Instrukcja postępowania w trakcie kontroli Urzędu Ochrony Danych Osobowych

Instrukcja dotycząca zasad postępowania w trakcie kontroli jest jedynie propozycją zapisów. Przedstawione wytyczne powinny zostać dostosowane do struktury danego przedsiębiorstwa, wykonywanych operacji przetwarzania danych osobowych oraz wdrożonej dokumentacji dotyczącej ochrony danych osobowych.

  1. Administrator danych wyznacza osobę upoważnioną do reprezentowania go w trakcie kontroli Urzędu Ochrony Danych Osobowych, zwaną dalej osobą upoważnioną przez kontrolowanego.
  2. Do obowiązków osoby upoważnionej przez kontrolowanego należy:
    1. przygotowanie planów sprawdzeń procedur ochrony danych osobowych wdrożonych u administra­tora danych pod kątem ich poprawności oraz aktual­ności w świetle obowiązujących przepisów dotyczących ochrony danych osobowych i wytycznych publikowanych przez Urząd Ochrony Danych Osobowych,
    2. przeprowadzenie sprawdzeń, o których mowa w ust. a, nie rzadziej niż raz na 6 miesięcy,
    3. przeprowadzenie sprawdzeń, o których mowa w ust. a, po otrzymaniu informacji o planowanej kontroli.
  3. W trakcie kontroli prowadzonej przez Urząd Ochrony Danych Osobowych do obowiązków osoby upoważnionej przez kontrolowanego należy:
    1. sprawdzenie imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej kontrolującego; w razie wątpliwości należy wykonać telefon do Urzędu Ochrony Danych Osobowych w celu weryfikacji tożsamości kontrolującego;
    2. udostępnić na żądanie kontrolującego dokumentację dotyczącą ochrony danych osobowych wdrożoną u administratora danych;
    3. udostępnić na żądanie kontrolującego, w celu przeprowadzania oględzin: pomieszczenia, przedmioty, urządzenia, nośniki oraz systemy informatyczne lub teleinformatyczne służące do przetwarzania danych;
    4. udzielać pisemnych lub ustnych wyjaśnień dotyczących zasad i procedur przetwarzania danych osobowych obowiązujących u administratora danych;
    5. sporządzać na żądanie kontrolującego kopie lub wydruki dokumentów oraz informacji zgromadzonych na nośnikach;
    6. na żądanie kontrolującego potwierdzać zgodność z oryginałem sporządzonych kopii lub wydruków.
  4. Osoba upoważniona przez kontrolowanego jest zobowiązana do opracowania metodyki dokonywania sprawdzeń, o których mowa w ust. 2, z uwzględnieniem weryfikacji i aktualizacji następujących kwestii:
    1. podstaw prawnych, na podstawie których zbierane są dane osobowe przez administratora danych,
    2. celu i zakresu przetwarzania danych,
    3. adekwatności zbieranych danych osobowych w stosunku do prowadzanych operacji przetwarzania danych osobowych,
    4. czasu przetwarzania danych i polityki ich retencji,
    5. środków technicznych i organizacyjnych służących do zabezpieczenia danych osobowych,
    6. spełniania obowiązków informacyjnych wobec osób, których dane dotyczą,
    7. przekazywania danych do państw trzecich i związanych z tym procedur,
    8. podstaw prawnych powierzenia i udostępniania danych osobowych,
    9. stosowanych klauzul zgody na przetwarzanie danych,
    10. zasad profilowania prowadzonego przez administratora danych.
  5. Sprawdzenia, o których mowa w ust. 2, obejmują także weryfikację i aktualizację dokumentacji ochrony danych osobowych, obejmującą:
    1. politykę bezpieczeństwa danych osobowych,
    2. instrukcję przetwarzania danych osobowych w systemach informatycznych,
    3. upoważnienia do przetwarzania danych osobowych,
    4. umowy powierzenia przetwarzania danych,
    5. rejestr czynności przetwarzania danych osobowych,
    6. rejestr kategorii czynności przetwarzania,
    7. rejestr naruszeń ochrony danych osobowych,
    8. inną dokumentację dotyczącą ochrony danych osobowych wdrożoną u administratora danych (np. polityka prywatności na stronie internetowej).

Wskazówka!

Po otrzymaniu informacji o planowanej kontroli, należy sprawdzić poprawność i kompletność całej dokumentacji dotyczącej ochrony danych osobowych. Warto sprawdzić jej aktualność, np. czy w ewidencji osób upoważnionych nie ma wpisanych osób, które już nie pracują u administratora danych albo zmieniono im stanowisko pracy i w tym zakresie konieczne jest zaktuali­zowanie upoważnienia.

Dokumentacja powinna być skompletowana i wydrukowana.

Trzeba pamiętać, że kontrolujący będą w pierwszej kolejności sprawdzać dokumentację. Jej odpowiednie przygotowanie będzie wskazywało, że administrator danych podchodzi odpowiedzialnie do kwestii ochrony danych osobowych. Takie „dobre pierwsze wrażenie” może pozytywnie wpłynąć na przebieg kontroli.

W związku z tym tak ważne jest wskazanie kompetentnej osoby, która będzie dbała o aktualizację przedmiotowej dokumentacji.

  1. Sprawdzenia, o których mowa w ust. 2, obejmują weryfikację wdrożonych zabezpieczeń fizycznych. W tym celu należy sprawdzić:
    1. stan pomieszczeń, w których przetwarzane są dane osobowe,
    2. poziom zabezpieczeń budynków i pomieszczeń, w których przetwarzane są dane osobowe (zamki, czujniki alarmu, kamery, karty identyfikacyjne itp.).

Wskazówka!

Kontrolujący sprawdzają stan pomieszczeń, w których przetwarzane są dane osobowe, warto zatem dokonać przeglądu tych pomieszczeń przed kontrolą oraz sprawdzić, czy opis zabezpieczeń znajdujący się w dokumentacji dotyczącej ochrony danych osobowych odpowiada rzeczywiście stosowanym zabezpieczeniom.

  1. Sprawdzenia, o których mowa w ust. 2, obejmują weryfikacje wdrożonych zabezpieczeń organizacyjnych. W tym celu należy sprawdzić:
    1. czy w organizacji stosowana jest „polityka czystego biurka” i „polityka czystego ekranu”,
    2. czy osoby upoważnione do przetwarzania danych osobowych stosują wdrożoną procedurę rozpoczęcia zakończenia pracy z systemem informatycznym,
    3. czy wszystkie osoby upoważnione do przetwarzania danych zostały przeszkolone i zaznajomione z przepisami dotyczącymi ochrony danych osobowych,
    4. czy wszystkie osoby upoważnione do przetwarzania danych zostały zobowiązane do zachowania ich w tajemnicy.
  2. Sprawdzenia, o których mowa w ust. 2, obejmują weryfikację wdrożonych środków technicznych służących zabezpieczeniu danych. W tym celu należy sprawdzić:
    1. czy osoby upoważnione do przetwarzania danych przestrzegają wdrożonej polityki tworzenia i zmiany haseł,
    2. czy komputery, programy i systemy służące do przetwarzania danych zabezpieczone są odpowiednimi hasłami,
    3. czy na wszystkich komputerach służących do przetwarzania danych osobowych jest zainstalowane aktualne oprogramowania antywirusowe,
    4. czy opis zabezpieczeń systemu informatycznego znajdujący się w dokumentacji dotyczącej ochrony danych osobowych odpowiada rzeczywiście stosowanym zabezpieczeniom.

Wskazówka!

Kontrolujący będą także sprawdzać funkcjonowanie systemów informatycznych, w tym stosowane procedury i oprogramowanie oraz poziom i adekwatności stosowanych zabezpieczeń.

Warto zatem także przejrzeć uważnie przeprowadzoną analizę ryzyka albo przeprowadzić ją ponownie w celu wychwycenia nieprawidłowości lub „słabych punktów” zabezpieczeń, które należy poprawić lub zaktualizować zgodnie z aktualnym stanem wiedzy technicznej.

Jeżeli po przeprowadzeniu analizy ryzyka administrator danych uzna, że np. stosowane przez niego oprogramowanie antywirusowe jest przestarzałe lub nieaktualne, to powinien je zmienić lub zaktualizować zgodnie z zaleceniami producenta.

  1. W sytuacjach, w których okaże się to konieczne, osoba upoważniona przez kontrolowanego, po uzgodnieniu z administratorem danych, w terminie 7 dni od dnia przedstawienia protokołu kontroli sporządza pisemne zastrzeżenia do jego treści.

Wskazówka!

Trzeba pamiętać, że zgodnie z art. 88 ust. 4 kontrolowany, w terminie 7 dni od dnia przedstawienia protokołu kontroli do podpisu, podpisuje go albo składa pisemne zastrzeżenia do jego treści.

Jeżeli zatem administrator danych nie zgadza się z ustaleniami stanu faktycznego, które znajdą się w protokole kontroli, to powinien w tym terminie złożyć pisemne zastrzeżenia.

Jeżeli administrator danych uzna to za konieczne, to do pisemnych zastrzeżeń należy dołączyć wszystkie dokumenty, które nie zostały uwzględnione przez kontrolującego albo z jakiś powodów nie mogły być okazane
w trakcie kontroli. Co więcej, jest to też moment na zgłaszanie ewentualnych wniosków dowodowych obejmujących przesłuchanie świadków.

Oddelegowanie wyznaczonej osoby do reprezentowania administratora danych w trakcie kontroli jest dobrym rozwiązaniem, ponieważ taka osoba w trakcie trwania kontroli powinna na bieżąco sprawdzać, czy kontrolujący otrzymali wszystkie dokumenty, o jakie się zwracali oraz wszystkie te dokumenty, które pozwoliłyby na prawidłowe ustalenie stanu faktycznego. Dodatkowo taka osoba z ramienia administratora danych, która jest stale obecna w trakcie kontroli, ma wiedzę, w jakim zakresie kontrolujący sprawdzili dokumentację dotyczącą ochrony danych osobowych i w razie stwierdzenia nieprawidłowych ustaleń w protokole kontroli może od razu zwracać uwagę w treści zastrzeżeń na te uchybienia.

Trzeba bowiem podkreślić, że na etapie składania zastrzeżeń do protokołu kontroli można jeszcze przekazać Urzędowi Ochrony Danych Osobowych wiele informacji oraz wyjaśnić wątpliwości kontrolujących i sprostować błędne w ocenie administratora danych ustalenia organu nadzorczego. Na kolejnych etapach postępowania tego rodzaju wyjaśnienia czy uzupełnienia mogą już być trudne do przeprowadzenia, a organ nadzorczy nie musi dopuścić zgłaszanych przez administratora dowodów.

Etap przeprowadzania kontroli oraz składania zastrzeżeń do protokołu kontroli wydaje się najodpowiedniejszym momentem na sprostowania i wyjaśnianie wątpliwości kontrolujących. Dobre przygotowanie do przeprowadzanej kontroli oraz reagowanie na bieżąco na uwagi kontrolujących może pomóc w sprawnym przeprowadzeniu kontroli oraz doprowadzić do zakończenia postępowania na tym etapie bez dalszych negatywnych konsekwencji dla administratora danych.