o nieprawidłowościach w procesie przetwarzania danych.
Grupą szczególnie narażoną na kontrole przestrzegania przepisów o ochronie danych osobowych są pracodawcy. Przetwarzają oni bardzo dużo danych osobowych nie tylko pracowników, ale również ich rodzin. Przetwarzanie danych przez pracodawców zaczyna się już na etapie rekrutacji oraz zatrudniania pracownika i ma miejsce przez cały okres zatrudnienia. Przetwarzanie danych trwa nawet po zakończeniu stosunku pracy. To wszystko czyni pracodawcę administratorem danych osobowych, którego działania w tym zakresie podlegają kontroli Prezesa UODO.
Podstawy kontroli UODO
Prezes Urzędu Ochrony Danych Osobowych przeprowadza kontrole sektorowe na podstawie zatwierdzonego przez Prezesa UODO planu kontroli, który jest podawany do publicznej wiadomości. Każdego roku są w nim ujęte inne obszary do kontroli. Często jako obszar do planowych kontroli są wskazywane całe branże, które organ nadzorczy chce sprawdzić z uwagi na uzyskiwane informacje o występujących w nich problemach. Jednak również jako obszar do kontroli wskazuje się konkretne zagadnienie, w którego zakresie nastąpiła zmiana przepisów, a zatem konieczne jest sprawdzenie, jak w praktyce wygląda realizacja zmienionych regulacji.
Przykład
W planie kontroli sektorowych Prezesa UODO na 2019 r. zostały ujęte takie obszary jak monitoring wizyjny oraz przetwarzanie danych w związku z rekrutacją. Zarówno w jednym, jak i w drugim przypadku są to czynności przetwarzania danych, w przypadku których w ostatnim czasie zmieniały się przepisy.