Informacja o pierwszej w Polsce karze finansowej nałożonej przez Prezesa Urzędu Ochrony Danych Osobowych odbiła się szerokim echem na rynku i licznymi komentarzami.
Informacja o pierwszej w Polsce karze finansowej nałożonej przez Prezesa Urzędu Ochrony Danych Osobowych odbiła się szerokim echem na rynku i licznymi komentarzami.
Rozstrzygnięcie PUODO skłoniło nas do podzielenia się z Państwem wnioskami płynącymi z dziesiątków audytów i symulowanych kontroli PUODO, jakie w ostatnich miesiącach przeprowadziliśmy wśród przedsiębiorców z różnych branż:
- Ponad połowa zweryfikowanych przez nas podmiotów nie prowadzi w ogóle albo nie aktualizuje już prowadzonego rejestru czynności (mimo takiego obowiązku). Zestawienie rejestru czynności z treścią obowiązków informacyjnych bardzo często ujawnia istotne rozbieżności w oby tych dokumentach;
- Zdecydowana większość przedsiębiorców nie stosuje pisemnej informacji o monitoringu pracowników i nie umieszcza tej informacji zgodnie z przepisami w części B akt pracowniczych;
- W około 20% przypadków wciąż nie przeprowadzono albo nie ukończono oceny ryzyka oraz oceny skutków (DPIA);
- Ponad połowa przedsiębiorców przeprowadziła szkolenia z zakresu ochrony danych osobowych wyłącznie w okolicach maja 2018 – aktualnie szkolenia nie są ani powtarzane, ani uzupełniane;
- Średnia przypadająca na podmiot (biorąc pod uwagę wszystkie obsługiwane branże) to około kilkunastu skarg na nieprawidłowe przetwarzanie danych osobowych w skali miesiąca oraz około kilkudziesięciu żądań podmiotów danych;
- Najczęściej pojawia się żądanie usunięcia danych oraz sprzeciw wobec ich przetwarzania. Korzystanie z prawa do ograniczenia przetwarzania czy przenoszenia danych stanowi jednostkowe przypadki;
- Praktycznie wszystkie zbadane podmioty realizują żądania w terminach wynikających z RODO;
- Jedynie nieliczni przedsiębiorcy (administratorzy) przeprowadzają kontrole u swoich podmiotów przetwarzających dane osobowe (mimo takich uprawnień);
- W dalszym ciągu część podmiotów mierzy się z wyzwaniem na poziomie bezpieczeństwa organizacyjnego – zabezpieczenie pomieszczeń, miejsca przechowywania dokumentów, lokalizacja serwerowni, ścieżki obsługi osób postronnych/gości czy kierowców;
- W dużej części dotychczas zbadanych podmiotów istniała konieczność zabezpieczenia kwestii transferu danych do państw trzecich (głównie USA), jak również niezauważana była kwestie współadministrowania danymi.
W szerszej perspektywie obserwujemy natomiast duży wzrost znaczenia kwestii ochrony danych osobowych w procesach inwestycyjnych, w tym M&A Kwestie związane z weryfikacją dokumentacji przedsiębiorstwa w tym obszarze oraz udostępnianiem określonych danych stają się często ważnym elementem relacji pomiędzy kupującym a sprzedającym (inwestującym), w ostateczności mogącym kształtować warunki i przebieg transakcji.
W kwietniu tego roku, wraz ze zmianą osoby piastującej stanowisko Prezesa UODO, spodziewamy się zmiany podejścia organu. Przewidywaniami popartymi udziałem w wysłuchaniu obywatelskim kandydatów (aktualnie jedna osoba), podzielimy się chętnie z Państwem w osobnej korespondencji / przy okazji spotkań z serii #RODOwS, #WRODO, #RODOś, #Wielko_RODO.