Kontrole przeprowadzane przez Państwową Inspekcję Pracy, Najwyższą Izbę Kontroli, a także Polską Agencję Rozwoju Przedsiębiorczości obejmują również w części wdrożenie i stosowanie w organizacji przepisów dotyczących ochrony danych osobowych.
W związku z kompetencjami ww. podmiotów postanowiliśmy sprawdzić, czy w ramach kontroli przeprowadzanych od 25 maja 2018 r. dokonywano również weryfikacji przestrzegania przepisów z obszaru ochrony danych osobowych. Nasze zainteresowania obejmowały: liczbę takich kontroli, objęte nimi podmioty/branże, a także zakres oraz wyniki.
NIK w obszarze ochrony danych osobowych
Zgodnie z uzyskanymi informacjami, NIK prowadzi kontrolę pt. Wdrożenie przez podmioty lecznicze regulacji dotyczących ochrony danych osobowych, publikacja wyników nastąpi na przełomie III i IV kwartału bieżącego roku. Izba rozpocznie także jeszcze w tym roku planową kontrolę pt. Wdrożenie przez administrację publiczną regulacji dotyczących ochrony danych osobowych po wejściu w życie RODO. W związku z tym, że żadna z procedur kontrolnych nie zakończyła się – nie są jeszcze znane ustalenia poczynione przez inspektorów.
PARP – ochrona danych u beneficjentów
Joanna Zych, zastępca dyrektora Departamentu Kontroli wskazała, iż w ramach czynności realizowanych przez pracowników PARP nie przeprowadzono we wskazanym okresie kontroli, której przedmiotem była sensu stricto weryfikacja przestrzegania przepisów z zakresu ochrony danych osobowych. Kontrole prowadzone przez PARP polegają bowiem przede wszystkim na sprawdzeniu, czy projekty współfinansowane ze środków unijnych są realizowane zgodnie z postanowieniami umowy o dofinansowanie – czy osiągnięto zakładane cele i rezultaty, a także czy sposób realizacji projektów jest zgodny z przepisami prawa krajowego i wspólnotowego.
Tym niemniej, w ramach kontroli projektów z Programu Operacyjnego Inteligentny Rozwój oraz Programu Operacyjnego Polska Wschodnia weryfikowany jest m.in. fakt, czy beneficjent stosuje środki techniczne lub organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednio do zagrożeń oraz kategorii danych objętych ochroną.
W przypadku projektów realizowanych w ramach Programu Operacyjnego Wiedza Edukacja Rozwój kontroli podlega m.in. sprawdzenie:
- czy beneficjent przetwarza powierzone mu dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO),
- czy posiada dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych,
- czy dane osobowe są przetwarzane wyłącznie w celu aplikowania o środki unijne i realizacji projektów – w szczególności: potwierdzania kwalifikowalności wydatków; udzielania wsparcia uczestnikom projektów; ewaluacji; monitoringu; kontroli; audytu; sprawozdawczości oraz działań informacyjno-promocyjnych w zakresie wskazanym w umowie o dofinansowanie projektu.
- Dodatkowo weryfikowane jest ewentualne powierzenie przetwarzania danych innym podmiotom.
W okresie od 25 maja 2018 r. do 31 lipca 2019 r. przeprowadzono 547 kontroli w ramach ww. programów operacyjnych, a w ich wyniku stwierdzono jeden przypadek niewłaściwego przechowywania dokumentacji zawierającej dane osobowe. Przypadek dotyczył jednostki samorządu terytorialnego.
PIP, a dane osobowe w zatrudnieniu
Danuta Rutkowska- Rzecznik Prasowy Głównego Inspektoratu Pracy podkreśliła, iż Państwowa Inspekcja Pracy jest organem powołanym do sprawowania nadzoru i kontroli przestrzegania prawa pracy, w szczególności przepisów i zasad bezpieczeństwa i higieny pracy, a także przepisów dotyczących legalności zatrudnienia i innej pracy zarobkowej w zakresie określonym w ustawie.
Zakres kontroli inspektorów pracy obejmuje kwestie wynikające z przepisów prawa pracy, wiążące się z ochroną danych osobowych, określone w art. 22[1] – 22[3] Kodeksu pracy.
Z danych Departamentu Planowania, Analiz i Statystyki GIP wynika, że w okresie od 1 lipca 2018 r do 30 czerwca 2019 r. w trakcie 632 kontroli ujawniono nieprawidłowości związane z naruszeniem przepisów art. 22 [1] par.1-5 Kodeksu pracy określających zasady uzyskiwania przez pracodawcę danych osobowych od osób ubiegających się o zatrudnienie i pracowników. Środki prawne (wystąpienia i polecenia) wydane przez inspektorów pracy dotyczące stwierdzonych naruszeń dotyczyły 805 osób.
Nie otrzymaliśmy niestety informacji dotyczących liczby kontroli, w toku których zagadnienia te zostały zbadane czy branż, w których ich dokonywano, bądź ich zakresu przedmiotowego, gdyż tego rodzaju dane statystyczne nie są zbierane.
RODO – element układanki
O ile zgodne z prawem przetwarzanie danych osobowych jest obecnie samoistnym przedmiotem kontroli NIK, o tyle Państwowa Inspekcja Pracy i PARP weryfikują pewne elementy związane odpowiednio:
- z przetwarzaniem danych przez beneficjentów w ramach projektów,
- przez pracodawców w ramach rekrutacji i stosunku pracy.
Wbrew zatem obiegowej opinii, nie tylko Urząd Ochrony Danych Osobowych może podczas kontroli pytać o przetwarzanie danych w ramach prowadzonej działalności, co nie powinno być zaskoczeniem podczas ewentualnej wizyty PARP lub Państwowej Inspekcji Pracy.
