Kontrola a postępowanie w sprawie naruszeń ochrony danych osobowych

Zgodnie z przepisami RODO (art. 41) każde państwo członkowskie zapewnia, by za monitorowanie stosowania RODO odpowiadał co najmniej jeden niezależny organ publiczny dla ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii, zwany organem nadzorczym.

W Polsce organem nadzorczym jest Prezes Ochrony Danych Osobowych (dalej: PUODO), który jest powoływany w trybie wynikającym z przepisów ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2018 r.,
poz. 1000, dalej: u.o.d.o.). W przedmiotowej ustawie zostały też doprecyzowane uprawnienia PUODO oraz został określony tryb przeprowadzania kontroli przestrzegania przepisów o ochronie danych osobowych oraz prowadzenia postępowania w sprawie naruszenia przepisów o ochronie danych osobowych.

Kontrola przestrzegania przepisów o ochronie danych osobowych

Zgodnie z art. 78 ust. 2 u.o.d.o. PUODO prowadzi kontrolę według zatwierdzonego przez siebie planu kontroli lub na podstawie uzyskanych informacji lub w ramach monitorowania przestrzegania stosowania RODO. W praktyce kontrolę przeprowadza upoważniony przez PUODO pracownik Urzędu Ochrony Danych Osobowych.

Co istotne, osoba przeprowadzająca kontrolę jest obowiązana do zachowania w tajemnicy informacji, o których dowiedziała się w toku kontroli. Jest to o tyle ważny przepis, że administrator danych nie musi obawiać się, że istotne informacje dotyczące jego organizacji zostaną ujawnione. Dotyczy to zwłaszcza sytuacji, gdy w toku kontroli może dojść do ujawnienia informacji poufnych dotyczących danego podmiotu.

Formalny przebieg kontroli

Kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową. Czynności kontrolne przeprowadza się w obecności kontrolowanego lub osoby przez niego upoważnionej. Administrator danych, u którego przeprowadza się kontrolę, jest obowiązany do pisemnego wskazania osoby upoważnionej do reprezentowania go w trakcie kontroli. W sytuacji, gdy w podmiocie nie jest obecny administrator danych lub osoba przez niego upoważniona, upoważnienie do przeprowadzenia kontroli oraz legitymacja służbowa mogą być okazane osobie czynnej w lokalu przedsiębiorstwa w rozumieniu art. 97 Kodeksu cywilnego lub przywołanemu świadkowi, jeżeli jest funkcjonariuszem publicznym.

Kontrolujący ma prawo do:

  • wstępu w godzinach od 6:00 do 22:00 na grunt oraz do budynków, lokali lub innych pomieszczeń;
  • wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli;
  • przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
  • żądania złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwania w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
  • zlecania sporządzania ekspertyz i opinii.

Obowiązki podmiotu kontrolowanego

Należy także pamiętać, że w trakcie kontroli prowadzonej przez PUODO kontrolowany administrator danych musi realizować nałożone na niego przez u.o.d.o. obowiązki. Zgodnie z tymi przepisami kontrolowany podmiot zapewnia kontrolującemu oraz osobom upoważnionym do udziału w kontroli warunki i środki niezbędne do sprawnego przeprowadzenia kontroli, a w szczególności sporządza we własnym zakresie kopie lub wydruki dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub systemach. Kontrolowany powinien dokonać potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków, a w przypadku odmowy potwierdzenia za zgodność z oryginałem kontrolujący czyni o tym wzmiankę w protokole kontroli.

Zgodnie z art. 87 u.o.d.o. osoba przeprowadzająca kontrolę ustala stan faktyczny na podstawie dowodów zebranych w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń. Natomiast w uzasadnionych przypadkach przebieg kontroli lub poszczególne czynności w jej toku, po uprzednim poinformowaniu kontrolowanego, mogą być utrwalane za pomocą urządzeń rejestrujących obraz lub dźwięk. Informatyczne nośniki danych, na których zarejestrowano przebieg kontroli lub poszczególne czynności w jej toku, stanowią załącznik do protokołu kontroli.

W trakcie prowadzonej kontroli administrator danych jest zobowiązany w pełni współpracować z organem kontrolującym i udostępnić mu wszelkie niezbędne informacje.

Prawo korzystania z pomocy policji

Warto pamiętać, że w uzasadnionych sytuacjach PUODO może zwrócić się do właściwego miejscowo komendanta policji o pomoc, jeżeli okaże się to niezbędne do wykonywania czynności kontrolnych. Policja udziela pomocy przy wykonywaniu czynności kontrolnych po otrzymaniu pisemnego wezwania na co najmniej 7 dni przed terminem tych czynności.

Co więcej, w pilnych przypadkach, w szczególności gdy kontrolujący trafi na opór uniemożliwiający lub utrudniający wykonywanie czynności kontrolnych, udzielenie pomocy następuje również na ustne wezwanie PUODO lub działającego w jego imieniu kontrolującego, po okazaniu imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej kontrolującego. W takim przypadku PUODO przekazuje komendantowi policji potwierdzenie wezwania na piśmie, nie później niż w terminie 3 dni po zakończeniu czynności kontrolnych.

Zgodnie z przepisami u.o.d.o. udzielenie pomocy policji przy wykonywaniu czynności kontrolnych może polegać na zapewnieniu kontrolującemu bezpieczeństwa osobistego oraz dostępu do miejsca wykonywania kontroli i porządku.

Należy zatem pamiętać, że nieuzasadniona odmowa wpuszczenia osób kotrolujących na teren siedziby administratora danych lub jakiekolwiek zajście, które będzie budziło obawy po stronie osób kontrolujących, może skończyć się przeprowadzeniem takiej kontroli w asyście funkcjonariuszy policji.

Zakończenie kontroli

Kontrola PUODO kończy się sporządzaniem protokołu kontroli. Protokół kontroli sporządza się w postaci elektronicznej albo papierowej w dwóch egzemplarzach. Protokół kontrolujący doręcza kontrolowanemu w celu jego podpisania. Kontrolowany podmiot w terminie 7 dni od dnia przedstawienia protokołu kontroli do podpisu może go podpisać albo złożyć pisemne zastrzeżenia do jego treści. W przypadku złożenia zastrzeżeń, kontrolujący dokonuje ich analizy i, w razie potrzeby, podejmuje dodatkowe czynności kontrolne. W przypadku, gdy nie dojdzie do uwzględnienia zastrzeżeń w całości albo części, kontrolujący przekazuje kontrolowanemu podmiotowi informacje o tym wraz z uzasadnieniem. Natomiast w sytuacji, gdy stwierdzi zasadność złożonych zastrzeżeń, zmienia lub uzupełnia odpowiednią część protokołu kontroli w formie aneksu do protokołu kontroli.

Należy zaznaczyć, że brak doręczenia kontrolującemu podpisanego protokołu kontroli i niezgłoszenie zastrzeżeń do jego treści we wskazanym wyżej terminie zostanie uznane za odmowę podpisania protokołu kontroli. O odmowie podpisania protokołu kontroli kontrolujący czyni wzmiankę w tym protokole, zawierającą datę jej dokonania.

Kontrola powinna trwać nie dłużej niż 30 dni od dnia okazania kontrolowanemu administratorowi danych lub osobie przez niego upoważnionej, imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej. Do tego terminu nie wlicza się terminów przewidzianych na zgłoszenie zastrzeżeń do protokołu kontroli lub podpisanie i doręczenie protokołu kontroli przez kontrolowanego.

Postępowanie w sprawie

...

Dalsza część jest dostępna dla użytkowników z wykupionym planem