Ustawodawca nie określił wprost zakresu działań, które może objąć kontrola prowadzona przez UODO. Wiadomo jednak, na jakie zagadnienia kontrolujący będą mogli zwrócić uwagę. Poniżej ich zestawienie.
• jeśli jest to uzasadnione bezpieczeństwem pracowników lub kontrolą produkcji, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (Kodeks pracy, art. 22.2 § 1.)
• pracodawca musi oznaczyć pomieszczenia i teren monitorowany w sposób widoczny i czytelny (Kodeks pracy, art. 22.2 § 9)
• jeżeli to niezbędne do prawidłowej organizacji czasu pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (Kodeks pracy, art. 22.3 § 1)
15 czerwca 2018 r. PUODO wydał wskazówki dotyczące wykorzystywania monitoringu wizyjnego.
• zweryfikować, czy stosowane formy monitoringu pracowników są rzeczywiście niezbędne do realizacji stawianego przed nimi celu
• sprawdzić, czy stosowane są właściwe formy monitoringu (monitoring GPS nie będzie mógł być zastosowany w celu zapewnienia bezpieczeństwa pracowników czy też ochrony samochodu będącego własnością pracodawcy przed kradzieżą)
• upewnić się, że tylko te osoby, dla których jest do absolutnie niezbędne, mają dostęp do danych osobowych
• każdy podmiot, który ma dostęp do danych osobowych, przetwarza je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego (art. 29 rozporządzenie 2016/679 (RODO))
• dane osobowe muszą być przetwarzane wyłącznie na polecenie administratora (art. 32 rozporządzenie 2016/679 (RODO))
Zgodnie z zasadą rozliczalności oraz zasadą poufności i integralności danych osobowych, odpowiada za ochronę danych przed niezgodnym z prawem przetwarzaniem oraz musi być w stanie wykazać, iż wywiązuje się z tego obowiązku. Brak udzielonych upoważnień i poleceń do przetwarzania danych osobowych lub nieprawidłowości w tym zakresie będą więc stanowiły administratora danych osobowych.
Aby zapewnić potrzebny poziom ochrony danych, administratorzy i podmioty przetwarzające dane osobowe powinni na bieżąco analizować, aktualizować i w miarę potrzeby wprowadzać nowe rozwiązania zabezpieczające przetwarzane przez nich dane osobowe.
Z wysokim stopniem prawdopodobieństwa można zakładać, że kontrolujący podczas jednej z pierwszych czynności zażądają dostępu z zakresu ochrony danych osobowych oraz jej skopiowania lub wydruku. Nie wystarczy samo wprowadzenie regulacji z zakresu ochrony danych osobowych. Konieczne jest ich i w codziennej pracy.
Jednym z podstawowych obowiązków pracodawcy jest przechowywanie dokumentacji pracowniczej w sposób gwarantujący zachowanie jej poufności, integralności oraz dostępności. Warunki, w których jest przechowywana dokumentacja musi nie grozić uszkodzeniem lub zniszczeniem, a także przez okres , licząc od końca roku kalendarzowego, w którym stosunek pracy uległ rozwiązaniu lub wygasł, chyba że odrębne przepisy przewidują dłuższy okres przechowywania dokumentacji pracowniczej.
• jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi i chroniło prawa osób, których dane dotyczą (art. 28 (1) rozporządzenie 2016/679 (RODO))
oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
• w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki, w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeni naruszenia zgłasza je organowi nadzorczemu (art. 33 (1) 2016/679 (RODO))
• do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia (art. 33 (1) 2016/679 (RODO))
zaistnienie naruszenia ochrony danych osobowych będzie wymagało zgłoszenia tego faktu i powiadomienia podmiotów danych. W przypadku, gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, powinien niezwłocznie podjąć stosowne środki nakierowane na usunięcie skutków naruszenia i ochronę praw osób, których dane dotyczą.
Niszczenie dokumentów zawierających dane osobowe powinno być potwierdzone . W protokole powinien znaleźć się opis niszczonych nośników z danymi osobowymi, wskazanie osób, których dane dotyczą, określenie kategorii danych osobowych, nazwa zbioru danych osobowych, podstawa prawna do usunięcia danych ze zbioru oraz opis, w jaki nastąpi zniszczenie nośników z danymi osobowymi.
Niszczenie danych osobowych stanowi czynności przetwarzania danych osobowych i w pełnym zakresie w stosunku do nich są stosowane .
Administrator w celu rzetelnego wypełnienia obowiązków nałożonych na niego przez przepisy dotyczące ochrony danych osobowych powinien:
• zdiagnozować ryzyka związane z przetwarzaniem przez niego danych osobowych
• przeanalizować dostępne środki ograniczenia ryzyka naruszenia ochrony danych osobowych
• wprowadzić ww. środki do swoich procesów przetwarzania danych
• korzystać z usług podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych
• dysponować i wdrożyć odpowiednią dokumentację.
Z pewnością będą to podstawowe elementy, jakie będą weryfikowane przez w czasie .
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu