Nowy rok – nowy/nowa ja. Choć zwolenników postanowień noworocznych znajdziemy zapewne tyle samo co ich przeciwników, jedno jest pewne – każdy z nas, z początkiem roku, ma w planach pewne cele na nadchodzące miesiące. Podobnie jest w przypadku Urzędu Ochrony Danych Osobowych, który w połowie stycznia opublikował komunikat dotyczący planu kontroli sektorowych na 2025. Czy wiedzą już Państwo jakie branże (sektory gospodarki) mogą znaleźć się pod lupą Urzędu? Jakie są szanse, że to właśnie Twoja organizacja zostanie wytypowana do kontroli? Postaram się udzielić odpowiedzi na pytania w dzisiejszym artykule.
Które sektory znajdą się w kręgu zainteresowania UODO?
Na 2025 rok UODO zaplanował kontrole sektorowe, koncentrując się na obszarach o rosnącym ryzyku naruszeń danych osobowych oraz tych, które są szczególnie istotne z perspektywy społecznej.
- Organy przetwarzające dane osobowe w Wielkoskalowych Systemach Unii Europejskiej (między innymi w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym) – podobnie jak w latach ubiegłych, SIS oraz WSI pozostają w planach kontroli, z uwagi na konieczność kontynuacji działań rozpoczętych w poprzednich latach.
- Podmioty przetwarzające dane o stanie zdrowia – w zakresie sposobu zapewnienia bezpieczeństwa danych osobowych. Sektor zdrowia jest naszym pierwszym debiutantem, jednak biorąc pod uwagę wydarzenia z ubiegłego roku, na styku obszaru zdrowia i ochrony danych, nie jest to wielkie zaskoczenie. W szczególności chodzi o liczne naruszenia ochrony danych, zarówno o zasięgu lokalnym, jak i ogólnokrajowym, które miały miejsce w podmiotach medycznych. Warto jednak zauważyć pozytywne bodźce, czyli zatwierdzenie przez Prezesa UODO Kodeksu postępowania dla sektora ochrony zdrowia, Kodeksu postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych. Te inicjatywy mają ma na celu znaczne wzmocnienie poziomu ochrony danych w tym kluczowym sektorze. Kontrole z pewnością przeanalizują skuteczność stosowania przyjętych kodeksów postępowania.
- Podmioty przetwarzające dane dzieci w zakresie przetwarzania wizerunku, gdy wymagana jest zgoda wyrażona przez rodziców lub opiekunów prawnych. To kolejny debiutant, jednak działalność edukacyjna UODO w zakresie ochrony danych dzieci jest już dobrze znana. Programy takie jak „Twoje dane – twoja sprawa” oraz współpraca z Fundacją Orange nad poradnikiem „Wizerunek dziecka w Internecie. Publikować czy nie” jasno pokazują, jak ważna jest ochrona danych najmłodszych. Przypomina nam o tym motyw 38 RODO: „Szczególnej ochrony danych osobowych wymagają dzieci, gdyż mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych. Taka szczególna ochrona powinna mieć zastosowanie przede wszystkim do wykorzystywania danych osobowych dzieci do celów marketingowych (…)”.
- Pozostali administratorzy danych, w zakresie realizacji obowiązku polegającego na dokumentowaniu wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Prezes UODO wielokrotnie podkreślał w swoich decyzjach, będących konsekwencją naruszeń ochrony danych osobowych, jak istotne z punktu widzenia RODO jest dokładne ustalenie okoliczności tych naruszeń. Bez tego niemożliwe jest skuteczne minimalizowanie ryzyka powtórzenia się incydentu. Ważne jest, by podjąć odpowiednie działania zaradcze oraz wdrożyć niezbędne środki techniczne i organizacyjne. Kluczową rolę odgrywa także umiejętność wyciągania wniosków z zaistniałych sytuacji, aby w przyszłości wykrywać potencjalne naruszenia w możliwie najkrótszym czasie.
Jaka jest szansa, że to właśnie Twoja organizacja zostanie wytypowana do kontroli?
W ostatnich latach, w porównaniu do pierwszych planów po wejściu w życie RODO, UODO ogranicza zakres zaplanowanych kontroli sektorowych. Widać wyraźną tendencję do bardziej precyzyjnego skupiania się na konkretnych, zawężonych obszarach, zamiast na szerokich zakresach, które były charakterystyczne na początku stosowania RODO. Jak to przekłada się na liczbę kontroli?
Nie będę trzymać Państwa dłużej w niepewności. Skupiając się na statystykach z ubiegłych lat, warto zauważyć, że większość kontroli była realizowana zgodnie z zatwierdzonym przez Prezesa UODO planem. Oprócz zaplanowanych działań UODO przeprowadza również kontrole na podstawie uzyskanych informacji, takich jak zgłoszone naruszenia czy skargi, a także w ramach monitorowania przestrzegania stosowania przepisów RODO. W związku z tym szansa na kontrolę zależy nie tylko od planu, ale także od bieżącej sytuacji w zakresie ochrony danych osobowych w danej branży.
W 2023 roku przeprowadzono 10 kontroli sektorowych, co stanowi około 30% wszystkich kontroli w danym roku. Obejmowały one:
- 5 podmiotów przetwarzających dane przy użyciu aplikacji internetowych
- 3 podmioty przetwarzające dane osobowe za pomocą aplikacji mobilnych
- 2 organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjny.
Na łączny wynik 33 kontroli w 2023 roku, dodatkowo składa się:
- 18 kontroli związanych z uzyskaniem informacji o nieprawidłowościach w przetwarzaniu danych
- 3 kontrole w związku ze zgłoszonymi naruszeniami
- 1 kontrola w ramach monitorowania przestrzegania stosowania przepisów RODO
- 1 na podstawie innych przepisów prawa.
W 2022 roku liczba kontroli sektorowych była ponad dwukrotnie wyższa niż rok później. Obejmowały one między innymi:
- 13 podmiotów przetwarzających dane osobowe przy użyciu aplikacji mobilnych
- 7 banków, w zakresie profilowania danych osobowych klientów i potencjalnych klientów
- 2 organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjny.
Rok 2022 zakończono z łączną liczbą 40 kontroli. Oprócz kontroli sektorowych mowa o:
- 8 kontrolach w związku ze zgłoszonymi naruszeniami
- 4 kontrolach podmiotów w zakresie powołania i funkcjonowania IOD
- kontrolach w związku z uzyskaniem informacji o nieprawidłowościach w przetwarzaniu danych oraz w ramach monitorowania przestrzegania stosowania przepisów RODO.
Dane te pokazują, że choć kontrole sektorowe stanowią istotną część działań UODO, to inne formy kontroli, takie jak te wynikające z informacji o naruszeniach czy monitorowania przestrzegania przepisów, również mają znaczący wpływ na ostateczną ich ilość.
Czy można w tych liczbach dostrzec pewną prawidłowość? Na ten moment nie odważę się na poszukiwanie zależności, zwłaszcza biorąc pod uwagę zmiany organizacyjne w Urzędzie Ochrony Danych Osobowych. Zmiany te nie dotyczą noworocznych postanowień Prezesa UODO, a konkretnego przebiegu działań. W ramach reorganizacji powstał nowy Departament Wstępnej Kontroli Skarg i Naruszeń, który będzie odpowiedzialny za formalną weryfikację wpływających zgłoszeń, oceniając wagę poruszanego zagadnienia. Niewątpliwie zmiany te wpłyną na odciążenie istniejących już Departamentów Kontroli i Naruszeń, a także Departamentu Skarg. Czy ta zmiana będzie zauważalna w liczbie kontroli prowadzonych przez UODO? Niewątpliwie dowiemy się tego wkrótce.
Podsumowanie
Perspektywa planowanej lub potencjalnej kontroli niewątpliwie może budzić niepokój Inspektorów Ochrony Danych. Chciałbym jednak uspokoić kolegów i koleżanki po fachu – sama kontrola nie oznacza automatycznie przykrych konsekwencji dla organizacji. Wręcz przeciwnie, jest to okazja, by potwierdzić prawidłowość i skuteczność wdrożonych rozwiązań w zakresie ochrony danych. Dopiero gdy zgromadzone informacje wskazują na niezgodność z przepisami RODO, Prezes UODO wszczyna postępowanie. Warto pamiętać, że kontrole planowe to nie tylko checklisty, ale też okazja do rozmowy z przedstawicielami Urzędu, przedstawienia im szerokiego kontekstu naszej działalności, szansa na rozwianie ewentualnych wątpliwości w przypadku wyłapania problemów budzących podejrzenie. W końcu ochrona danych to proces, a nie jednorazowe zadanie.
