Urząd Ochrony Danych Osobowych (UODO) przedstawił zatwierdzony plan kontroli na 2019 r. W sektorze prywatnym skupi się na działalności firm telemarketingowych, brokerów danych oraz profilowaniu klientów przez banki i ubezpieczycieli. W sektorze publicznym weźmie pod lupę m.in. miejskie monitoringi wizyjne, udostępnianie danych w BIP, systemy identyfikacji i monitoringu odpadów, prowadzenie rejestrów członków przez spółdzielnie mieszkaniowe.

– W pierwszym od wejścia w życie RODO planie sektorowych kontroli zwracają uwagę tematy, które często gościły w mediach. Na czoło wysuwa się monitoring i telemarketing. Przetwarzanie danych osobowych dla tych celów budzi zainteresowanie nie tylko monitorowanych i obdzwanianych, ale też monitorujących i obdzwaniających – mówi Adam Klimowski, specjalista ds. ochrony danych osobowych z firmy JAMANO.

Niechciane telefony

Chyba najwięcej emocji budzi działalność telemarketerów wydzwaniających, często bez naszej zgody, na komórki. Panowało przekonanie, że RODO ucywilizuje tę działalność. W rzeczywistości jednak unijne rozporządzenie dotyczy wyłącznie jednego z aspektów związanych z telemarketingiem – przetwarzania danych osobowych. Głównych przepisów regulujących tę działalność trzeba zaś szukać w ustawie – Prawo telekomunikacyjne (t.j. Dz.U. z 2017 r. poz. 1907 ze zm.). Ważne są też kwestie związane z jakością towarów oferowanych podczas tych rozmów telefonicznych.

W efekcie mamy chaos prawny i kompetencyjny, który sprawia, że telemarketing leży w gestii aż trzech różnych organów. UODO zapowiedział, że niebawem podpisze porozumienie w tej sprawie z Urzędem Ochrony Konkurencji i Konsumentów. Rozpoczął też współpracę z Urzędem Komunikacji Elektronicznej. W efekcie mają być podejmowane bardziej przekrojowe działania.

– Podczas kontroli patrzymy na działalność call center z perspektywy zgodności z RODO, ale mamy świadomość, że przetwarzanie danych to pierwszy element, który może w dalszej kolejności prowadzić do nadużywania praw konsumenckich. Jeśli będziemy na to patrzeć odrębnie, możemy być nieefektywni jako państwo – mówi Piotr Drobek, dyrektor Zespołu Strategii i Analiz UODO.

Banki na cenzurowanym

Kolejny punkt kontroli to profilowanie klientów przez banki i ubezpieczycieli. Sprawa o tyle istotna, że jest ono stosowane powszechnie, np. przy obliczaniu zdolności kredytowej, a jednocześnie klienci nie wiedzą, co tak naprawdę zadecydowało o tym, że odmówiono im pożyczki. W najbliższym czasie Sejm zdecyduje, czy prawo domagania się takich informacji będzie przysługiwać wyłącznie przy w pełni zautomatyzowanym podejmowaniu decyzji przez bank, czy też również wtedy, gdy udział w tym procesie miał człowiek. Niezależnie od decyzji i banki, i ubezpieczyciele mogą spodziewać się wizyty kontrolerów UODO. Jak się do niej przygotować?

– Należy pamiętać, że obowiązuje zasada rozliczalności. To kontrolowany administrator musi być w stanie wykazać spełnienie poszczególnych obowiązków ochrony danych osobowych. Niestety, dziś jeszcze nie funkcjonuje certyfikacja, która miała to potwierdzać. W praktyce więc to administrator musi wykazać swoje przygotowanie przez odpowiednie wewnętrzne procedury postępowania i dokumentację – wyjaśnia dr Grzegorz Sibiga, adwokat w kancelarii Traple, Konarski, Podrecki i Wspólnicy.

Mundurowi też

Plan kontroli UODO obejmuje również organy ścigania i sądy. Kontrolerzy zamierzają m.in. sprawdzić, jakie środki stosują policja i Straż Graniczna, by zabezpieczyć się przed nieuprawnionym kopiowaniem i zmienianiem danych. Podobne kontrole zostaną przeprowadzone w aresztach śledczych. W szkołach będzie kontynuowana weryfikacja przetwarzania danych z kamer monitoringu. To samo zapowiedziano wobec pracodawców, przy czym u nich zostanie też sprawdzone postępowanie z danymi gromadzonymi w związku z rekrutacją pracowników.

To ostatnie może się wiązać ze sporem kompetencyjnym między UODO a Ministerstwem Cyfryzacji. UODO stoi na stanowisku, że pracodawcy nie powinni przechowywać CV kandydatów po zakończeniu rekrutacji. Tymczasem Ministerstwo Cyfryzacji w wydanych w minionym tygodniu objaśnieniach doszło do odmiennych wniosków (pisaliśmy o tym w DGP 17/2019 w tekście „Firmy mogą przechowywać CV odrzuconych kandydatów do pracy”). Prezes UODO uznała to za ingerencję w jej kompetencje, przekonując, że jest jedynym organem uprawnionym do interpretowania przepisów dotyczących danych osobowych.

Gdzie te kary?

RODO budzi emocje przede wszystkim ze względu na olbrzymie kary za nieprzestrzeganie jego przepisów. Dwa tygodnie temu francuski organ ochrony danych osobowych wydał decyzję nakładającą na Google karę w wysokości 50 mln euro.

W Polsce żadna kara finansowa nie została jeszcze orzeczona. Jak zapowiedziała dr Edyta Bielak-Jomaa, prezes UODO, niebawem można się pierwszej spodziewać. Deklaracja ta padła podczas konferencji zorganizowanej z okazji obchodzonego wczoraj XIII Dnia Ochrony Danych Osobowych (DGP objął patronat nad obchodami). – Celem nie jest samo nakładanie kar, tylko poprawa ochrony danych osobowych – zaznaczyła dr Edyta Bielak-Jomaa.

– Można to porównać do tego, co robi policjant. Czy dobrym policjantem jest ten, który wystawia mandaty za najmniejsze nawet przewinienia, czy ten, który może mniej karze, ale sprawia, że obywatele przestrzegają prawa? – pytał retorycznie prof. dr Paul De Hert, prodziekan Wydziału Prawa i Kryminologii Uniwersytetu Vrije w Brukseli.

>> Czytaj też: UODO: Facebook musi respektować RODO, ale nie oświadczenia na naszym profilu