Wydarzenia

Co się dzieje z RODO?


Kontrole z wdrożenia RODO ruszyły. Na pierwszy ogień poszedł sektor publiczny. Kiedy mogą się spodziewać pierwszych „wizytacji” dealerzy? I co dealer powinien zrobić już teraz, zanim pojawią się u niego kontrolerzy?

Zgodnie z zatwierdzonym przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) rocznym planem kontroli sektorowych, w 2019 r. kontrole przetwarzania danych osobowych rozpoczną się od obszarów takich jak telemarketing, profilowanie w sektorze bankowym i ubezpieczeniowym czy system identyfikacji i monitoringu odpadów. Zweryfikowaniu będzie podlegać nie tylko sektor publiczny, jak Straż Graniczna czy Policja, ale też monitoring wizyjny w sektorze prywatnym i przetwarzanie danych w związku z rekrutacją. UODO ma zwrócić szczególną uwagę na sposób prowadzenia rejestrów przetwarzania danych i sposób dokumentowania przez administratora naruszeń ochrony danych. Z kolei skargi, jakie wpływały do UODO do tej pory, dotyczyły najczęściej: usunięcia danych osobowych, wymuszenia zgody na przetwarzanie danych w celach marketingowych, przesyłania niechcianej korespondencji oraz pozyskiwania nadmiernej ilości danych.

Nowe obowiązki, kolejne kontrole

Zwróćmy uwagę na nowe mechanizmy prawne dotyczące przeprowadzanych kontroli. Nie chodzi tylko o nakładanie kar i ich wysokość, ale przede wszystkim o przebieg takiej kontroli (szczegółowo jest on opisany w rozdziale 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych). Zakres kontroli jest bardzo szeroki.

Może obejmować m.in. kwestie: zgodności z prawem, rzetelności, przejrzystości, minimalizacji danych, prawidłowości, ograniczenia przechowywania, integralności i poufności, przetwarzania szczególnych kategorii danych, warunków wyrażenia zgody i jej wycofania, zgłaszania naruszeń, umów powierzenia, polityki ochrony danych… Co istotne dla przedsiębiorcy, kontrola może być wykonana znienacka, bo kontrolerzy nie mają obowiązku wcześniejszego zawiadomienia o zamiarze przeprowadzenia kontroli. Dealer może się za to domagać okazania imiennego upoważnienia oraz legitymacji służbowej lub dokumentu tożsamości kontrolera.

Kontrolujący mogą prowadzić kontrolę na dwa sposoby: przy biurku (analiza zebranej dokumentacji oraz informacji z ankiet, rejestrów i innych zasobów informacyjnych) oraz na miejscu (dostęp do wszystkich pomieszczeń administratora danych osobowych i podmiotu przetwarzającego, a także do danych, wszystkich informacji, sprzętu i środków służących do przetwarzania danych).

Czynności kontrolne odbywają się w obecności kontrolowanego lub osoby przez niego upoważnionej. Dealer ma obowiązek wskazać pisemnie osobę upoważnioną do reprezentowania go w trakcie kontroli, najlepiej by była to osoba zajmująca w firmie stanowisko kierownicze. Może się zdarzyć, że przebieg kontroli lub niektóre czynności zostaną nagrane. Jest to dopuszczalne, ale pod warunkiem, że kontrolowany zostanie wcześniej o tym poinformowany. Pojawiła się też możliwość kontroli w asyście policji. Warto tu również pamiętać, że kontrolujący ma prawo wstępu do firmy w określonych godzinach – od 6.00 do 22.00. Ma też prawo wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli, przeprowadzania oględzin miejsc, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych. Może on również zażądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchania w charakterze świadka kontrolowanego pracownika (nie ma tu znaczenia podstawa prawna zatrudnienia, zatem przesłuchany może być zarówno pracownik zatrudniony na umowę o pracę, zlecenie, o dzieło, jak też „samozatrudniony”), a także zlecić sporządzanie ekspertyz i opinii.

Formalnym zakończeniem kontroli jest protokół (elektroniczny bądź tradycyjny), który musi zostać podpisany przez obie strony. Nie oznacza to jednak, że dealer musi go od razu podpisać „w ciemno” – jeżeli się z czymś nie zgadza, to w terminie 7 dni od dnia przedstawienia protokołu do podpisu może wnieść zastrzeżenia co do treści tego dokumentu. Mamy tu więc do czynienia z czymś na wzór terminu na „odwołanie”. Kończąc temat przebiegu kontroli, warto wspomnieć, że nie może ona trwać dłużej niż 30 dni.

Trzymać rękę na pulsie

Dealerzy muszą pamiętać, że RODO nie powinno ograniczać się jedynie do jednorazowego wdrożenia postanowień rozporządzenia i ustawy. RODO to przede wszystkim ciągłe stosowanie przepisów i procedur – to proces, który powinien zagościć w firmie na stałe. Ze względu na to, że minęło już kilka miesięcy od wejścia w życie RODO, każdy z dealerów powinien zweryfikować, jak wygląda u niego praktyczne stosowanie nowych formularzy i dokumentów. Można zacząć od przejrzenia strony internetowej: czy jest na niej link do polityki prywatności, czy są dostępne informacje na temat inspektora ochrony danych osobowych (na stronie www muszą znajdować się dane osobowe inspektora, w pozostałych dokumentach wystarczy telefon czy e-mail), czy pod formularzami do kontaktu w sprawie na przykład jazdy testowej znajdują się informacje, kto jest administratorem danych i czy są wyszczególnione niezbędne zgody. Jeżeli wystawiamy auta w galerii handlowej lub organizujemy dni otwarte, również zweryfikujmy formularze pod kątem zgodności z wymogami RODO. Zawsze może trafić się „Kowalski”, który będzie chciał przejechać się Mercedesem, ale nie wyrazi zgody na kontakt telefoniczny lub mailowy. Wówczas pozostaje nam kontakt z nim pocztą tradycyjną (jeśli takie dane zostawił…).

Jeśli chodzi natomiast o dział kadr należy przyjrzeć się, czy pracownicy (lub osoby współpracujące na innej podstawie prawnej) mają nadane upoważnienia, czy otrzymali klauzule informacyjne, czy wyrazili zgodę na wykorzystanie ich wizerunku oraz w jakim zakresie (np. gdy dealer zamieszcza reklamy z wizerunkiem pracowników salonu czy serwisu). Osoby odpowiedzialne za procesy rekrutacyjne powinny sprawdzić, jakich danych żądają od kandydatów i czy nie zbierają przypadkiem takich, których nie powinny. Pracodawcy nie mogą na przykład żądać każdego dokumentu „na wszelki wypadek”, choćby zaświadczenia o niekaralności, chyba że są do tego uprawnieni z mocy ustawy. Obowiązek poinformowania o klauzuli informacyjnej dotyczy nie tylko pracowników czy osób współpracujących, taką klauzulę należy zamieszczać również w ogłoszeniach o pracę. Niektórzy pracownicy są oburzeni, że RODO obowiązuje, a pracodawca zamieszcza ich dane na przykład na stronie internetowej. Tu należy jasno podkreślić, że imię i nazwisko pracownika czy też służbowy adres e-mail, są ściśle związane z jego życiem zawodowym oraz wykonywaniem przez niego służbowych obowiązków. Stąd dane te mogą być wykorzystywane przez pracodawcę nawet bez zgody pracownika, natomiast osoba zatrudniona powinna być tego świadoma jeszcze przed nawiązaniem stosunku pracy.

Nie dać się zaskoczyć

Warto też wspomnieć o gromadzeniu danych przy użyciu urządzeń lokalizujących GPS, co często się zdarza w przypadku pojazdów demonstracyjnych, którymi poruszają się pracownicy dealera. Tutaj – analogicznie jak przy monitoringu poczty elektronicznej – pracodawca obowiązany jest poinformować pracownika na piśmie o celach, zakresie i sposobie monitorowania urządzenia, a także umieścić w widocznym miejscu w samochodzie symbol obrazkowy informujący o tym, że trasa pojazdu i jego wykorzystanie są monitorowane za pomocą urządzenia lokalizującego (oraz jakie dane będą przy pomocy urządzenia zbierane, gdzie rejestrowane, jak długo przechowywane i kto będzie miał do nich dostęp). Dodatkowy problem pojawia się w sytuacji, gdy pojazd służbowy wykorzystywany jest także w celach prywatnych. Wówczas należy uzyskać zgodę pracownika na przetwarzanie danych z GPS-a.

Abstrahując od samych kadr, właściwie w każdym dziale stacji dealerskiej należy sprawdzić, czy procedury i polityki dotyczące przetwarzania danych, ich bezpieczeństwa i zgłaszania naruszeń zostały odpowiednio wdrożone. Sprawdźmy też, czy rejestry są uzupełniane na bieżąco, oraz czy inspektor ochrony danych zauważył przez ostatnich kilka miesięcy jakiekolwiek nieprawidłowości lub naruszenia. Czasem wystarczy bowiem wejść do salonu, by dostrzec gołym okiem, jakie dokumenty leżą na biurkach handlowców, w recepcji czy w serwisie… Zbadajmy więc, czy są dostępne dla „Kowalskiego”, ile jest niszczarek do dokumentów i czy pracownicy na bieżąco z nich korzystają. Nie można tu oczywiście również dać się zwariować i doprowadzić do paraliżu funkcjonowania przedsiębiorstwa, pamiętajmy o zasadzie proporcjonalności. Warto jednak przeprowadzić wewnętrzną kontrolę stosowania RODO przez salon i serwis, by nie czuć się zaskoczonym, gdy prawdziwy kontroler zapuka do naszych drzwi. Tym bardziej, że do tej pory zdarzają się u autoryzowanych dealerów niepodpisane umowy powierzenia przetwarzania danych, na drzwiach ich salonów nie ma żadnej informacji o monitoringu, a dokumenty z danymi klientów nierzadko po prostu leżą luzem na drukarkach.

TEKST:
Małgorzata Miller
Autorka jest radcą prawnym w Kancelarii Radcy Prawnego Małgorzata Miller