Fundacje a RODO - konkluzje z kontroli PUODO
Fundacje a RODO - konkluzje z kontroli PUODO
Prezes Urzędu Ochrony Danych Osobowych opublikował sprawozdanie ze swojej działalności w 2021 roku, w którym można odnaleźć ciekawe informacje, między innymi w zakresie tego, jakie podmioty podlegały kontroli przez Urząd oraz jakie wnioski z nich wyciągnięto.
Warto zwrócić uwagę na wnioski z kontroli przeprowadzonych w stosunku do fundacji, bowiem mogą one unaocznić, ile pracy należy włożyć w zapewnienie odpowiedniego bezpieczeństwa danych i pozostawania w zgodzie z prawem w tym zakresie.
Niezwykle ciekawa jest uwaga Urzędu zamieszczona w sprawozdaniu, a odnosząca się do kwestii zamieszczania klauzul informacyjnych oraz zgód na jednym dokumencie. Zgodnie ze sprawozdaniem, audytowana fundacja dokonała połączenia dwóch rodzajów treści, tj. zamieściła zgodę na przetwarzanie danych pod klauzulą informacyjną, zbierając jednocześnie jeden podpis pod takim oświadczeniem, co zostało przez PUODO uznane za nieprawidłowe. Wobec powyższego przypominamy, iż zgodnie z RODO zgoda na przetwarzanie danych osobowych musi być zapisem odrębnym od innych oświadczeń. Oznacza to, iż podpis złożony pod zgodą winien dotyczyć tylko i wyłącznie tej zgody.
Dodatkowo Urząd zwrócił uwagę na fakt, iż audytowana organizacja nie stosowała odpowiednich środków zabezpieczających dane osobowe, w tym z powodu braku aktualnej bazy istniejących zagrożeń oraz wygaśnięcia licencji na oprogramowanie antywirusowe. Należy pamiętać, iż podstawowym obowiązkiem administratora jest zastosowanie odpowiednich środków technicznych i organizacyjnych celem zabezpieczenia danych. Za podstawowy środek ochrony w środowisku informatycznym należy uznać stosowanie i bieżące aktualizowanie oprogramowania antywirusowego oraz stosowanie legalnego oprogramowania komputerowego.
W omawianym sprawozdaniu wskazano, iż podczas audytów wykryto naruszenia przepisów dotyczących ochrony danych osobowych poprzez niestosowanie wobec osób, przy pomocy których organizacje wykonują swoje czynności, odpowiednich upoważnień do przetwarzania danych osobowych. Warto więc przypomnieć, iż zgodnie z przepisami RODO, administrator musi wydawać upoważnienia do przetwarzania danych osobowych, każdemu pracownikowi i współpracownikowi, określając zakres takiego przetwarzania.
We wskazanym dokumencie PUODO zwrócił także uwagę na korzystanie z bezpłatnych usług Google (poczty elektronicznej oraz chmury obliczeniowej). Audytowana fundacja nie była w stanie wykazać się odpowiednimi dokumentami potwierdzającymi zawarcie umowy powierzenia przetwarzania danych osobowych z uwzględnieniem wszystkich niezbędnych elementów jej treści. Mając powyższe na uwadze, należy pamiętać, iż korzystanie z jakichkolwiek usług, wiążących się np. z przechowywaniem danych, musi znaleźć oparcie w umowie powierzenia przetwarzania danych osobowych, skonstruowanej zgodnie z art. 28 RODO.
Prezes Urzędu zauważył także wiele innych niezgodności, na które również warto zwrócić uwagę, w tym: nieprawidłowe przetwarzanie danych wrażliwych (bez zgody osoby, której dane dotyczyły), błędne oznaczenie administratorów danych osobowych oraz odbiorców tych danych, brak uregulowania kwestii przetwarzania danych przez zatrudnionych specjalistów (psychologów, prawników itd.), a także brak zgłoszenia do PUODO danych do kontaktu z inspektorem ochrony danych.
Znajomość treści sprawozdania może uświadomić, jak wiele błędów jest popełnianych przy przygotowywaniu procedur i dokumentów związanych z ochroną danych osobowych. Mając powyższe na względzie, nie tylko fundacje powinny zweryfikować poprawność stosowania przepisów RODO w swojej organizacji, ale także inne podmioty, bowiem powyższe uwagi de facto odnoszą się do wszystkich podmiotów przetwarzających dane osobowe. Zachęcamy więc do weryfikacji wewnętrznych uregulowań i stosowanych procedur pod kątem ich zgodności z przepisami RODO.
Krystyna Cent
radca prawny