Jeśli interesuje Cię kwestia wdrożenia RODO w polskich firmach lub zetknąłeś się z tą tematyką w związku z Twoją pracą lub prowadzoną działalnością, pewnie słyszałeś o ogromnych karach za niestosowanie przepisów, którymi straszyły media. Kary te miały być nakładane między innymi w związku z prowadzonymi przez Prezesa Urzędu Ochrony Danych Osobowych kontrolami. O tym, że straszenie milionowymi karami uważam za nieco przesadzone pisałem już rok temu. Moje zdanie w tej kwestii się nie zmieniło - uważam, że tak duże kary będą nakładane naprawdę sporadycznie.
Niemniej jednak w ostatnich dniach w Internecie można było przeczytać informacje, że Prezes Urzędu Ochrony Danych Osobowych rozpoczyna kontrole dotyczące wdrożenia RODO.
Zgodnie z tym, co zapowiedział PUODO, na początku obejmą one:
A. podmioty prowadzące różnego rodzaju rejestry publiczne, takie jak bazy PESEL, CEiDG, CEPIK itp. – gromadzą one mnóstwo danych o dużej ilości obywateli, więc skierowanie działań kontrolnych w tym kierunku wydaje się być całkiem rozsądnym krokiem,
B. placówki oświatowe i zakłady opieki zdrowotnej – z uwagi na to, iż przepisy rozporządzenia ogólnego o ochronie danych osobowych wywołały sporo zamieszania w tych instytucjach i spowodowały podejmowanie różnych absurdalnych decyzji, które nie miały wiele wspólnego z prawidłową interpretacją przepisów, kontrole PUODO w tych instytucjach i ewentualne decyzje lub wytyczne wydane na podstawie zauważonych nieprawidłowości pozytywnie przyczynią się do zwiększania bezpieczeństwa danych,
C. podmioty stosujące monitoring – liczba firm i instytucji, które stosują monitoring jest tak duża, że kontrole będą najprawdopodobniej prowadzone wyrywkowo i skupią się wyłącznie na aspekcie stosowania monitoringu.
Jeśli stosujesz monitoring w swoim przedsiębiorstwie, pewnie interesuje Cię to, jak może wyglądać taka kontrola i co w ogóle będzie sprawdzane?
Zakładam, że kontrolujący będą w szczególności zwracać uwagę na to:
Czy na terenie obiektu, gdzie działa monitoring są odpowiednie informacje (np. tabliczki, wywieszone kartki) z informacją o tym, że obiekt jest monitorowany oraz informacje o tym, kto jest administratorem danych zapisanych w ramach monitoringu.
Czy pracownicy zostali prawidłowo poinformowani o tym, że na terenie zakładu pracy stosowany jest monitoring (czyli czy został wobec nich spełniony obowiązek informacyjny z informacjami o monitoringu).
Jak długo przechowywane są nagrania – czy nie przekraczają np. terminu 3 miesięcy w stosunku do pracowników (termin ten wynika z przepisów Kodeksu pracy).
Czy – jeżeli to było konieczne – wprowadzono odpowiednie zapisy dotyczące monitoringu w regulaminie pracy, układzie zbiorowym pracy (jeśli takie dokumenty sa stosowane w zakładzie pracy) albo w obwieszczeniu (jeżeli nie ma regulaminu pracy lub układu zbiorowego).
Gdzie umieszczone są kamery – w szczególności czy nie obejmują takich miejsc jak toalety, szatnie, stołówki, palarni oraz innych miejsc, w których wypoczywają pracownicy. Kamery nie powinny być skierowane w taki sposób aby zbierać więcej informacji niż jest rzeczywiście potrzebne – w szczególności nie mogą np. rejestrować obrazu obejmującego ruchliwą ulicę w pobliżu monitorowanego obiektu.
W temacie kontroli trzeba mieć również na uwadze jedną rzecz – niestety już pojawili się „fałszywi kontrolerzy”, którzy, podając się za rzekomych pracowników Urzędu Ochrony Danych Osobowych próbują wyłudzić od przedsiębiorców pieniądze lub informacje. O takich fałszywych kontrolerach ostrzegał już Prezes Urzędu Ochrony Danych Osobowych. Pamiętaj, że prawdziwy kontroler powinien okazać legitymację oraz dokument upoważniający go do przeprowadzenia kontroli. Jego tożsamość możesz potwierdzić, dzwoniąc do Urzędu Ochrony Danych Osobowych. Ponadto, kontrole co do zasady są zapowiedziane.
