Co nowego u PUODO?

Plan kontroli sektorowych UODO na 2024 rok

Urząd Ochrony Danych Osobowych przyjął plan kontroli sektorowych na 2024 rok.

Z ewentualną kontrolą powinny liczyć się następujące podmioty:

• organy przetwarzające dane osobowe w SIS/VIS;
• podmioty, które przetwarzają dane osobowe przy użyciu aplikacji internetowych (webowych) – sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji, jako kontynuacja kontroli z 2023 r;
• podmioty prywatne w zakresie prawidłowości spełniania obowiązku informacyjnego określonego w art. 13 i 14 RODO.

Aby uniknąć ryzyka w postaci otrzymania kary przez organ nadzorczy, zalecamy przegląd w podmiotach prywatnych wszystkich procesów, w ramach których są zbierane dane osobowe i weryfikację, czy do każdego procesu została wdrożona klauzula informacyjna celem spełnienia obowiązku informacyjnego przez organizację.

Zmiana stanowiska w zakresie stosowania monitoringu wizyjnego względem pracowników

Zgodnie ze stanowiskiem Prezesa Urzędu Ochrony Danych Osobowych z dnia 26 stycznia 2024 r. „prawidłowe poinformowanie nowo zatrudnionego pracownika o zasadach monitoringu powinno obejmować zawsze trzy dokumenty:

1. zapoznanie pracownika z regulaminem pracy (układem zbiorowym pracy, obwieszczeniem),
2. poinformowanie pracownika o celu, zakresie oraz sposobie zastosowania monitoringu,
3. klauzulę informacyjną wynikającą z art. 13 RODO.”

Powszechnie obowiązujące przepisy wymagają, aby cele, zakres oraz sposób zastosowania monitoringu pracodawca ustalił w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu, jeżeli pracodawca nie jest objęty układem zbiorowym pracy lub nie jest obowiązany do ustalenia regulaminu pracy (art. 22[2] § 6 k.p.)

§ 8 ww. przepisu wskazuje, że Pracodawca przed dopuszczeniem pracownika do pracy przekazuje mu na piśmie informacje, o których mowa w § 6.

Ustawodawca jednak nie sprecyzował, czy musi to być odrębna informacja, co pozwala na przyjęcie, że przedłożenie pracownikowi regulaminu pracy do zapoznania się przed dopuszczeniem go do pracy wypełnia obowiązek, o którym mowa w § 8, a podpisanie przez pracownika oświadczenia o zapoznaniu się z regulaminem pracy zapewnia zasadę rozliczalności.

Z kolei art. 13 RODO wymaga, aby administrator podczas pozyskiwania danych od osoby, której dane dotyczą wypełnił obowiązek informacyjny wobec tej osoby.

W naszej opinii, stanowisko PUODO nie wprowadza żadnej merytorycznej zmiany w zakresie zapoznania pracownika z zasadami stosowania monitoringu wizyjnego, lecz jest jedynie duplikowaniem dokumentów. Jest to kolejny przykład nieżyciowego podejścia polskiego regulatora.

Zapraszamy do śledzenia naszych nowinek.