Plan kontroli sektorowych – jak przygotować się na kontrolę Prezesa UODO?
Prezes UODO opublikował komunikat dotyczący planu kontroli sektorowych na 2024 r. Oprócz corocznej kontroli organów przetwarzających dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym zdecydowano o wyznaczeniu dwóch obszarów kontroli na 2024 r.
Aplikacje webowe
W tym roku Prezes UODO zdecydował o kontynuacji kontroli sposobu zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji internetowych (webowych). Ze względu na szeroki zakres zastosowania aplikacji webowych, kontrole mogą przykładowo objąć podmioty przetwarzające dane osobowe w aplikacjach do komunikacji i wideokonferencji, do zarządzania i przechowywania danych czy w systemach CRM, które służą do zarządzania relacjami z klientami.
Kontrola organu nadzorczego w obszarze aplikacji webowych może dotyczyć takich obszarów jak:
- uwzględnianie zasady privacy by design i privacy by default (art. 25 RODO),
- stosowanie odpowiednich środków technicznych i organizacyjnych w oparciu o przeprowadzoną analizę ryzyka (art. 32 RODO),
- podstawy prawne udostępniania danych osobowych w związku z korzystaniem z aplikacji (art. 6 i art. 9 RODO).
Korzystanie z aplikacji webowych dla wielu organizacji jest kluczowym elementem w codziennej działalności. Przedsiębiorcy powinni rozważyć przeprowadzenie audytów zgodności aplikacji webowych z przepisami RODO, aby wyprzedzić ewentualne działania kontrolne organu.
Obowiązki informacyjne z art. 13 i art. 14 RODO
Jako drugi obszar kontroli Prezes UODO wskazał prawidłowość spełniania obowiązku informacyjnego z art. 13-14 RODO. W tym wypadku katalog podmiotów, które mogą zostać objęte kontrolą jest jeszcze szerszy. Mimo że od rozpoczęcia stosowania RODO minęło prawie 6 lat, to nadal nie jest zasadą, że administratorzy spełniają te obowiązki prawidłowo. Trudności sprawia im: przekazywanie podmiotom danych wymaganych informacji zgodnie ze stanem faktycznym, formułowanie treści klauzul informacyjnych prostym językiem jak również prawidłowe stosowanie warstwowego podejścia do wykonywania obowiązków z art. 13-14 RODO.
Warto wykorzystać zapowiedź kontroli Prezesa UODO w tym obszarze do kompleksowego przeglądu treści stosowanych klauzul informacyjnych zarówno w obszarze klienckim, biznesowym, jak również wobec pracowników administratora.