Każdy podmiot, którego dotyczą przepisy o ochronie danych osobowych, jest zobowiązany do realizacji określonych obowiązków, które zostały wskazane w RODO oraz w polskiej UODO. Część z nich związana jest z kwestiami technicznymi i organizacyjnymi, które pozostają niewidoczne dla osoby, której dane są przetwarzane w jakimkolwiek celu co nie oznacza, że trudno jest dokonać takiej oceny biorąc pod uwagę tylko podstawowe, widoczne już na pierwszy rzut oka, szczegóły.
Osoba postronna, nie ma wiedzy, czy dany podmiot prowadzi rejestr czynności przetwarzania, czy każda osoba, która w jego imieniu przetwarza dane osobowe posiada do tego upoważnienie lub czy wprowadzono określone procedury związane z obsługą naruszeń, itd.. Błędem byłoby jednak stwierdzenie, że nie jest możliwym, bez wnikliwej analizy stosowanej dokumentacji oraz rozwiązań technicznych i organizacyjnych wskazanie czy poddanie w wątpliwość, że dana firma stosuje się do obowiązujących przepisów.
Oto 5 punktów dot. podstawowych obowiązków firm, których brak spełnienia, może świadczyć o niestosowaniu lub niewłaściwym wdrożeniu przepisów RODO.
1. OZNACZENIE OBSZARU OBJĘTEGO MONITORINGIEM WIZYJNYM
Decyzja o zastosowaniu środka technicznego jakim jest monitoring wizyjny pociąga za sobą konieczność realizacji obowiązków, związanych m.in. z informowaniem o tym fakcie wszystkich tych, którzy mogą się znaleźć w zasięgu kamer. Przede wszystkim obszar objęty monitoringiem powinien być oznaczony w sposób czytelny i widoczny. Druga kwestia to realizacja obowiązku informacyjnego z art. 13 RODO. Obowiązek ten może być realizowany warstwowo. Należy jednak zadbać, aby w pierwszej warstwie, np. na samych tablicach służących do oznaczenia danego obszaru, pojawiła się informacja gdzie można uzyskać dostęp do pełnej informacji na temat przetwarzania danych osobowych. Przeczytaj więcej o oznaczeniach monitoringu
2. REALIZACJA OBOWIĄZKU INFORMACYJNEGO
Bez względu na kontekst w jakim przetwarzane są dane osobowe, administrator jest zobowiązany do przekazania osobie, która jest „właścicielem” przetwarzanych danych szereg informacji, a wśród nich swoją tożsamość, dane IOD (jeśli został powołany), określenie celu przetwarzania, podstawy przetwarzania oraz okresie przechowywania danych. Dodatkowo informacja powinna zawierać wskazanie potencjalnych odbiorców danych oraz tego jakie prawa przysługują podmiotowi danych, określenie czy dane przekazywane są do Państw spoza Europejskiego Obszaru Gospodarczego lub organizacji międzynarodowych, czy podanie danych jest obowiązkowe i jakie mogą być skutki odmowy podania określonych danych, a także czy podane dane będą podlegały zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu.
W związku z powyższym jeśli rozpoczynamy pracę w danym podmiocie, jesteśmy stroną umowy cywilnoprawnej lub zapisujemy nasze dziecko, do danej jednostki oświatowej po raz pierwszy i nie otrzymujemy informacji zawierających wyżej wymienione elementy, wówczas możemy założyć, że RODO może nie leżeć w kręgu zainteresowań osób reprezentujących ten podmiot.
3. PUBLIKACJA DANYCH INSPEKTORA OCHRONY DANYCH
Podmiot, który wyznaczył IOD ma również dodatkowy obowiązek i jest nim publikacja danych osoby wyznaczonej do pełnienia tej funkcji. Dane powinny zostać opublikowane na stronie internetowej prowadzonej przez właściwego administratora lub jeśli taka strona nie istnieje, w sposób ogólnie dostępny w miejscu prowadzenia działalności.
4. PUBLIKACJA NIEPEŁNYCH DANYCH INSPEKTORA OCHRONY DANYCH
Okazuje się, że sama publikacja może okazać się niewystarczająca. Wg art. 11 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000, ze zm.) zakres danych jaki podlega publikacji został określony w art. 10 ust. 1 tejże ustawy. Danymi tymi są: imię i nazwisko, adres poczty elektronicznej lub numer telefonu.
5. OCZEKIWANIE NADMIERNEJ ILOŚCI DANYCH
Jedną z głównych zasad związanych z ogólnie pojętą ochroną danych osobowych jest zasada minimalizacji danych. W skrócie oznacza to, że pozyskujemy (lub przekazujemy), tylko takie kategorie danych osobowych, które są nam niezbędne do zrealizowania celu w jakim mają być przetwarzane.
Często, zakres danych jaki firma może przetwarzać w danym kontekście, jest ściśle określony. Choćby w przypadku rekrutowania na wolne stanowisko pracy. Zakres informacji jaki pracodawca może w tym momencie przetwarzać określa Kodeks pracy.
Innym przykładem jest wspomniana już wcześniej kwestia zapisu dziecka do jednostki oświatowej. Jednym z przykładów regulacji oświatowych, odnoszących się do zakresu danych, może być art. 150 lub 151 Prawa oświatowego, gdzie wskazuje się jakie informacje na temat siebie i swojego dziecka udostępniają rodzice uczestnicząc w procesie naboru.
Nadmiarowe może być także żądanie pozostawienia skanu dowodu tożsamości lub samego dokumentu w zastaw. Jednak jest to kwestia nieco bardziej złożona i stanowi temat na inny artykuł.
Powyższe przykłady dotyczą najczęściej podstawowych obowiązków, których realizacja związana jest wprost z obowiązującymi przepisami. Biorąc pod uwagę, że od wprowadzonych zmian minęły już 4 lata. Gdy po takim okresie można jeszcze dostrzec u danego administratora braki w wypunktowanych obszarach, pojawia się przypuszczenie, że takich punktów może być więcej.
Dodatkowe informacje: