Sprawdź, jak możesz przygotować się do kontroli GIODO

Monika Brzozowska-Pasieka

Autor: Łukasz Onysyk

Dodano: 27 grudnia 2016
Dokument archiwalny
Jak przygotować się do kontroli GIODO

GIODO zawiadamia o swoich kontrolach, dlatego jeśli dostałeś zawiadomienie o planowanej kontroli w twoim podmiocie, masz trochę czasu, żeby się do niej przygotować. Przeczytaj porady naszego eksperta i zdobądź pewność, że jesteś gotowy na kontrolę GIODO.

Kontrola – to słowo, które zawsze budzi strach i niepokój w oczach każdego przedsiębiorcy (dalej administrator danych lub ADO). Głównym celem każdej kontroli jest sprawdzenie, a następnie ocena określonej działalności, pod kątem prawidłowego stosowania przepisów powszechnie obowiązującego prawa.

Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922), zwana dalej „ustawą” lub „uodo”, daje Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) uprawnienie do przeprowadzenia kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Jeżeli w toku takiej kontroli GIODO wykryje niezgodności, jego obowiązkiem będzie wydanie odpowiedniej decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z prawem.

Nie utrudniaj kontroli GIODO

Jakiekolwiek sposoby utrudniania kontroli GIODO mogą spowodować złożenie zawiadomienia o możliwości popełnienia przestępstwa do prokuratury. Za udaremnianie lub utrudnianie wykonania czynności kontrolnych w stosunku do inspektorów, ustawa przewiduje grzywnę, karę ograniczenia wolności albo pozbawienia wolności do lat 2. Dlatego warto zapewnić, aby osoba odpowiedzialna za przebieg kontroli po stronie ADO, miała wsparcie kierownictwa i zapewnioną pomoc od pozostałych pracowników i współpracowników administratora danych.

Przykład

Przykładami utrudniania przeprowadzenia kontroli mogą być:

  • niewpuszczenie inspektorów GIODO do obszaru przetwarzania danych osobowych,
  • zniszczenie, ukrycie dokumentów, które inspektorzy GIODO chcieliby zweryfikować podczas kontroli.

Podmioty, które mają być poddane kontroli GIODO, są o niej z reguły zawiadamiane na piśmie (faksem) z kilkudniowym wyprzedzeniem. Pismo to powinno określać:

  • ogólny przedmiot kontroli,
  • termin dokonania czynności kontrolnych.

Bardzo często zawiadomienie o kontroli zawiera także prośbę o przygotowanie dokumentacji dotyczącej przetwarzania danych osobowych. Chodzi przede wszystkim o politykę bezpieczeństwa, instrukcję zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, a także ewidencję osób upoważnionych do przetwarzania danych osobowych.

Ważne:

Kontrola Generalnego Inspektora Ochrony Danych Osobowych może odbyć się bez wcześniejszego zawiadomienia. Stanie się tak, gdy GIODO będzie podejrzewał, że kontrolowany podmiot mógłby odpowiednio skutecznie zniszczyć lub zataić istotne dowody, które potwierdzałyby dopuszczenie się naruszeń przepisów ochrony danych osobowych.

Do przeprowadzenia kontroli oddelegowani są upoważnieni inspektorzy (z reguły są to dwie osoby – prawnik i informatyk). Czas kontroli jest uzależniany od rodzaju działalności kontrolowanego, przedmiotu i zakresu kontroli oraz wielkości kontrolowanego podmiotu. Taka kontrola może trwać od kilku do kilkunastu dni. Zgodnie z ustawą inspektorzy moją możliwość przeprowadzenia czynności kontrolnych w godzinach od 6.00 do 22.00 w dni robocze. W praktyce czynności kontrolne odbywają się zazwyczaj w godzinach pracy kontrolowanego podmiotu, między 8.00 a 16.00.

Uwaga

Zgodnie art. 82 i 83 ustawy z 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz.U. 2016 r. poz. 1829) istnieją ograniczenia dotyczące możliwości prowadzenia więcej niż jednej kontroli w tym samym czasie oraz limity liczby dni w roku, kiedy kontrole mogą być prowadzone.

Jeśli zatem w naszym przypadku kontrola GIODO naruszałaby zakazy określone w art. 82 lub 83 ustawy o swobodzie działalności gospodarczej, powinniśmy o tym poinformować GIODO, składając odpowiedni sprzeciw.

Co warto zrobić, jakie działania podjąć, aby kontrola GIODO zakończyła się dla nas pozytywnie i trwała jak najkrócej? Na samym początku należy podkreślić, że „posprzątanie” wieloletnich zaniedbań w krótkim czasie nie będzie możliwe. Można jednak podjąć pewne działania, które pozwolą zniwelować niektóre naruszenia, jakich się dopuściliśmy.

Wyznacz osobę odpowiedzialną do reprezentowania cię przed inspektorami GIODO

Nasze przygotowania do kontroli GIODO po otrzymaniu zawiadomienia powinniśmy rozpocząć od wyznaczenia osoby, która będzie odpowiedzialna za reprezentowanie nas przed inspektorami GIODO.mIstotne w tej sytuacji jest to, czy dany podmiot, u którego zostanie przeprowadzona kontrola, powołał administratora bezpieczeństwa informacji (dalej: ABI). Jeżeli tak, powinien on być osobą odpowiedzialną za przygotowania do kontroli.

Jeżeli w kontrolowanym podmiocie nie ma administratora bezpieczeństwa informacji, taką osobą może być jeden z pracowników, który ma odpowiednią wiedzę z zakresu ochrony danych osobowych. W kontroli po stronie ADO powinna także uczestniczyć osoba z działu IT, która ma wiedzę na temat architektury i stosowanych zabezpieczeń w systemach służących do przetwarzania danych osobowych.

Osoba wyznaczona do przygotowań do kontroli w pierwszej kolejności powinna podjąć próbę ustalenia przyczyny i celu przeprowadzenia kontroli przez GIODO. Przykładowo, kontrole mogą być prowadzone z urzędu, w podmiotach z określonej branży. GIODO może również przeprowadzić kontrolę nagłą, np. w wyniku złożenia przez klienta skargi, związanej z domniemanym naruszeniem przepisów o ochronie danych osobowych.

Przykład

Klient ma dowody, które potwierdzają, że administrator danych przetwarza jego dane osobowe pomimo ustania celu, w jakim zostały one zebrane.

Jeśli otrzymamy sygnał, że kontrola została wszczęta na wniosek klienta, możemy mieć pewność, że działania kontrolne inspektorów z pewnością będą skierowane na weryfikację prawidłowości pozyskiwania danych, badanie istnienia przesłanek legalizujących ich przetwarzanie oraz ich bezpieczeństwo.

Zwiększ świadomość pracowników oraz współpracowników z zakresu ochrony danych osobowych

Kolejnym etapem przygotowania do kontroli powinno być powiadomienie pracowników oraz współpracowników o terminie zbliżającej się kontroli. Podczas kontroli inspektorzy GIODO mają prawo wzywać i przesłuchiwać pracowników. Warto więc, aby osoby te mogły być wcześniej przeszkolone na tę okoliczność.

Działania administratora danych powinny być skierowane na zwiększeniu świadomości osób, które przetwarzają dane w ramach codziennych obowiązków służbowych. Administrator bezpieczeństwa informacji powinien zorganizować spotkanie, podczas którego:

  • poinformowałby pracowników, którzy potencjalnie mogliby uczestniczyć w kontroli o jej przebiegu i terminie,
  • przeprowadziłby szkolenie z zasad przetwarzania danych osobowych.

Już na tym etapie warto wstępnie wytypować pracowników z wybranych działów, którzy biorą udział w istotnych procesach przetwarzania danych osobowych (np. marketing, kadry i płace) i indywidualnie omówić z nimi możliwość składania przez nich oświadczeń na żądanie inspektorów GIODO. Jest duża szansa, że wytypowane przez nas osoby będą faktycznie w toku kontroli udzielały inspektorom GIODO wyjaśnień do protokołu.

Przeprowadź wewnętrzny audyt

Następnym krokiem, jaki powinien podjąć ABI jest przeprowadzenie wewnętrznego audytu. Z pewnością mała ilość czasu nie pozwoli na przeprowadzenie pełnej weryfikacji wszystkich zachodzących procesów dotyczących zasad przestrzegania ochrony danych osobowych. Z pewnością jednak nawet pobieżny audyt pozwoli wykryć pewne uchybienia.

1. Sprawdź dokumentację ochrony danych osobowych

Audyt należy rozpocząć od weryfikacji stopnia przygotowania i wdrożenia dokumentacji dotyczącej ochrony danych osobowych. Na dokumentację tą składa się:

  • polityka bezpieczeństwa,
  • instrukcja zarządzania systemami informatycznymi, które służą do przetwarzania danych osobowych.

Inspektorzy GIODO zwracają uwagę także na to, czy zostały zebrane odpowiednie upoważnienia do przetwarzania danych osobowych oraz czy jest prowadzona ewidencja takich osób.

Jeśli podmiot, u którego ma być przeprowadzona kontrola, zatrudnia bardzo dużą liczbę pracowników, to zebranie sporej liczby upoważnień i dodatkowo stworzenie ewidencji może okazać się fizycznie niemożliwe. Warto w momencie weryfikacji tego punktu ustalić:

  • jakie dokumenty posiadamy (sprawdzić, czy są one kompletne),
  • które dokumenty ABI jest w stanie przygotować do czasu rozpoczęcia kontroli.

Po zakończeniu weryfikacji dokumentacji należy ją uporządkować i przygotować, aby była pod ręką i aby nie było problemu ze znalezieniem jej konkretnego składnika. Z reguły inspektorzy rozpoczynają kontrolę właśnie od sprawdzenia prawidłowości dokumentacji ochrony danych osobowych.

Zgromadzenie jej w jednym miejscu pozwoli uniknąć niepotrzebnego zamieszania i dodatkowych stresów w toku kontroli. Warto pamiętać, że porządek w dokumentach z pewności zostanie przez inspektorów zauważony.

2. Zweryfikuj, czy zarejestrowałeś zbiory danych osobowych

Inspektorzy GIODO podczas przeprowadzenia kontroli zbadają nie tylko jakie dane przetwarza podmiot kontrolowany, ale także jakie zbiory danych one tworzą. Ustawa nakłada na ADO, co do zasady, obowiązek rejestracji zbiorów danych do GIODO.

Równocześnie przepisy określają pewne wyjątki w tym zakresie. Przykładem takiego zwolnienia z obowiązku rejestracji zbiorów danych, które nie zawierają danych wrażliwych, jest powołanie i zgłoszenie administratora bezpieczeństwa informacji do GIODO. Jeśli administrator danych zdecyduje się na powołanie i zgłoszenie takiej osoby, jest zwolniony z obowiązku rejestracji zbiorów danych osobowych.

Uwaga

Może się zdarzyć, że w konkretnej sytuacji wszystkie z posiadanych zbiorów danych osobowych korzystają ze zwolnień z obowiązku rejestracji u Generalnego Inspektora Ochrony Danych Osobowych.

Podczas audytu wewnętrznego warto zbadać, czy kiedykolwiek zgłaszaliśmy GIODO zbiory danych, a jeśli tak to jakie. Jeżeli zbiory były zgłaszane, trzeba mieć chociażby kopię takich zgłoszeń, w szczególności, gdy nie otrzymaliśmy od GIODO zaświadczeń o rejestracji zgłoszonych zbiorów danych.

3. Sprawdź, czy przestrzegasz ogólnych zasad przetwarzania danych osobowych

Podczas audytu przed kontrolą GIODO warto również zwrócić uwagę na realizację obowiązków administratora danych, które dotyczą legalności przetwarzania danych osobowych.

Zatem każdy ustalony proces przetwarzania danych osobowych powinien zostać przeanalizowany pod kątem tego:

  • skąd i w jaki sposób dane osobowe są pozyskiwane,
  • w jakich celach są wykorzystywane,
  • kto ma do nich dostęp,
  • za pośrednictwem jakich systemów informatycznych są przetwarzane,
  • komu są udostępniane,
  • komu są powierzane do przetwarzania,
  • gdzie są archiwizowane,
  • w jaki sposób są usuwane.

Pomoże to nam ustalić poziom realizacji obowiązków dotyczących m.in.: zapewnienia odpowiednich podstaw przetwarzania danych osobowych, klauzul informacyjnych, zawierania umów powierzenia przetwarzania, wypełniania przez systemy informatyczne wymagań stawianych przez przepisy o ochronie danych osobowych.

4. Zweryfikuj poziom bezpieczeństwa fizycznego danych osobowych

Elementem audytu przed kontrolą Generalnego Inspektora Ochrony Danych Osobowych powinna być także weryfikacja poziomu bezpieczeństwa fizycznych przetwarzanych danych osobowych. Weryfikację warto rozpocząć od określenia obszaru przetwarzania danych osobowych. Dzięki temu osoba prowadząca audyt będzie wiedziała, które pomieszczenia wymagają weryfikacji pod kątem stosowanych zabezpieczeń fizycznych (zabezpieczenia okien, kontrola dostępu, alarmy, czujki środowiskowe itp.).

Ważne:

Podczas badania poziomu fizycznego bezpieczeństwa danych osobowych nie można pominąć sprawdzenia, czy w organizacji obowiązuje i jest stosowana polityka czystych biurek.

Standardowym etapem kontroli GIODO jest przegląd wybranych pomieszczeń tworzących obszar przetwarzania danych osobowych. Może się zdarzyć, że osoba, która uczestniczy w kontroli po stronie ADO, będzie miała wpływ na wybór konkretnych pomieszczeń. Dlatego warto mieć przygotowaną listę takich pomieszczeń.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922).
Monika Brzozowska-Pasieka

Autor: Łukasz Onysyk

ekspert ds. ochrony danych osobowych, zajmuje się usługami konsultingowymi z zakresu ochrony danych osobowych, doradzał ponad 200 podmiotom, zarówno z sektora prywatnego jak i administracji publicznej
Słowa kluczowe:
GIODOkontrola GIODO

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x