Każdego roku Prezes Urzędu Ochrony Danych Osobowych („UODO”), bazując na analizie zgłaszanych sygnałów i skarg związanych z naruszeniami przepisów o ochronie danych osobowych, publikuje roczny plan kontroli sektorowych, wskazując konkretne sektory (branże), w których planuje przeprowadzić działania kontrolne. Kontrole przeprowadzane w ramach realizacji planu kontroli sektorowych są jednym z kilku głównych źródeł kontroli przeprowadzanej przez UODO (obok takich jak np. skarga, czy wystąpienie incydentu związanego z ochroną danych osobowych). Znając plan kontroli sektorowych możesz sprawdzić, czy Twoja firma działa w sektorach, na których zamierza skoncentrować się UODO, a co za tym idzie przeprowadzić audyt pod kątem zgodności z RODO i odpowiednio przygotować się do ewentualnej kontroli.
Co znajduje się w planie kontroli sektorowych na rok 2022?
Zgodnie z ogłoszonym 13 stycznia 2022 roku planem kontroli sektorowych, UODO planuje skupić się na trzech sektorach. Kontrolom planowym mają zostać poddane:
- organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym,
- banki oraz
- podmioty przetwarzające dane osobowe przy użyciu aplikacji mobilnych.
O ile liczba podmiotów z dwóch pierwszych sektorów jest stosunkowo nieduża, o tyle ostatni ze wskazanych sektorów został zakreślony bardzo szeroko i może objąć znaczną liczbę przedsiębiorstw. UODO planuje kontrolować podmioty przetwarzające dane osobowe przy użyciu mobilnych aplikacji zwłaszcza w zakresie sposobu zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem takich aplikacji. Warto podkreślić, że podmiotami przetwarzającymi dane osobowe przy użyciu mobilnych aplikacji są nie tylko twórcy i dostawcy takich aplikacji, ale również ich użytkownicy. Jeśli zatem w Twojej organizacji korzysta się z aplikacji, to zgodnie z planem kontroli sektorowych na rok 2022 Twoja organizacja również może zostać poddana kontroli.
Jakie uprawnienia kontrolne ma UODO i jakie mogą być skutki kontroli?
W przypadku wykrycia nieprawidłowości w kontrolowanej organizacji UODO ma cały szereg środków, za pomocą których może egzekwować przestrzeganie przepisów o ochronie danych osobowych. W szczególności UODO może udzielić administratorowi lub podmiotowi przetwarzającemu upomnienia, nakazać spełnienia żądania osoby, której dane dotyczą, nakazać dostosowania operacji przetwarzania do przepisów RODO (także z wyznaczeniem terminu), a nawet nałożyć kary pieniężne (do 10.000.000 EUR lub w wysokości 2% całkowitego rocznego obrotu z poprzedniego roku obrotowego albo do 20.000.000 EUR lub w wysokości 4% całkowitego rocznego obrotu z poprzedniego roku obrotowego).
Jeśli Twoja organizacja funkcjonuje w obszarach, na których zgodnie z planami kontroli sektorowych zamierza skupić się UODO, musisz mieć świadomość, że w istotny sposób zwiększa się prawdopodobieństwo kontroli ze strony urzędu. Znajomość planów kontroli sektorowych pozwoli Ci na dokonanie oceny, czy Twoja organizacja jest szczególnie narażona na kontrolę. Dzięki temu będziesz w stanie wcześniej przygotować ją na kontrolę i uniknąć ewentualnych kar.