Nasz strona wykorzystuje pliki cookies w celu personalizacji oferty wysyłanej do klientów oraz analizy zachowania użytkowników, tak aby dostarczać usługi na najwyższym poziomie. Korzystając ze strony wyrażają Państwo zgodę na przetwarzanie danych. Dalsze informacje można znaleźć w polityce prywatności.



Przetwarzasz dane w aplikacji mobilnej? Przygotuj się na kontrolę Urzędu Ochrony Danych Osobowych

PrintMailRate-it

Marta Wiśniewska

4 lutego 2022 r. ​

 

Jak co roku, w styczniu Prezes Urzędu Ochrony Danych Osobowych opublikował plan kontroli sektorowych na 2022 r.

 

Z zatwierdzonego planu kontroli wynika, że kontroli UODO w najbliższym roku mogą spodziewać się podmioty z następujących grup:

  1. organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym;
  2. banki (w zakresie profilowania danych osobowych klientów i potencjalnych klientów oraz sposobu informowania osób ubiegających się o kredyt o dokonanej ocenie kredytowej);
  3. podmioty, które przetwarzają dane osobowe przy użyciu aplikacji mobilnych (w zakresie sposobu zabezpieczania i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem tych aplikacji).


Zgodnie z informacją UODO, zaplanowane kontrole sektorowe podyktowane są licznymi sygnałami (w tym skargami, pytaniami i zgłoszeniami naruszeń ochrony danych osobowych) wskazującymi na zagrożenia naruszenia przepisów o ochronie danych osobowych oraz duże społeczne zainteresowanie tego typu problemami.


Kontrola UODO a przetwarzanie danych w aplikacji mobilnej


Szczególną uwagę należy zwrócić na planowane kontrole w sektorze prywatnym, tj. na kontrole firm przetwarzających dane osobowe przy użyciu aplikacji mobilnych. Ten krąg podmiotów został określony przez UODO bardzo szeroko, ponieważ obecnie praktycznie każda firma przetwarza dane przy użyciu aplikacji mobilnych.


Tego typu aplikacje mobilne mogą być skierowane bezpośrednio do klientów / osób fizycznych (np. aplikacje sportowe, benefity, aplikacje sklepów internetowych umożliwiające zarządzenie własnym kontem itp.) lub mieć charakter wewnętrzny (np. systemy CRM, systemy do zarządzania pracą przedstawicieli handlowych itp.). Wprowadzenie i korzystanie z aplikacji mobilnej należy dobrze zaplanować, a także regularnie monitorować.
W pierwszej kolejności należy pamiętać o ochronie danych osobowych już na etapie projektowania, a także domyślnej ochronie danych osobowych. Oznacza to, że jeszcze przed wdrożeniem danej aplikacji mobilnej należy przeanalizować m.in.:

  • czy i jakiego rodzaju dane osobowe będą przetwarzane w danej aplikacji;
  • czy przetwarzane dane są konieczne dla osiągnięcia danego celu (tj. czy nie będą przetwarzane dane nadmiarowe);
  • w jaki sposób spełnione zostaną obowiązki informacyjne.


Obok weryfikacji i prawidłowego wdrożenia aplikacji mobilnej od strony formalnoprawnej istotne jest sprawdzenie aplikacji pod kątem technicznym, w tym także sposobów zabezpieczenia przetwarzania danych. Ponadto konieczna jest weryfikacja podmiotów zewnętrznych, które będą wspierać obsługę takich aplikacji mobilnych oraz zawarcie odpowiednich umów powierzenia przetwarzania danych osobowych. Weryfikacja powyższych elementów powinna zostać udokumentowana w formie analizy ryzyka, a także oceny skutków dla ochrony danych (w przypadku, gdy istnieje konieczność jej przeprowadzenia). Natomiast po wdrożeniu aplikacji mobilnej niezbędne jest jej regularne monitorowanie, w tym także przeprowadzanie systematycznych testów z zakresu cyberbezpieczeństwa.

 

Podsumowanie


Istotne jest, aby zweryfikować:

  • czy firma przetwarza dane osobowe przy użyciu aplikacji mobilnych;
  • czy aplikacje te zostały prawidłowo wdrożone i zabezpieczone technicznie.


W zakresie kontroli UODO warto pamiętać, że nawet jeżeli dany podmiot objęty jest planem kontroli sektorowej – kontrola nie może odbyć się bez zapowiedzi.


Prezes UODO zobowiązany jest do zawiadomienia o zamiarze wszczęcia kontroli. Kontrolę wszczyna się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli. Poza formalnym zawiadomieniem praktykowane jest także informowanie o kontroli telefonicznie.


Zawiadomienie o zamiarze wszczęcia kontroli powinno wskazywać zakres przedmiotowy kontroli oraz  jej termin. Po otrzymaniu zawiadomienia należy podjąć odpowiednie kroki, aby prawidłowo przygotować się do kontroli. Należy pamiętać, że przepisy nakładają na podmioty kontrolowane szereg obowiązków. Niezrealizowanie ich grozi nałożeniem pieniężnych kar administracyjnych, a nawet odpowiedzialnością karną.



Jeżeli masz pytania dotyczące ochrony danych osobowych, zapraszamy do kontaktu z ekspertami Rödl & Partner.

Kontakt

Contact Person Picture

Jarosław Kamiński

adwokat

Associate Partner

+48 694 207 482

Wyślij zapytanie

Profil


Deutschland Weltweit Search Menu