Polityki prywatności na celowniku UODO. Przyjęto plan kontroli sektorowych na 2024 r.
O strukturze organizacyjnej fiskusa słów kilka
7 marca 2024
Przestępstwo niealimentacji w polskim prawie karnym: konsekwencje braku uiszczenia alimentów
27 marca 2024
Urząd Ochrony Danych Osobowych przyjął w lutym plan kontroli sektorowych na 2024 rok. Coroczny plan przyjmowany przez UODO w tym roku obrał za cel m.in kontrole podmiotów prywatnych w zakresie prawidłowości spełnienia obowiązku informacyjnego określonego w art. 13 i 14 Rozporządzenia RODO. Jak wskazano w komunikacie, z uwagi na coraz częściej pojawiające się zagrożenia naruszania przepisów o ochronie danych osobowych w sektorach objętych planem oraz duże społeczne zainteresowanie tego typu problemami, uznać je należy za istotne z punktu widzenia zadań realizowanych przez Prezesa Urzędu Ochrony Danych Osobowych.
Przedstawiony plan zakłada kontrolę:
- Organów przetwarzających dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym – przetwarzanie danych osobowych SIS/VIS na podstawie przepisów ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczpospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym (Dz. U. z 2023 r. poz. 1355), aktów wykonawczych oraz przepisów Unii Europejskiej.
- Podmiotów, które przetwarzają dane osobowe przy użyciu aplikacji internetowych (webowych) – sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji – kontynuacja kontroli z 2023 r.
- Podmiotów prywatnych – prawidłowość spełniania obowiązku informacyjnego określonego w art. 13 i 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016 r. str. 1, ze zm.)
Wszystkie wyżej wskazane podmioty winny więc przedsięwziąć kroki celem weryfikacji, czy spełniają obowiązki nałożone na nie przez RODO, polskie przepisy dotyczące ochrony danych osobowych oraz wyszczególnione wyżej regulacje.
Podmioty prywatne, które jakkolwiek przetwarzają dane osobowe, bez względu na prowadzony rodzaj działalności, są objęte powyższym planem i mogą podlegać kontroli w zakresie spełniania obowiązku informacyjnego określonego w art. 13 i 14 rozporządzenia RODO. Forma spełnienia tego obowiązku, w przypadku prowadzenia strony lub aplikacji internetowej najczęściej przyjmuje formułę w postaci zapisów polityki prywatności.
Pojęcie polityki prywatności jest szeroko znane i rozumiane, jednak w dużej mierze nadal spotyka się z wątpliwościami w zakresie tego, czy powinno się ją wdrażać. Polityka ta zawiera jednak zbiór wymaganych prawem informacji, które określają cele i podstawy przetwarzania danych osobowych (przykładowo użytkowników, klientów, subskrybentów) oraz dostarczają im informacji o tym, kto i kiedy będzie ich dane przetwarzał.
Art. 13 RODO odnosi się do sytuacji, gdy dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, natomiast art. 14 RODO, gdy danych osobowych osób, których dane są przetwarzane nie pozyskano od osoby, której te dane dotyczą.
Jakie informacje więc administrator musi podać, aby spełnić swój obowiązek?
- swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
- gdy ma to zastosowanie, dane kontaktowe inspektora ochrony danych;
- cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania (uregulowane w art. 6 RODO);
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – czyli gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
- informacje o odbiorcach danych osobowych (czyli komu dalej dane są przekazywane) lub o kategoriach odbiorców, jeżeli istnieją;
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informacje o sposobach uzyskania kopii zabezpieczeń lub o miejscu ich udostępnienia;
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informacje o prawie wniesienia skargi do organu nadzorczego;
- informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą;
- jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa wyżej.
W przypadku przetwarzania danych osób, których danych nie uzyskano bezpośrednio od tej osoby, należy dodatkowo poinformować ją o źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych.
Aby więc uniknąć ryzyka podjęcia przez UODO działań w wyniku przeprowadzonej kontroli, w pierwszej kolejności każdy podmiot prowadzący stronę internetową, podstronę, sklep internetowy, czy też aplikację internetową, który wchodzi w posiadanie danych osobowych użytkowników powinien zweryfikować, czy umieszczona została na niej polityka prywatności (o czym niestety przedsiębiorcy często zapominają).
Trzeba mieć na uwadze, iż za naruszenie ochrony danych osobowych przewidziane są wysokie sankcje pieniężne, jak też możliwość pociągnięcia do odpowiedzialności karnej. Nadto, każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna, że prawa przysługujące jej na mocy RODO zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem RODO.
Więcej o sankcjach przewidzianych za naruszenie ochrony danych osobowych możesz przeczytać TUTAJ.
Potrzebujesz pomocy w tym temacie? Napisz do nas!
