ZADANIA KONTROLNE GENERALNEGO INSPEKTORA
Ustawa o ochronie danych osobowych w art. 12 pkt 1 wskazuje, iż do zadań Generalnego Inspektora Ochrony Danych Osobowych należy „kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych”.
Celem kontroli jest ustalenie stanu faktycznego w zakresie przestrzegania przez podmiot kontrolowany przepisów o ochronie danych osobowych oraz udokumentowanie dokonanych ustaleń.
Kontrole przeprowadzają inspektorzy w zespołach kontrolnych składających się najczęściej z trzech osób – dwóch pracowników (prawników) Departamentu Inspekcji Biura GIODO oraz jednego pracownika (informatyka) Departamentu Informatyki Biura GIODO. Czynności kontrolne „na miejscu” są dokonywane w siedzibie kontrolowanego podmiotu oraz w innym miejscu (np. jednostce organizacyjnej) wskazanym jako obszar przetwarzania danych osobowych. Kontroli poddawane są zarówno podmioty sektora publicznego, jak i podmioty prywatne, które w art. 3 ustawy zostały wskazane jako podmioty zobowiązane do ochrony danych osobowych – podmioty przetwarzające dane osobowe.
ZAKRES PODMIOTOWY UPRAWNIEŃ KONTROLNYCH GENERALNEGO INSPEKTORA
Zakres podmiotowy uprawnień kontrolnych Generalnego Inspektora jest bardzo szeroki. Jak już wskazano, kontroli poddawane są podmioty należące do sfery publicznej i prywatnej.
ZAKRES PRZEDMIOTOWY UPRAWNIEŃ KONTROLNYCH GENERALNEGO INSPEKTORA
1. Przesłanki legalności przetwarzania danych osobowych
Podmiot kontrolowany powinien wykazać co najmniej jedną z przesłanek legalności przetwarzania danych, które zostały wymienione w art. 23 ustawy.
Jeśli np. podstawą prawną przetwarzania danych jest zgoda osoby, której one dotyczą – inspektor żąda udokumentowania zgody; (oświadczenie na piśmie, nagranie bądź każdy inny nośnik informacji dokumentujący wyrażoną zgodę); jeśli dane są potrzebne do realizacji umowy – inspektor zażąda wglądu do treści umowy
2. Przesłanki legalności przetwarzania danych szczególnie chronionych
Gdy tą podstawą jest przepis szczególny innej ustawy, wówczas kontrolowany podmiot powinien precyzyjnie określić dany przepis – poprzez jego przedstawienie i podanie nazwy aktu prawnego, z którego pochodzi;
3. Zakres i cel przetwarzania danych
Kontrolowany podmiot jest obowiązany podać kategorie osób (np. pracownicy, uczniowie, członkowie, klienci) oraz kategorie przetwarzanych danych i ich zakres (dane tzw. zwykłe – np. imię, nazwisko, adres zamieszkania, data urodzenia, stan cywilny; dane szczególnie chronione i ich zakres – np. stan zdrowia, kod genetyczny, nałogi, pochodzenie rasowe, poglądy polityczne, religijne), a także wskazać cel, w jakim dane przetwarza (np. marketingowy, podatkowy, archiwalny);
4. Merytoryczna poprawność danych i ich adekwatność do celu przetwarzania
Kontrolowany podmiot jest obowiązany wykazać merytoryczną poprawność, np. poprzez okazanie dokumentów, które potwierdzą np. poprawną pisownię kwestionowanego imienia, nazwiska czy daty urodzenia danej osoby. Badając adekwatność danych, inspektor szczegółowo analizuje wszystkie ich elementy oraz cel, w jakim są przetwarzane. Kontrolowany podmiot musi z kolei uzasadnić potrzebę posiadania danych osobowych – w stosunku do celu przetwarzania, w jakim je pozyskał (podmiot prywatny). W przypadku podmiotów publicznych wymagane jest podanie przepisu uprawniającego do przetwarzania określonych danych.
5. Obowiązek informacyjny
Inspektor sprawdza, w jaki sposób jest realizowany obowiązek poinformowania każdej osoby, której dane dotyczą, tj. czy zakres informacji uwzględnia odrębnie uregulowane dwie sytuacje dotyczące źródła pozyskania danych (od osoby, której dane dotyczą – art. 24 ustawy, i nie od osoby, której dane dotyczą – art. 25), a zatem czy zawiera określone przepisami ustawy elementy, a ponadto czy poinformowanie ma indywidualny charakter i czy informacje zostały przedstawione w sposób zrozumiały dla odbiorcy;
6. Zgłoszenie zbioru do rejestracji
Inspektor sprawdza, czy prowadzone przez podmiot kontrolowany zbiory danych nie podlegają w myśl art. 43 ust. 1 ustawy zwolnieniu z obowiązku rejestracji. Jeśli obowiązek rejestracji zaistniał i dokonano zgłoszenia zbiorów do rejestracji oraz stan faktyczny odnoszący się do informacji podanych w zgłoszeniu. Inspektor ustala ponadto, czy ewentualna zmiana, w zakresie informacji podanych w zgłoszeniu, została Generalnemu Inspektorowi zgłoszona w terminie wskazanym w ustawie;
7. Przekazywanie danych do państwa trzeciego
Inspektor sprawdza, czy kontrolowany podmiot uwzględnił co najmniej jedną z przesłanek wymienionych w art. 47 ustawy, zezwalających na legalne przekazanie danych poza obszar UE. Ponadto dokonuje oceny, czy zostały zastosowane odpowiednie środki techniczne i organizacyjne zabezpieczające dane, o których mowa w ustawie i rozporządzeniu
8. Powierzenie przetwarzania danych osobowych (art. 31 ustawy)
Inspektor sprawdza, czy umowa powierzenia została sporządzona na piśmie, a następnie szczegółowo bada jej treść; umowa powinna m.in. precyzyjnie określać zakres danych przekazanych do przetwarzania oraz podstawę i cel przetwarzania. Kopia umowy, potwierdzona za zgodność przez administratora danych, jest załączana do protokołu i szczegółowo opisywana. Ponadto może być przeprowadzona kontrola podmiotu, któremu zlecono przetwarzanie danych. W takim przypadku inspektor bada, czy dane są przetwarzane zgodnie z postanowieniami umowy powierzenia (w szczególności, jeśli chodzi o zakres danych i wskazany cel) oraz czy podmiot, któremu powierzono przetwarzanie danych, podjął środki zabezpieczające określone w przepisach o ochronie danych osobowych
9. Zabezpieczenie danych
Jednym z podstawowych celów kontroli jest sprawdzenie zgodności przetwarzania danych z przepisami o ochronie danych osobowych związanych z bezpieczeństwem przetwarzanych danych (rozdz. V ustawy oraz przywołane rozporządzenie Ministra Spraw Wewnętrznych i Administracji). Inspektor ocenia, czy administrator danych zgodnie z art. 36 ust. 1 ustawy zastosował środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych – odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności czy w odpowiedni sposób zabezpieczył dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem, lub zniszczeniem.
Przepisy o ochronie danych osobowych nie precyzują, jakimi środkami należy się posłużyć, aby zapewnić właściwą ochronę przetwarzania danych. O użyciu środków danego rodzaju decyduje administrator, a skuteczność zastosowanych rozwiązań podlega badaniom w czasie kontroli. Wymogi dotyczące zabezpieczenia danych odnoszą się zarówno do danych przetwarzanych w sposób tradycyjny, jak i do danych przetwarzanych w systemach informatycznych.
W toku kontroli ustala się, czy:
- wszystkie osoby biorące udział w procesie przetwarzania danych, tj. uczestniczące w jakichkolwiek operacjach wykonywanych na danych osobowych, takich jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie – posiadają upoważnienie nadane przez administratora danych (art. 37 ustawy);
- kontrolowany podmiot prowadzi ewidencję osób upoważnionych do przetwarzania danych (art. 39 ust. 1 ustawy), zawierającą:
a) imię i nazwisko osoby upoważnionej;
b) datę nadania upoważnienia;
c) datę ustania upoważnienia;
d) zakres upoważnienia;
e) identyfikator, jeżeli dane przetwarzane są w systemie informatycznym.
- osoby upoważnione do przetwarzania danych zachowują te dane oraz sposób ich zabezpieczenia w tajemnicy (art. 39 ust. 2 ustawy);
- Administrator danych wyznaczył administratora bezpieczeństwa informacji (art. 36 ust. 3 ustawy), tj. osobę lub osoby nadzorujące przestrzeganie zasad ochrony, chyba że sam sprawuje nadzór. Inspektor bada również, w jaki sposób jest wykonywany taki nadzór – m.in. czy zostały opracowane procedury określające obowiązki w tym zakresie, czy nadzór jest sprawowany sukcesywnie, w jakim przedziale czasowym, czy obejmuje wszystkie zagadnienia dotyczące zastosowanych zabezpieczeń i czy jest skuteczny;
- Administrator danych zapewnił kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (udostępniane) – art. 38 ustawy. Inspektor bada również sposób sprawowania takiej kontroli;
- Urządzenia i systemy informatyczne spełniają wymogi bezpieczeństwa. Ocenę bezpieczeństwa rozpoczyna inspektor od analizy dokumentów określających politykę bezpieczeństwa kontrolowanego podmiotu w zakresie ochrony fizycznej obiektów, kontroli dostępu do poszczególnych systemów informatycznych i usług sieciowych oraz w zakresie ochrony zasobów informatycznych przed nieuprawnionym dostępem, przejęciem lub zniszczeniem przy użyciu szkodliwego programowania i narzędzi (tzw. wirusy, robaki, konie trojańskie, rootkity itp.).
Elementy kontroli urządzeń i systemów informatycznych:
- bezpieczeństwo fizyczne – podstawowymi elementami oceny są: sposób zabezpieczenia obiektów i pomieszczeń, gdzie znajdują się systemy informatyczne i nośniki informacji, na których przechowywane są kopie zapasowe lub archiwalne danych, oraz pomieszczeń, gdzie zlokalizowane są urządzenia sieciowe, serwery i stacje robocze. Pomieszczenia takie, zgodnie z wymaganą polityką bezpieczeństwa, powinny być wskazane jako obszar przetwarzania danych (§ 4 pkt 1 rozporządzenia). Inspektor – dokonując oceny – sprawdza m.in.:
- formę realizacji ochrony fizycznej z udziałem czynnika ludzkiego (np. system organizacji służby ochrony);
- budowlane urządzenia zabezpieczające (np. drzwi stalowe, kraty stalowe, rolety przeciwwłamaniowe, okiennice i szyby zabezpieczające otwory okienne);
- urządzenia fizycznej kontroli dostępu do pomieszczeń (np. zamki, kłódki, zasuwy, blokady);
- elektroniczne urządzania zabezpieczające przed włamaniem i pożarem (np. sygnalizacja włamania lub napadu, sygnalizacja pożaru, system wideo nadzoru);
- elektroniczny system kontroli dostępu, z rejestracją operacji otwierania i zamykania pomieszczeń przez osoby uprawnione.
Stosowanie któregokolwiek z wymienionych środków powinno być uzależnione od występujących zagrożeń – w zakresie zapewnienia poufności, integralności i tzw. rozliczalności przetwarzanych danych;
Bezpieczeństwo systemów informatycznych – przed przystąpieniem do kontroli inspektor zapoznaje się z architekturą używanych systemów oraz lokalizacją i strukturą prowadzonych zbiorów danych. Podstawowym dokumentem wymaganym od kontrolowanego podmiotu jest polityka bezpieczeństwa (§ 3 rozporządzenia), która zgodnie z § 4 pkt 2–4 rozporządzenia powinna zawierać:
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania danych;
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
- sposób przepływu danych pomiędzy poszczególnymi systemami.
Na podstawie uzyskanych informacji, ustalonych kategorii danych oraz sposobu korzystania ze środków teletransmisji – inspektor ocenia poziom bezpieczeństwa, jaki powinien być zastosowany: podstawowy, podwyższony bądź wysoki.
Ostatnim etapem kontroli bezpieczeństwa systemów jest szczegółowe sprawdzenie stosowanych procedur zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych oraz kontrola zastosowanych środków bezpieczeństwa. Dokumentem, który na tym etapie kontroli inspektor wnikliwie analizuje, jest wskazana w § 3 rozporządzenia Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
Podkreślenia wymaga, że inspektor w toku czynności kontrolnych weryfikuje zarówno treść instrukcji, jak również sprawdza, czy deklarowane procedury oraz środki ochrony są rzeczywiście stosowane. Badany jest mechanizm logowania i uwierzytelnienia się użytkownika każdego systemu czy też modułu programowego oraz system kontroli uprawnień. W sytuacji, gdy zakres przetwarzanych danych wymaga stosowania różnych poziomów uprawnień dla poszczególnych grup użytkowników – ocenie poddawane są mechanizmy, które kontrolę taką umożliwiają.
W przypadku systemów teleinformatycznych szczegółowej kontroli poddawane będą zastosowane mechanizmy ochrony teletransmisji. Podstawowym wymogiem jest zabezpieczenie informacji przesyłanych drogą teletransmisji – przed udostępnieniem ich osobom nieuprawnionym oraz przed utratą, uszkodzeniem lub zniszczeniem danych. Podczas kontroli zastosowanych w tym zakresie rozwiązań brane są pod uwagę przyjęte środki ochrony kryptograficznej, jak również sposób zarządzania kluczami kryptograficznymi i hasłami. W przypadku, gdy kontrolowany podmiot wykorzystuje do przetwarzania danych komputery przenośne lub do przekazywania danych poza swoją siedzibę korzysta z elektronicznych nośników informacji – przedmiotem kontroli jest sposób ich kryptograficznego zabezpieczenia.
Elementem kontroli bezpieczeństwa systemów teleinformatycznych jest także ich funkcjonalność. Zgodnie bowiem z § 7 rozporządzenia przedmiotem szczegółowej kontroli w tym zakresie jest ustalenie, czy:
„1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym – z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie – system ten zapewnia odnotowanie:
1) daty pierwszego wprowadzenia danych do systemu;
2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;
3) źródła danych, w przypadku zbierania danych nie od osoby, której one dotyczą;
4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.
2. Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i pkt 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych.
3. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1.
4. W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach informatycznych, wymagania, o których mowa w ust. 1 pkt 4, mogą być realizowane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu”.
IV. RODZAJE KONTROLI
Kontrola z urzędu – wykonywana z inicjatywy własnej Generalnego Inspektora. Stanowi ona konsekwencję obowiązku zrealizowania zadań kontrolnych nałożonych przez ustawę, w szczególności w toku postępowań rejestracyjnych prowadzonych przez Departament Rejestracji Zbiorów Danych Osobowych oraz w toku rozpatrywania skarg dokonywanych przez Departament Legislacji, Orzecznictwa i Skarg.
Kontrola na wniosek – pozostaje również w sferze wykonywania zadań kontrolnych przez Generalnego Inspektora, natomiast inspiracja do podjęcia i prowadzenia określonej kontroli pochodzi z zewnątrz, od innego podmiotu (np. Najwyższej Izby Kontroli, Państwowej Inspekcji Pracy, prokuratury, związków zawodowych, pracodawców, osoby fizycznej).
Kontrola kompleksowa – dotyczy wszystkich zbiorów danych osobowych prowadzonych przez kontrolowanego administratora danych oraz obejmuje swoim zakresem wszystkie wymogi określone w przepisach o ochronie danych osobowych, mające zastosowanie w działalności danego podmiotu.
Kontrola częściowa – dotyczy zwykle poszczególnych zagadnień w procesie przetwarzania danych będących przedmiotem skargi, takich jak legalność pozyskiwania danych skarżącego, sposób dopełnienia obowiązku informacyjnego wobec skarżącego, czy też problemów pojawiających się w toku postępowań rejestracyjnych, np. podstawy prawnej, zakresu danych, celu przetwarzania danych – czyli zgodności informacji podanych w zgłoszeniu zbioru ze stanem faktycznym. Przedmiotem kontroli może też być wyłącznie kwestia zabezpieczenia danych osobowych, dopełnienie obowiązku rejestracyjnego lub tym podobne.
Kontrola sektorowa – kompleksowa lub częściowa – wskazana w rocznym harmonogramie kontroli, dotycząca wybranej kategorii podmiotów lub zagadnień.
V. UPRAWNIENIA INSPEKTORA OCHRONY DANYCH OSOBOWYCH
W celu wykonania zadań w zakresie kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych, Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni przez niego inspektorzy wyposażeni zostali w szerokie kompetencje do podejmowania określonych czynności kontrolnych (art. 14 ustawy). Zatem uprawnienie do kontroli wynika bezpośrednio z ustawy o ochronie danych osobowych. Zasadą jest, że kontrole, prowadzane przez inspektorów upoważnionych przez Generalnego Inspektora lub jego zastępcę, są zazwyczaj zapowiadane z kilkudniowym wyprzedzeniem. Podmioty, które mają być poddane kontroli, informowane są w pierwszej kolejności telefonicznie, a następnie na piśmie (faksem) przedstawiany jest ogólny przedmiot kontroli, termin dokonania czynności oraz prośba o przygotowanie dokumentacji dotyczącej przetwarzania danych. Odpowiednie przygotowanie się danego podmiotu do kontroli GIODO istotnie wpływa na zapewnienie sprawnego jej przebiegu, co ma znaczenie zarówno dla tego podmiotu, jak i dla inspektorów. Kontrola trwa zwykle kilka dni, jednak jeśli dotyczy dużych podmiotów, może zająć i kilka tygodni.
Zgodnie z ustawą inspektorzy przeprowadzają czynności kontrolne w godzinach od 6.00 do 22.00. W praktyce zazwyczaj umawiają się z kontrolowanym w godzinach pracy, np. między 8.00 a 16.00. Zdarza się jednak, że ze względu na okoliczności sprawy czynności są dokonywane w innych godzinach, np. od 9.00 do 18.00 lub dłużej.
VI. UPRAWNIENIA KONTROLNE GIODO
1. Ustawa o ochronie danych osobowych wyraźnie określa, jakie środki przysługują Generalnemu Inspektorowi, gdy naruszone zostaną przepisy o ochronie danych osobowych.
Na podstawie wyników kontroli następuje wszczęcie postępowania administracyjnego (art. 61 § 4 K.p.a.) Zawiadomienie o wszczęciu postępowania przesyłane jest kontrolowanemu podmiotowi; zawiera ono m.in. wyszczególnienie stwierdzonych w toku kontroli uchybień, dotyczących przedmiotu postępowania. W zawiadomieniu podane są przepisy o ochronie danych osobowych, które zostały naruszone (uzasadnienie prawne), oraz opis stanu faktycznego ze wskazaniem dowodów, na podstawie których został on ustalony (uzasadnienie faktyczne). Ponadto kontrolowany podmiot jest informowany o prawie złożenia dodatkowych wyjaśnień i o prawie przesłania uzupełniających dowodów (np. dokumentów lub wydruków z systemu informatycznego), potwierdzających usunięcie stwierdzonych uchybień. Jednocześnie jest określony termin, w jakim może nastąpić realizacja tego prawa. W sytuacji, gdy kontrolowany nie skorzysta z przysługującego mu uprawnienia, decyzja kończąca postępowanie zostanie wydana na podstawie materiału dowodowego zebranego w toku kontroli, o czym również informowany jest kontrolowany podmiot.
2. Rodzaje decyzji
W wyniku przeprowadzonej kontroli Generalny Inspektor wydaje decyzje:
nakazującą przywrócenie stanu zgodnego z prawem, jeżeli zostały naruszone przepisy o ochronie danych osobowych (treść nakazu wynika z art. 18 ustawy);
lub umarzającą postępowanie jako bezprzedmiotowe, jeżeli postępowanie administracyjne zostało wszczęte w wyniku stwierdzonych w toku kontroli uchybień, a w trakcie postępowania kontrolowany podmiot je usunął i przywrócił stan zgodny z prawem.
Jeżeli kontrolowany podmiot kwestionuje skierowaną do niego decyzję, może zwrócić się do Generalnego Inspektora z wnioskiem o ponowne rozpatrzenie sprawy (art. 21 ust. 1 ustawy). Na decyzję Generalnego Inspektora wydaną w przedmiocie wniosku o ponowne rozpatrzenie sprawy przysługuje kontrolowanemu skarga do sądu administracyjnego (art. 21 ust. 2 ustawy). W pozostałym zakresie obowiązują przepisy kodeksu postępowania administracyjnego.
3. Wniosek o wszczęcie postępowania dyscyplinarnego
Na podstawie ustaleń kontroli inspektor może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień. Kontrolowany podmiot jest obowiązany do poinformowania Generalnego Inspektora w określonym terminie o wynikach tego postępowania i podjętych działaniach (art.17 ust. 2 ustawy). W praktyce Generalny Inspektor kieruje do wskazanego podmiotu wniosek zawierający m.in. wskazanie osób, wobec których żądanie wszczęcia postępowania jest kierowane. Jednocześnie przedstawia zebrane w trakcie kontroli dowody świadczące o winie tych osób i żąda w oznaczonym terminie przedstawienia rozstrzygnięcia.
4. Zawiadomienie o popełnieniu przestępstwa
Jeżeli wyniki kontroli będą wskazywać, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej wyczerpuje znamiona przestępstwa określonego w art. 49, art. 51, art. 52, art. 53, art. 54 lub art. 54a ustawy, wówczas Generalny Inspektor jest obowiązany skierować zawiadomienie o popełnieniu przestępstwa do organu powołanego do ścigania przestępstw.
