Generalny Inspektor Ochrony Danych Osobowych (GIODO)

Skrót GIODO oznacza Generalnego Inspektora Ochrony Danych Osobowych. Generalny Inspektor Ochrony Danych Osobowych jest to organ, który zajmuje się sprawami dotyczącymi ochrony danych osobowych. Generalnego Inspektora Ochrony Danych Osobowych powołuje i odwołuje Sejm za zgodą Senatu na czteroletnią kadencję. Obecnie jest nim doktor nauk prawnych Wojciech Rafał Wiewiórowski.

Zadania Generalnego Inspektora Ochrony Danych Osobowych (GIODO)

Do kompetencji GIODO należą między innymi:

• kontrola zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
• wydawanie decyzji i rozpatrywanie skarg dotyczących wykonywania przepisów o ochronie danych osobowych,
• prowadzenie rejestru zbiorów danych osobowych oraz udzielenie informacji o zarejestrowanych zbiorach,
• opiniowanie projektów ustaw i rozporządzeń dotyczących danych osobowych,
• inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych.

Kontrola zgodności przetwarzania danych osobowych z przepisami

Generalny Inspektor Ochrony Danych Osobowych, jego zastępca oraz inne osoby przez niego upoważnione mogą przeprowadzać kontrole prawidłowości przetwarzania danych osobowych. Kontrola ta obejmuje przetwarzanie danych osobowych w zbiorach danych osobowych oraz zbiorach ewidencyjnych, niezależnie od tego czy zbiory te są zarejestrowane w zbiorze danych prowadzonym przez GIODO. W tym celu upoważnionym organom przysługuje  między innymi prawo do:

1. wstępu w godzinach pomiędzy 6:00 a 22:00, za okazaniem ważnego upoważnienia i legitymacji służbowej, do pomieszczenia w którym znajdują się zbiory danych osobowych i przeprowadzenia czynności kontrolnych celem ustalenia czy przetwarzanie danych osobowych odbywa się zgodnie z ochroną danych osobowych,
2. żądania złożenia pisemnych lub ustnych wyjaśnień, wzywania lub przesłuchiwania osób,
3. dokonania wglądu do wszelkich dokumentów i danych mających związek z kontrolą,
4. przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych.

Podczas kontroli kierownik kontrolowanej jednostki bądź kontrolowana osoba fizyczna mają obowiązek udostępnić organom kontroli niezbędne dokumenty oraz złożyć niezbędne wyjaśnienia. Podkreślenia wymaga, że kontrolowana osoba prawna bądź inna jednostka organizacyjna nie muszą być administratorami danych osobowych (wystarczy by dane przetwarzały) aby na kierownikach tych osób ciążył obowiązek udostępnienia organom niezbędnych danych i udzielenia wyjaśnień podczas kontroli. W przypadku kontroli osoby fizycznej sytuacja ta jest odmienna. Mianowicie kontrolowana osoba fizyczna musi być jednocześnie administratorem danych osobowych, by ciążył na niej obowiązek udostępnienia danych podczas kontroli, co potwierdza orzeczenie Naczelnego Sądu Administracyjnego z dnia 30 stycznia 2002 roku (opubl. Wokanda 2002, numer 7-8, s.20).

> Przeczytaj także: Obowiązki sklepu i serwisu internetowego w zakresie danych osobowych (GIODO)

Dodatkowo podczas kontroli organy kontrolne mogą stwierdzić podejrzenie popełnienia przez kierownika danej jednostki, jej pracowników oraz inne osoby fizyczne przestępstwa w związku z zaniedbaniem obowiązków związanych z przetwarzaniem danych osobowych. Wówczas mają obowiązek zawiadomić organy ścigania o podejrzeniu popełnienia przestępstwa.

Do przestępstw związanych z przetwarzaniem danych osobowych zaliczamy:

1. przetwarzanie danych osobowych, których przetwarzanie jest niedopuszczalne,
2. udostępnienie lub umożliwienie dostępu do danych osobowych osobie nieupoważnionej, przez administratora tych danych bądź inną osobę obowiązaną do ochrony danych osobowych,
3. naruszenie, również nieumyślne przez administratora danych osobowych obowiązku odpowiedniego (zgodnego z przepisami) zabezpieczenia danych osobowych,
4. niezgłoszenie zbioru danych osobowych do rejestracji,
5. niedopełnienie obowiązku informacyjnego o jej prawach wobec osoby której dane osobowe znajdują się w zbiorze danych osobowych,
6. udaremnianie lub utrudnianie przeprowadzenia kontroli przez inspektora.

Wydawanie decyzji i rozpatrywanie skarg dotyczących wykonywania przepisów o ochronie danych osobowych

W przypadku stwierdzenia uchybień w toku kontroli Generalny Inspektor Ochrony Danych Osobowych wydaje decyzję zmierzającą do przywrócenia stanu zgodnego z prawem, w tym celu może nakazać:

1. usunięcie uchybień,
2. uzupełnienia, uaktualnienia, sprostowania, udostępnienia lub nieudostępnienia danych osobowych,
3. zastosowania dodatkowych środków zabezpieczających zgromadzone dane osobowe,
4. wstrzymania przekazywania danych osobowych do państwa trzeciego,
5. zabezpieczenia danych lub przekazanie ich innym podmiotom,
6. usunięcia danych osobowych.

Adresatem decyzji nie musi być tylko kontrolowana jednostka – może nim być administrator danych osobowych, osoba przetwarzająca dane osobowe oraz inny podmiot który dopuścił się naruszenia przepisów ustawy o ochronie danych osobowych.

Decyzja ta nie jest ostateczna – osobie zainteresowanej (np. osobie kontrolowanej, administratorowi danych, osobie przetwarzającej dane) przysługuje wniosek o ponowne rozpatrzenie sprawy do Generalnego Inspektora Ochrony Danych Osobowych a w dalszej kolejności skarga do wojewódzkiego sądu administracyjnego.

Rejestr zbiorów danych osobowych

Do kompetencji Generalnego Inspektora Ochrony Danych Osobowych należy prowadzenie rejestru zbiorów danych osobowych. Na podstawie przepisów ustawy o ochronie danych osobowych każdy administrator danych osobowych ma obowiązek zgłoszenia prowadzonego przez siebie zbioru danych osobowych do rejestru prowadzonego przez GIODO.