Jakie uprawnienia kontrolne ma GIODO

Monika Brzozowska-Pasieka

Autor: Joanna Łuczak-Tarka

Dodano: 5 czerwca 2017
Dokument archiwalny
Jakie uprawnienia kontrolne ma GIODO

Kontrola Generalnego Inspektora Ochrony Danych Osobowych jest zwykle zapowiadana, ale może być uciążliwa. GIODO może sprawdzać nie tylko działania administratora danych, ale także podmiotów, którym powierzył on przetwarzanie danych osobowych. Sprawdź, jak się przygotować do kontroli GIODO.

Kontrola zgodności przetwarzania danych osobowych z przepisami o ochronie danych jest jednym z najważniejszych zadań postawionych przed Generalnym Inspektorem Ochrony Danych Osobowych. Kompetencje kontrolne formalnie przysługują zarówno GIODO, jego zastępcy, jak i upoważnionym pracownikom Biura GIODO, czyli inspektorom. W praktyce czynności kontrolne wykonywane są właśnie przez inspektorów, którzy mają imienne upoważnienie zgodne z wzorem z załącznika do rozporządzenia ministra spraw wewnętrznych i administracji z 11 maja 2011 r. Z punktu widzenia zadań kontrolnych najistotniejszą rolę pełni Departament Inspekcji, który jest jedną ze statutowych jednostek organizacyjnych Biura GIODO. 

Kontroli mogą być poddane nie tylko działania administratora danych, ale także każdego innego podmiotu, któremu powierzył on przetwarzanie danych w oparciu o stosowną umowę. Zakres podmiotowy uprawnień kontrolnych przewidzianych w ustawie o ochronie danych osobowych (uodo) obejmuje zarówno podmioty publiczne, jak i prywatne, w tym osoby fizyczne, osoby prawne, jednostki organizacyjne nieposiadające osobowości prawnej oraz podmioty prywatne realizujące zadania publiczne. Bez znaczenia pozostaje fakt, czy ADO powołał administratora bezpieczeństwa informacji i czy został on zgłoszony do ogólnopolskiego, jawnego rejestru, a także jakie zbiory danych osobowych i czy w ogóle zostały przez GIODO zarejestrowane.

Jakie uprawnienia ma GIODO

Uprawnienia kontrolne wskazane w art. 14 uodo obejmują prawo:

  • wstępu do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem,
  • przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą,
  • żądania złożenia pisemnych lub ustnych wyjaśnień,
  • wzywania i przesłuchiwania osób w zakresie niezbędnych do ustalenia stanu faktycznego,
  • wglądu do wszelkich dokumentów i wszelkich danych, które mają bezpośredni związek z przedmiotem kontroli, oraz sporządzania ich kopii,
  • przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych, a także
  • zlecania sporządzania ekspertyz i opinii.

Jak przygotować się do kontroli

Jeśli podmiotem kontrolowanym jest przedsiębiorca, co do zasady, zgodnie z art. 79 ust. 1 ustawy z 2 lipca o swobodzie działalności gospodrczej (uosdg), powinien on zostać powiadomiony o zamiarze wszczęcia kontroli. Nie może być ona przeprowadzona wcześniej niż po upływie siedmiu dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli. Jeżeli w tym terminie kontrola nie zostanie rozpoczęta, przed podjęciem czynności kontrolnych niezbędne jest ponowne zawiadomienie.

Ważne:

W praktyce GIODO jedynie wyjątkowo nie uprzedza o planowanej kontroli, bez względu na to, jakiego rodzaju podmiotu ona dotyczy.

Przygotowując się do kontroli w zakresie przestrzegania zasad ochrony danych, każdy ADO i każdy ABI, jeśli został ustanowiony, powinien w szczególności odpowiedzieć na następujące pytania:

a) Jakie zbiory danych osobowych posiadam? Gdzie się one znajdują? Czy wiem, gdzie znajduje się obszar, w którym dane są przetwarzane poza zbiorami?

b) W oparciu o jakie przesłanki przetwarzam dane osobowe? Czy jestem w stanie je wskazać w odniesieniu do każdego ze zbiorów danych osobowych?

c) Czy zakres pozyskiwanych przeze mnie danych odpowiada celowi przetwarzania? Czy nie pozyskuję więcej informacji o osobach, których dane dotyczą, niż mi wolno?

d) Czy osoby, które dopuszczam do przetwarzania danych (np. pracownicy, stażyści, zleceniobiorcy), posiadają aktualne upoważnienia? Czy zakres tych upoważnień odpowiada faktycznie wykonywanym przez te osoby czynnościom?

e) Czy moi pracownicy mają dostęp do polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym? Czy wiedzą, kto w naszej organizacji pełni funkcję ABI? Czy wiedzą, jakie są jego zadania?

f) Czy prowadzona przeze mnie dokumentacja z zakresu ochrony danych osobowych jest aktualna? Czy stan opisany w tej dokumentacji odpowiada stanowi faktycznemu?

g) Czy mam zawartą umowę powierzenia przetwarzania danych? Czy powinienem ją zawrzeć?

h) Czy prowadzony jest rejestr zbiorów danych osobowych?

i) Czy w sposób należyty realizuję obowiązek informacyjny wobec osób, których dane dotyczą?

j) Czy we właściwy sposób, tj. odpowiedni do zagrożeń i kategorii danych, zabezpieczam dane osobowe?

Czy inspektorzy mają upoważnienie do przeprowadzenia kontroli

Kontrola może być przeprowadzona dopiero po okazaniu przez inspektorów imiennego upoważnienia oraz legitymacji służbowej. Jej wzór został określony w rozporządzeniu ministra spraw wewnętrznych i administracji z 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych. Poza danymi identyfikującymi samego inspektora, numerem jego legitymacji służbowej, oznaczeniem organu kontroli i wskazaniem podstawy prawnej jej przeprowadzenia, upoważnienie zawiera informacje określające:

a) zakres przedmiotowy kontroli,

b) oznaczenie podmiotu objętego kontrolą albo zbioru danych objętego kontrolą, albo miejsca poddanego kontroli,

c) datę rozpoczęcia kontroli,

d) przewidywaną datę jej zakończenia,

e) pouczenie podmiotu kontrolowanego o jego prawach i obowiązkach.

Uwaga

Przewidywany termin zakończenia kontroli nie jest dla inspektorów wiążący, tzn. możliwe jest zarówno wcześniejsze, jak i późniejsze jej zakończenie. W przypadku przedłużenia kontroli powinno zostać wydane nowe imienne upoważnienie. Pamiętać także należy o ograniczeniach dotyczących czasu trwania wszystkich kontroli dokonywanych u przedsiębiorcy w jednym roku kalendarzowym wynikających z usdg.

Obowiązek umożliwienia przeprowadzenia kontroli obciąża osobę fizyczną, która jest ADO, albo kierownika kontrolowanej jednostki organizacyjnej. Udaremnianie lub utrudnianie wykonywania czynności kontrolnych stanowi przestępstwo powszechne, tj. takie, którego dopuścić się może każdy, ścigane z urzędu, zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat dwóch .

Co znajduje się w protokole z kontroli

Czynności kontrolne utrwala się w postaci protokołów – odpowiednio: przyjęcia wyjaśnień, przesłuchania w charakterze świadka oraz oględzin miejsca, pomieszczeń, dokumentów, urządzeń, nośników i systemów informatycznych służących do przetwarzania danych. Kontrola kończy się także sporządzeniem protokołu, do którego podmiot kontrolowany może wnieść umotywowane zastrzeżenia i uwagi. Jego najistotniejszym elementem jest opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje, które mają znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych. W przypadku gdy inspektor uzna, że doszło do naruszenia przepisów ustawy o ochronie danych osobowych, ma obowiązek zwrócić się do GIODO z wnioskiem o wszczęcie postępowania administracyjnego.

Czym różni się postępowanie kontrolne od postępowania administracyjnego

W ramach kontroli przeprowadzanej przez GIODO wyróżnia się dwa etapy: postępowanie kontrolne i postępowanie administracyjne główne. Postępowanie kontrolne pozwala na ustalenie, czy istnieją podstawy do wszczęcia postępowania administracyjnego głównego. Jeśli tak, to jest ono wszczynane z urzędu, o czym zawiadamia się stronę (strony). Drugim rodzajem inicjacji postępowania administracyjnego głównego jest jego wszczęcie na wniosek – w wyniku skargi złożonej przez podmiot, którego dane dotyczą.

Postępowanie administracyjne wszczęte na skutek stwierdzonych w toku kontroli uchybień, o ile wcześniej nie zostaną one usunięte, zakończy się, co do zasady, wydaniem przez GIODO decyzji nakazującej przywrócenie stanu zgodnego z prawem. Przysługuje od niej środek odwoławczy w postaci wniosku o ponowne rozpoznanie sprawy, a następnie można na nią złożyć skargę do sądu administracyjnego. Jeśli w toku kontroli nie wykazano, by jednostka przetwarzała dane niezgodnie z przepisami o ochronie danych osobowych, kierowane jest do niej pismo zawierające stwierdzenie, że w zakresie objętym kontrolą uchybień nie stwierdzono.

Inspektor Biura GIODO może zwrócić się do ADO z żądaniem wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania, jeśli w wyniku przeprowadzonych czynności kontrolnych ustalono, że istnieją ku temu podstawy. Żądanie takie nie jest wiążące dla podmiotu, wiążące jest jednak żądanie informowania o podjętych przez ten podmiot działaniach, a także o wynikach postępowania dyscyplinarnego czy innego przewidzianego prawem działania zgłoszonego przez inspektora i to w terminie przez niego określonym.

Ważne:

W przypadku, gdy inspektor GIODO uzna, że zachowanie kierownika jednostki organizacyjnej lub jego pracownika wyczerpuje znamiona przestępstwa określonego w uodo, GIODO ma obowiązek zawiadomić organ powołany do ścigania przestępstw o jego popełnieniu. Przypadki te mają jednak charakter incydentalny.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922).
Monika Brzozowska-Pasieka

Autor: Joanna Łuczak-Tarka

doktor nauk prawnych, prawnik w Lubasz i Wspólnicy – Kancelaria Radców Prawnych sp. k., członek Rady Programowej Centrum Ochrony Danych Osobowych i Zarządzania Informacją UŁ, nauczyciel akademicki, ekspert z zakresu ochrony danych osobowych i dostępu do informacji publicznej
Słowa kluczowe:
GIODOkontrola GIODO

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x