Jak wygląda kontrola RODO przeprowadzana przez Prezesa Urzędu Ochrony Danych Osobowych - w 2024 r.
Kontrola przestrzegania przepisów o ochronie danych osobowych przeprowadzana przez Prezesa UODO z oczywistych względów jest stresującym doświadczeniem dla administratora. Tym bardziej więc powinien on wiedzieć, jak się do niej przygotować, ale też jak ta kontrola przebiega. Rolą podmiotu kontrolowanego jest bowiem zapewnienie możliwości przeprowadzenia czynności kontrolnych. Poza tym administrator danych osobowych może skorzystać z pewnych uprawnień w toku kontroli w obronie swojego interesu. Wyjaśniamy, jak wygląda kontrola RODO i jakie prawa i obowiązki ma w związku z tym administrator.
Prezes UODO nie zawsze musi zapowiedzieć kontrolę
W przypadku administratorów danych, którzy nie są przedsiębiorcami, kontrola RODO może odbyć się bez uprzedzenia. Prezes Urzędu Ochrony Danych Osobowych może więc wysłać kontrolerów do administratora danych bez zapowiedzi.
Natomiast w przypadku przedsiębiorców przetwarzających dane osobowe kontrola przestrzegania przepisów RODO i innych dotyczących danych osobowych musi być każdorazowo zapowiedziana. Postępowanie kontrolne wszczyna się wówczas:
- nie wcześniej niż po upływie 7 dni (chyba że przedsiębiorca złoży wniosek o wcześniejsze rozpoczęcie kontroli)
- nie później niż przed upływem 30 dni
od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli. Jeśli jednak kontrola UODO nie zostanie wszczęta w terminie 30 dni, wtedy przedsiębiorca otrzyma ponowne zawiadomienie.
Wprawdzie kontrola może dotyczyć wszelkich procesów przetwarzania danych osobowych. Niemniej jednak w zawiadomieniu zostanie wskazany zakres kontroli stosowania RODO, co ułatwi przygotowanie się do niej.
Sprawdź, czy Twoja dokumentacja jest zgodna z przepisami RODO
Oczywiście po otrzymaniu zawiadomienia o kontroli ADO powinien sprawdzić posiadaną dokumentację ochrony danych i przygotować ją do kontroli. Chodzi tu w szczególności o:
- rejestr czynności przetwarzania danych,
- klauzule informacyjne kierowane do osób, których dane dotyczą,
- dokumentację dotyczącą środków bezpieczeństwa danych (np. polityka bezpieczeństwa, instrukcje),
- umowy powierzenia przetwarzania danych,
- upoważnienia do przetwarzania danych,
- dokumentacja z analizy ryzyka i DPIA.
Zweryfikuj tożsamość osoby, która przeprowadza kontrolę
W typowym przypadku kontrola RODO rozpoczyna się od wstępu kontrolujących do siedziby administratora. Kontrolujący przedstawiciel organu nadzorczego musi okazać administratorowi imienne upoważnienie wraz z legitymacją służbową. W upoważnieniu znajduje się m.in.:
- imię i nazwisko i stanowisko służbowe kontrolującego,
- numer legitymacji służbowej,
- zakres kontroli,
- planowany termin jej zakończenia.
W razie nieobecności kierownictwa administratora danych upoważnienie może zostać okazane:
- osobie czynnej w lokalu przedsiębiorstwa w rozumieniu art. 97 Kodeksu cywilnego,
- przywołanemu świadkowi, jeśli jest funkcjonariuszem publicznym, a przy tym nie jest pracownikiem UODO.
Gdyby kontrolujący nie okazali imiennego upoważnienia i legitymacji służbowej, wtedy ADO powinien zażądać od niego przedstawienia tych dokumentów. Niestety istnieje tu ryzyko, że ktoś mógł podszyć się pod kontrolera UODO. Warto także skontaktować się np. telefonicznie z Urzędem Ochrony Danych Osobowych w celu potwierdzenia, że osoba kontrolująca jest rzeczywiście pracownikiem Urzędu uprawnionym do przeprowadzenia kontroli.
Przeczytaj także: Prezes UODO ostrzega przed oszustami>>
Co może kontrolować organ nadzorczy
Następnie podjęte zostaną czynności kontrolne w zakresie prawidłowości stosowania przepisów RODO. Mogą być one przeprowadzane na terenie firmy kontrolowanego (w jej różnych pomieszczeniach np. serwerowniach czy archiwach) w godz. Od 6.00 do 22.00. W tych godzinach administrator musi zapewnić kontrolującym warunki i środki niezbędne do sprawnego przeprowadzenia kontroli.
W trakcie czynności kontrolnych administrator powinien być obecny osobiście lub zapewnić obecność osoby upoważnionej. Ma to na celu zapewnienie kontrolującym możliwości realizowania czynności kontrolnych.
Bierność w tym zakresie może być uznana za utrudnianie kontroli, za co grozi kara UODO. Przeczytaj także: Współpraca z Prezesem UODO
7 czynności kontrolnych i zadań administratora w toku kontroli RODO
Kontrolujący mogą przeprowadzać określone czynności kontrolne, którym odpowiadają obowiązki administratora. Z drugiej strony administrator ma tu także pewne uprawnienia.
|
L.p. |
Czynności kontrolne |
Zadania administratora |
|
1. |
wgląd do dokumentów i informacji mających bezpośredni związek z zakresem kontroli, w tym także objętych tajemnicą prawnie chronioną |
Administrator musi:
W przypadku odmowy potwierdzenia za zgodność kontrolujący zawrze wzmiankę o tym w protokole kontroli. |
|
2. |
oględziny:
|
Należy:
|
|
3. |
przegląd dokumentacji |
Poza przedstawieniem dokumentacji administrator na żądanie kontrolującego musi przedstawić tłumaczenie dokumentów sporządzonych w języku obcym na język polski. Musi wykonać je na własny koszt. |
|
4. |
|
Warto, by administrator uświadomił pracownikom i współpracownikom, że mogą być przesłuchiwani jako świadkowie. Powinni oni wiedzieć, że co do zasady nie mogą odmówić składania zeznań. Wyjątek dotyczy:
Możesz przekazać im informacje, że jako świadkowie nie mogą odmówić składania zeznań, z wyjątkiem małżonka kontrolowanego, wstępnych, zstępnych i rodzeństwa kontrolowanego oraz jej powinowatych pierwszego stopnia, jak również osób pozostających ze stroną w stosunku przysposobienia, opieki lub kurateli. Poza tym świadkowie mogą odmówić odpowiedzi na poszczególne pytania, gdy ta odpowiedź mogłaby narazić ich lub ich bliskich (wymienionych powyżej) na:
albo spowodować naruszenie obowiązku zachowania prawnie chronionej tajemnicy zawodowej (art. 83 § 1-2 Kodeksu postępowania administracyjnego w zw. z art. 86 ust. 3 ustawy o ochronie danych osobowych). |
|
5. |
zlecenie sporządzenia:
|
Nie jest to koszt ponoszony przez administratora. Nie musi on zlecać ich sporządzenia. |
|
6. |
rejestracja obrazu i dźwięku w celu utrwalania przebiegu kontroli |
Administrator zostanie poinformowany o tego typu rejestracji. Nie będzie ona utajniona. Jego rolą jest umożliwianie takiej rejestracji. |
|
7. |
zwrócenie się do komendanta Policji o pomoc, jeżeli jest to niezbędne do wykonywania czynności kontrolnych (nie tylko w razie utrudniania kontroli) |
Administrator musi oczekiwać od Policji, by zapewniła bezpieczeństwo osobom uczestniczącym przy wykonywaniu czynności kontrolnych, mając w szczególności na względzie poszanowanie godności osób biorących udział w kontroli. |
Administrator może powołać się na tajemnicę przedsiębiorstwa
W toku kontroli administratorowi przysługuje istotne uprawnienie. Otóż może on zastrzec on w całości lub w części informacje zawierające tajemnicę przedsiębiorstwa.
Tajemnica przedsiębiorstwa to informacje:
- techniczne, technologiczne, organizacyjne inne informacje przedsiębiorstwa,
- posiadające wartość gospodarczą,
- które nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji albo nie są łatwo dostępne dla takich osób (jako całość lub w szczególnym zestawieniu) i zbiorze ich elementów nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji
o ile uprawniony do korzystania z informacji lub rozporządzania nimi podjął działania w celu utrzymania ich w poufności, z zachowaniem należytej staranności.
Oznacza to, że kontrolujący mają obowiązek zachowania w tajemnicy informacji w ww. zakresie. Zaś administrator w takim przypadku musi przedstawić wersję dokumentu (papierowego lub na informatycznym nośniku danych) niezawierającą informacji objętych zastrzeżeniem. Zastrzeżenie może jednak zostać uchylone przez Prezesa Urzędu Ochrony Danych Osobowych. Definicję tajemnicy przedsiębiorstwa znajdziemy w art. 11 ust. 2 ustawy o zwalczaniu nieuczciwej konkurencji.
Na koniec należy podpisać protokół lub złożyć zastrzeżenia
Postępowanie kontrolne kończy się sporządzeniem i podpisaniem protokołu kontroli na piśmie lub elektronicznie. Następnie administrator otrzyma ten protokół (wraz z ewentualnymi nagraniami). Będzie on miał 7 dni na jego:
- podpisanie,
- zgłoszenie pisemnych zastrzeżeń.
Zarówno podpisany protokół jak i zastrzeżenia należy przekazać kontrolującemu.
Brak działań administratora w 7-dniowym terminie będzie uznany za odmowę podpisania protokołu.
Zastrzeżenia do protokołu kontroli
Jak już wskazano, administrator może zgłosić zastrzeżenia do protokołu kontroli. W takim przypadku kontrolujący dokona ich analizy. Na tej podstawie:
- w przypadku stwierdzenia ich zasadności - zmieni lub uzupełni odpowiednią część protokołu kontroli (sporządzając aneks do protokołu)
- w razie nieuwzględnienia zastrzeżeń w całości albo części – poinformuje o tym administratora wraz z uzasadnieniem.
Na tym etapie nie będzie można już złożyć skargi na rozstrzygnięcie kontrolującego. Stwierdzone przez kontrolujących naruszenie przepisów RODO może stać się podstawą kolejnych kroków.
Kolejny krok to postępowanie w sprawie naruszenia ochrony danych
W oparciu o protokół kontroli może zostać uruchomione postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych. Postępowanie to zainicjować może Prezes UODO, jeżeli uzna, że mogło dojść do naruszenia RODO. Sprawdź jak wygląda dalsza procedura.
- Zgoda marketingowa – czy także od firmy lub instytucji
- Organizacja konkursu dla uczniów – umowa powierzenia przetwarzania danych pomiędzy szkołą a organem prowadzącym
- Kopia dokumentacji pracowniczej jako szczególne uprawnienie dostępu do danych osobowych
- Obowiązek informacyjny w związku z rozmową telefoniczną - jak przekazać klauzulę informacyjną RODO
- Postępowanie z ryzykiem dla danych osobowych w związku z wdrożeniem sztucznej inteligencji AI
- Kiedy należy sporządzić ocenę skutków dla ochrony danych w związku z wdrożeniem sztucznej inteligencji
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
