Kontrola przestrzegania przepisów o ochronie danych osobowych

Aby jak najlepiej przygotować się do kontroli, warto wiedzieć, jak przebiega sama kontrola i jakie uprawnienia ma kontrolujący, a jakie kontrolowany.

Zgodnie z art. 79 u.o.d.o. kontrolę przeprowadza pracownik Urzędu Ochrony Danych upoważniony przez Prezesa tego urzędu.

Wskazówka!

Jeśli zgłosi się do ciebie osoba, która będzie chciała przeprowadzić kontrolę przestrzegania przepisów RODO, zawsze dokładnie sprawdź jej upoważnienie oraz legitymację służbową.

Na stronie internetowej Urzędu Ochrony Danych Osobowych pojawiło się ostrzeżenie o fałszywych kontrolerach, którzy podają się za pracowników tego urzędu.

Warto pamiętać, że UODO co do zasady pisemnie uprzedza o planowanej kontroli. Co więcej, jeśli okazane dokumenty i legitymacja budzą wątpliwości, można je zweryfikować, dzwoniąc na numer podany na stronie Urzędu Ochrony Danych Osobowych.

Sprawdzając dokumenty okazane przez kontrolującego, należy zwróć uwagę na imienne upoważnienie do przeprowadzenia kontroli. Takie upoważnienie powinno zawierać:

  • wskazanie podstawy prawnej przeprowadzenia kontroli,
  • oznaczenie organu, który je wydał,
  • imię i nazwisko, stanowisko służbowe kontrolującego oraz numer legitymacji służbowej,
  • określenie zakresu przedmiotowego kontroli,
  • oznaczenie kontrolowanego,
  • wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności kontrolnych,
  • podpis Prezesa UODO,
  • pouczenie kontrolowanego o jego prawach i obowiązkach,
  • datę i miejsce jego wystawienia.

Wyznaczenie osoby upoważnionej

Kolejną istotną kwestią, na którą należy zwrócić uwagę, jest art. 83 u.o.d.o., zgodnie z którym czynności kontrolnych dokonuje się w obecności kontrolowanego lub osoby przez niego upoważnionej. Kontrolowany jest obowiązany do pisemnego wskazania osoby upoważnionej do reprezentowania go w trakcie całej kontroli. Warto zatem wskazać osobę, która posiada szczegółowe informacje o zasadach i procedurach przetwarzania danych osobowych w przedsiębiorstwie.

Wskazówka!

Wyznaczając osobę, która będzie upoważniona do reprezentowania administratora danych w trakcie kontroli, warto wskazać osobę, która ma podstawową wiedzę o ochronie danych osobowych, ale także zna procedury obowiązujące u administratora danych.

Jeżeli został wyznaczony inspektor ochrony danych, to jest oczywiste, że będzie to osoba, która będzie służyła pomocą w trakcie prowadzenia kontroli. Natomiast jeśli w organizacji nie ma wyznaczonego IOD, to mimo wszystko należy zadbać o to, żeby chociaż jedna osoba poszerzyła swoją wiedzę z zakresu zasad ochrony danych osobowych.

Należy również zadbać o to, żeby wyznaczona osoba w momencie otrzymania zawiadomienia o kontroli sprawdziła aktualność i poprawność wdrożonej dokumentacji ochrony danych osobowych.

Uprawnienia kontrolującego

Zgodnie z art. 84 RODO kontrolujący ma prawo:

  • wstępu w godzinach od 600 do 2200 na grunt oraz do budynków, lokali lub innych pomieszczeń;
  • wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli;
  • przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
  • żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
  • zlecać sporządzanie ekspertyz i opinii;
  • w uzasadnionych przypadkach przebieg kontroli lub poszczególne czynności w jej toku, po uprzednim poinformowaniu kontrolowanego, mogą być utrwalane z wykorzystaniem urządzeń rejestrujących obraz lub dźwięk.

Ponadto kontrolujący ma także prawo przesłuchać pracownika kontrolowanego w charakterze świadka. Zgodnie z art. 86 u.o.d.o. za pracownika kontrolowanego uznaje się osobę zatrudnioną na podstawie stosunku pracy lub wykonującą pracę na podstawie umowy cywilnoprawnej. Jeżeli zatem stan faktyczny będzie budził wątpliwości kontrolującego, np. jeśli uzna, że pracownicy nie stosują procedur wynikających z wdrożonej dokumentacji ochrony danych osobowych, to wtedy kontrolujący może przesłuchać jednego lub wszystkich pracowników kontrolowanego.

W tym miejscu trzeba zawrócić uwagę na fakt, że do przesłuchania pracownika kontrolowanego stosuje się przepis art. 83 Kodeksu postępowania administracyjnego. Należy zatem pamiętać, że pracownik nie może odmówić złożenia zeznań w charakterze świadka. Prawo odmowy zeznań przysługuje wyłącznie małżonkowi osoby będącej administratorem danych, jego wstępnym, zstępnym i rodzeństwu strony oraz powinowatym pierwszego stopnia, jak również osobom pozostającym ze stroną w stosunku przysposobienia, opieki lub kurateli.

Wyjątkowo natomiast pracownik kontrolowanego może odmówić odpowiedzi na pytania, gdy odpowiedź mogłaby narazić jego lub jego bliskich na odpowiedzialność karną, hańbę lub bezpośrednią szkodę majątkową albo spowodować naruszenie obowiązku zachowania prawnie chronionej tajemnicy zawodowej. Ponadto przed odebraniem zeznania świadek zostaje uprzedzony o prawie odmowy zeznań i odpowiedzi na pytania oraz o odpowiedzialności za fałszywe zeznania.

Powyższe oznacza, że przesłuchanie pracownika kontrolowanego odbywa się z zachowaniem wszystkich rygorów, jakie przepisy przewidują w związku z przesłuchaniem świadków w postępowaniu administracyjnym, łącznie z możliwością pociągnięcia świadka do odpowiedzialności karnej za składanie fałszywych zeznań.

Wskazówka!

Po otrzymaniu zawiadomienia o planowanej kontroli warto porozmawiać z pracownikami i poinformować ich o tym, że taka kontrola będzie przeprowadzana przez Urząd Ochrony Danych Osobowych.

Trzeba jednak pamiętać, że pod żadnym pozorem nie można sugerować pracownikom, w jaki sposób mają odpowiadać na pytania kontrolujących!

Można jednak przypomnieć podstawowe kwestie związane z wdrożonymi zasadami ochrony danych osobowych. Nie zawsze bowiem pracownicy uświadamiają sobie, że np. nałożony na nich obowiązek schowania wszystkich dokumentów po zakończeniu pracy wynika ze stosowania procedury „czystego biurka”.

Dodatkowo stres związany z takim przesłuchaniem, przed którym pracownik zostaje uprzedzony o odpowiedzialności za fałszywe zeznania, powoduje, że często pracownicy boją się udzielać odpowiedzi na pytania w obawie, że nieświadomie zaszkodzą swojemu pracodawcy. W takich sytuacjach warto spokojnie porozmawiać z pracownikami, wskazać, że w firmie procedury ochrony danych osobowych zostały wdrożone i że administrator danych nie ma powodów, by obawiać się kontroli czy też ewentualnego przesłuchania pracowników. Celem takiej rozmowy jest zredukowanie stresu u pracowników, tak aby mogli spokojnie i rzeczowo odpowiadać na pytania kontrolujących.

Co więcej, takie rozmowy mogą uświadomić administratorowi danych „słabe punkty” wdrożonych procedur ochrony danych. Najczęściej bowiem to pracownicy, którzy mają bezpośredni kontakt z klientem, pierwsi dostają sygnały, że przykładowo stosowana klauzula informacyjna jest mało przejrzysta i niezrozumiała.

Warto te sygnały wykorzystać i zaktualizować oraz poprawić stosowane procedury.

Ponadto taka informacja, że procedury ochrony danych osobowych zostały zmienione pod wpływem uwag pracowników i klientów, będzie pokazywała kontrolującym, że administrator danych nie podchodzi do kwestii ochrony danych w sposób automatyczny, ale że problematyka ochrony danych osobowych jest uwzględniania w codziennym funkcjonowaniu organizacji.

Natomiast na marginesie należy przestrzec jednak przed zbyt pochopnymi zmianami. Wszelkie uwagi i zastrzeżenia pracowników czy klientów, zanim zostaną uwzględnione w procedurze ochrony danych, powinny być zweryfikowane przez osobę, która na co dzień jest odpowiedzialna za kwestie ochrony danych osobowych.