61 847 55 18 kontakt@osobowedane.pl

Każdy przedsiębiorca musi liczyć się z wieloma kontrolami, które będą miały na celu sprawdzenie poszczególnych obszarów jego działalności. Taka kontrolę może przeprowadzić również Generalny Inspektor Ochrony Danych Osobowych, który przeanalizuje poprawność przetwarzania danych osobowych w firmie przedsiębiorcy.

Na przedsiębiorcy w zakresie ochrony danych osobowych ciążą liczne obowiązki: zgłoszenie zbiorów danych do GIODO, przygotowanie i wdrożenie dokumentacji z zakresu ochrony danych osobowych, opracowanie regulaminu i polityki prywatności.

Kontrola GIODO ma na celu ustalenie stanu faktycznego w zakresie przestrzegania przez podmiot kontrolowany przepisów o ochronie danych osobowych oraz udokumentowanie dokonanych ustaleń.

 

Jak przebiega kontrola?

Zgodnie z obowiązującym prawem kontrolę przeprowadza Generalny Inspektor Ochrony Danych Osobowych lub zastępca GIODO (gdy taki został powołany) albo upoważnieni przez GIODO pracownicy, określani inspektorami (art. 14 ustawy).

 

W praktyce powoływane w tym celu są trzyosobowe zespoły kontrolne:

  • dwóch prawników będących pracownikami Departamentu Inspekcji Biura GIODO
  • jeden informatyk będący pracownikiem Departamentu Informatyki Biura GIODO.

Kontrola GIODO ma miejsce w siedzibie przedsiębiorcy lub w innych miejscach podejmowania przez niego działań związanych z przetwarzaniem danych. Ustawa o ochronie danych osobowych nie nakazuje uprzedzania przedsiębiorcy o zamiarze przeprowadzenia kontroli. Mimo to jednak w praktyce informuje się podmiot, który ma być kontrolowany o zamiarze przeprowadzenia kontroli, tak by mógł się do niej przygotować. W sytuacji podejrzenia popełnienia czynu zabronionego przez dany podmiot, GIODO może jednak wszcząć kontrolę bez zapowiedzi.

Do kontroli przedsiębiorców przez GIODO stosuje się przepisy ustawy o swobodzie działalności gospodarczej.

art. 79 ust. 4: Kontrolę wszczyna się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli. Jeżeli kontrola nie zostanie wszczęta w terminie 30 dni od dnia doręczenia zawiadomienia, wszczęcie kontroli wymaga ponownego zawiadomienia.

 

Zakres kontroli

Kontrolujący ma prawo:

  • wstępu, w godzinach od godziny 6 do 22 po okazaniu imiennego upoważnienia i legitymacji służbowej do pomieszczenia, w którym zlokalizowany jest zbiór danych oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą;
  • żądania złożenia pisemnych lub ustnych wyjaśnień oraz wezwania i przesłuchania odpowiednich osób w zakresie niezbędnym do ustalenia stanu faktycznego;
  • wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;
  • przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych.

Przedsiębiorca (ADO) jest zobowiązany do umożliwienia inspektorowi przeprowadzenia kontroli i wykonania czynności kontrolnych.

Co kontroluje GIODO?

Podczas kontroli GIODO skontroluje:

  1. legalność przetwarzania danych osobowych (w tym danych wrażliwych);
  2. zakres oraz cel przetwarzania danych;
  3. merytoryczną poprawność oraz ich adekwatność do celu przetwarzania;
  4. obowiązek informacyjny;
  5. zgłoszenie zbiorów do rejestracji;
  6. przekazywanie danych do państwa trzeciego;
  7. powierzenie przetwarzania danych osobowych;
  8. zabezpieczenie danych.

Po kontroli sporządzany jest protokół kontroli – jeden egzemplarz dostaje ADO, drugi przedsiębiorca.

art. 15 ust. 1 ustawy o ochronie danych osobowych wskazuje elementy protokołu:

  • nazwę podmiotu kontrolowanego w pełnym brzmieniu i jego adres;
  • imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia inspektora;
  • imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot;
  • datę rozpoczęcia i zakończenia czynności kontrolnych, z wymienieniem dni przerw w kontroli;
  • określenie przedmiotu i zakresu kontroli;
  • opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
  • wyszczególnienie załączników stanowiących składową część protokołu;
  • omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień;
  • parafy inspektora i osoby reprezentującej podmiot kontrolowany na każdej stronie protokołu;
  • wzmiankę o doręczeniu egzemplarza protokołu osobie reprezentującej podmiot kontrolowany;
  • wzmiankę o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu;
  • datę i miejsce podpisania protokołu przez inspektora oraz przez osobę lub organ reprezentujący podmiot kontrolowany.

Protokół powinien zostać podpisany zarówno przez inspektora przeprowadzającego kontrolę w firmie, jak i przez samego ADO. ADO może wnieść do protokołu zastrzeżenia i uwagi.
Gdy ADO odmówi podpisania protokołu, inspektor GIODO odnotowuje ten fakt w protokole. ADO odmawiający podpisu w terminie 7 dni może przedstawić swoje stanowisko na piśmie GIODO.

 

Co przypadku wykrycia przez GIODO naruszeń?

Art. 18. ustawy o ochronie danych osobowych wskazuje, iż jeżeli po przeprowadzonej kontroli inspektor stwierdzi naruszenie przepisów o ochronie danych osobowych, występuje do Generalnego Inspektora o wydanie decyzji administracyjnej nakazującej przywrócenia stanu zgodnego z prawem poprzez:

1) usunięcie uchybień;
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych;
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;
4) wstrzymanie przekazywania danych osobowych do państwa trzeciego;
5) zabezpieczenie danych lub przekazanie ich innym podmiotom;
6) usunięcie danych osobowych.

Podsumowanie

Ochrona danych osobowych to zagadnienie, które dotyczy praktycznie każdej firmy. Prowadząc biznes, przetwarza się dane osobowe. Ustawa o ochronie danych osobowych nakłada na przedsiębiorców obowiązek przetwarzania danych osobowych zgodnie z prawem.
W tym celu wprowadzono procedury kontrolne umożliwiające weryfikację procesu przetwarzania danych osobowych u przedsiębiorców. Niniejszy artykuł miał na celu przedstawienie procedury kontrolnej i wskazanie obowiązków z zakresu ochrony danych osobowych leżących po stronie przedsiębiorcy.