16 stycznia Urząd Ochrony Danych Osobowych ujawnił jakie sektory zostały ujęte w rocznym panie kontroli. Będą to podmioty przetwarzające dane o stanie zdrowia, podmioty przetwarzające dane dzieci, a także organy przetwarzające dane osobowe w Wielkoskalowych Systemach Unii Europejskiej. UODO zasygnalizował również, że w 2025 roku szczególną uwagę poświęci temu jak administratorzy wywiązują się z obowiązku dokumentowania naruszeń.
Sektory wymagające specjalnej uwagi
W komunikacie UODO wskazuje, że głównymi motywami, którymi kierował się przy określeniu zakresu kontroli, była z jednej strony wzrastająca liczba naruszeń w tych sektorach, z drugiej zaś duże społeczne zainteresowanie określonymi obszarami. Urząd określił dwie kategorie danych, których przetwarzanie będzie w tym roku objęte kontrolą sektorową: dane o stanie zdrowia i dane dzieci wymagające do przetwarzania zgody rodziców lub opiekunów prawnych.
Obie te kategorie objęte są specjalnym reżimem ochrony danych – dane o stanie zdrowia jako dane szczególnej kategorii, dane dzieci – w przypadku usług społeczeństwa informacyjnego – na podstawie odrębnych uregulowań art. 8 RODO.
W zeszłym roku doszło do licznych naruszeń po stronie podmiotów publicznych i prywatnych przetwarzających dane o stanie zdrowia (niektóre zostały obłożone karami, np. SPOZ w Pajęcznie czy spółka American Heart of Poland SA), z kolei dane dzieci są obiektem szerokiego zainteresowania w związku z coraz silniejszymi regulacjami dostępu dzieci do social mediów, np. w Australii czy w USA. Ponadto UODO zapowiedział kontrole organów wykorzystujących Wielkoskalowe Systemu Unii Europejskiej, np. systemy informacyjne związane z wizami czy strefą Schengen.
Kontrole administratorów – obsługa naruszeń
Wydaje się jednak, że najważniejszy okaże się czwarty obszar wskazany przez UODO – kontrola administratorów danych osobowych pod kątem wywiązywania się z obowiązków nałożonych przez art. 33 ust 5 RODO. Artykuł 33 jako całość reguluje kwestie oceny, dokumentowania i zgłaszania przypadków naruszeń organom nadzorczym (w Polsce – Prezesowi UODO) i jest bardzo częstą podstawą nakładania przez Urząd administracyjnych kar pieniężnych. Na podstawie artykułu 33 został ukarany w zeszłym roku m.in. Santander Bank (prawie półtora miliona złotych kary). Ustęp 5 tego artykułu nakłada na administratorów danych obowiązek dokumentowania naruszeń. Pewnym jest zatem, że w 2025 roku kontrolerzy UODO będą sprawdzać poprawność prowadzonych przez administratorów rejestrów i innych form dokumentowania incydentów.
O czym pamiętać przy prowadzeniu dokumentacji naruszeń?
Przede wszystkim trzeba pamiętać, że prowadzenie dokumentacji naruszeń jest obowiązkowe. Istotny jest również celu, w którym się ją prowadzi: dokumentacja naruszeń ma umożliwić organizacji kontrolę i reagowanie na incydenty a w przypadku PUODO – w razie kontroli lub w toku postępowania – weryfikację tego czy administrator przestrzega artykułu 33, tj. czy ocenia i zgłasza w sposób właściwy naruszenia. Jest to szczególnie ważne w przypadku naruszeń niezgłaszanych do PUODO (z racji na małe prawdopodobieństwo naruszenia praw i wolności osób fizycznych), gdyż wpisy do rejestru będą jedną z podstaw oceny czy było to uzasadnione. Właściwie udokumentowane naruszenie to takie, w przypadku którego udokumentowano nie tylko okoliczności samego naruszenia, ale też oceniono ryzyko, zidentyfikowano zagrożenia i skutki oraz podjęto działania korekcyjne lub prewencyjne.
Ostatni dzwonek
Kary nakładane za naruszenia RODO niejednokrotnie opiewają na miliony złotych, można zatem słono zapłacić za nieprzygotowanie do prowadzonej przez Urząd kontroli. Warto dokonać przeglądu posiadanej dokumentacji oraz procedur a także zweryfikować, czy została właściwie wdrożona i jest żywą częścią systemu ochrony danych osobowych w organizacji.
