Poradnik Przedsiębiorcy

Kontrola GIODO w firmie. Wszystko co warto wiedzieć

Ochrona danych osobowych to zagadnienie, z którym powinna zmierzyć się każda firma. W praktyce bowiem każda ma z nimi do czynienia. Przepisy ustawy o ochronie danych osobowych nakładają na wszystkich administratorów danych obowiązek ich przetwarzania zgodnie z prawem. ADO (administrator danych osobowych) w związku z tym musi liczyć się z ewentualną kontrolą Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Jak wygląda kontrola GIODO w firmie? Co obejmuje? Czy ADO jest o niej uprzedzany? Wyjaśniamy poniżej.

Kontrola jako jeden z obowiązków GIODO

Jak wynika z art. 12 pkt 1 ustawy o ochronie danych osobowych jednym z podstawowych obowiązków GIODO jest kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych.

Ważne!

Głównym celem kontroli jest ustalenie stanu faktycznego w zakresie przestrzegania przez podmiot kontrolowany przepisów o ochronie danych osobowych oraz udokumentowanie dokonanych ustaleń.

Kto dokonuje kontroli firmy w zakresie ochrony danych osobowych?

Zgodnie z obowiązującymi przepisami kontroli dokonuje sam Generalny Inspektor Ochrony Danych Osobowych lub zastępca GIODO (gdy taki został powołany) albo upoważnieni przez GIODO pracownicy, określani inspektorami (art. 14 ustawy).

Jednak w praktyce w skład zespołu kontrolnego wchodzą trzy osoby:

  • dwóch prawników będących pracownikami Departamentu Inspekcji Biura GIODO;

  • jeden informatyk będący pracownikiem Departamentu Informatyki Biura GIODO.

Ważne!

W grudniu 2014 r. Państwowa Inspekcja Pracy podpisała porozumienie z Biurem GIODO, w ramach którego zobowiązuje się do  zawiadamiania GIODO o stwierdzonych w czasie kontroli nieprawidłowościach w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych. GIODO z kolei ma informować PIP o wynikach postępowania w sprawie wskazanych nieprawidłowości.

Miejsce kontroli GIODO

GIODO lub jego inspektorzy przeprowadzają kontrolę w zakresie ochrony danych osobowych w siedzibie podmiotu kontrolowanego. Ponadto kontrola może być przeprowadzana w innych miejscach wykonywania przez ADO zadań w procesie przetwarzania danych.

Rodzaje kontroli GIODO 

Można wyróżnić 5 rodzajów kontroli GIODO i jego inspektorów w firmie:

  • Kontrola z urzędu - wykonywana z własnej inicjatywy GIODO w ramach wykonywania zadań kontrolnych nałożonych przez ustawę.

  • Kontrola na wniosek - wykonywana przez GIODO na wniosek podmiotu zewnętrznego np. PIP, NIK, związki zawodowe, pracodawcy, osoba fizyczna itd.

  • Kontrola częściowa - dotyczy zwykle poszczególnych zagadnień w procesie przetwarzania danych będących przedmiotem skargi.

  • Kontrola kompleksowa - dotyczy wszystkich zbiorów danych osobowych prowadzonych przez kontrolowanego ADO oraz obejmuje swoim zakresem wszystkie wymogi określone w przepisach o ochronie danych osobowych, mające zastosowanie w działalności danego podmiotu.

  • Kontrola sektorowa - może być częściowa lub kompleksowa. Jest wskazana przez GIODO w rocznym harmonogramie kontroli i dotyczy wybranej kategorii podmiotów lub zagadnień.

Zapowiedź kontroli przez GIODO

Ustawa o ochronie danych osobowych nie odnosi się wprost do obowiązku zapowiadania kontroli przez GIODO. Jednak w praktyce podmiot, który będzie podlegał kontroli powinien zostać o niej poinformowany, tak by mógł się do niej przygotować.

Jedynie w wyjątkowych sytuacjach, wskazujących na to że podmiot lub osoba podlegająca kontroli mogłaby ukryć dowody świadczące o popełnieniu czynu zabronionego, inspektor może wszcząć kontrolę bez zapowiedzi. 

Ważne!

W przypadku podmiotów prowadzących działalnością gospodarczą zastosowanie znajdą przepisy ustawy o swobodzie działalności gospodarczej. Bowiem jak stanowi jej art. 79 ust. 4: Kontrolę wszczyna się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli. Jeżeli kontrola nie zostanie wszczęta w terminie 30 dni od dnia doręczenia zawiadomienia, wszczęcie kontroli wymaga ponownego zawiadomienia.

Kontrola GIODO w firmie - zakres uprawnień

Zakres uprawnień przysługujących kontrolerom został określony w art. 14 ustawy o ochronie danych osobowych. Zgodnie z jego treścią mają oni prawo:

  • wstępu, w godzinach od 600 do 2200, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą;

  • żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego;

  • wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;

  • przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych.

Ważne!

Administrator danych osobowych jest zobligowany do umożliwienia inspektorowi przeprowadzenia kontroli i wykonania czynności, o których mowa powyżej.

Co podlega kontroli?

Podczas kontroli inspektor zwraca szczególną uwagę na osiem aspektów:

  1. przesłanki legalności przetwarzania danych osobowych (w tym danych wrażliwych);

  2. zakres oraz cel przetwarzania danych;

  3. merytoryczną poprawność oraz ich adekwatność do celu przetwarzania;

  4. obowiązek informacyjny;

  5. zgłoszenie zbioru do rejestracji;

  6. przekazywanie danych do państwa trzeciego;

  7. powierzenie przetwarzania danych osobowych;

  8. zabezpieczenie danych.

Kontrola GIODO w firmie - protokół z kontroli

Kontrola GIODO w firmie musi zakończyć się protokołem. Co ważne protokół powinien zostać sporządzony w dwóch egzemplarzach. Jeden z nich powinien trafić do rąk administratora danych (ADO).

Jakie dane powinien zawierać protokół pokontrolny GIODO?

Zakres danych jaki powinien zostać uwzględniony w protokole pokontrolnym określa art. 15 ust. 1 ustawy o ochronie danych osobowych. Wśród obowiązkowych elementów wymienia:

  • nazwę podmiotu kontrolowanego w pełnym brzmieniu i jego adres;

  • imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia inspektora;

  • imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot;

  • datę rozpoczęcia i zakończenia czynności kontrolnych, z wymienieniem dni przerw w kontroli;

  • określenie przedmiotu i zakresu kontroli;

  • opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;

  • wyszczególnienie załączników stanowiących składową część protokołu;

  • omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień;

  • parafy inspektora i osoby reprezentującej podmiot kontrolowany na każdej stronie protokołu;

  • wzmiankę o doręczeniu egzemplarza protokołu osobie reprezentującej podmiot kontrolowany;

  • wzmiankę o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu;

  • datę i miejsce podpisania protokołu przez inspektora oraz przez osobę lub organ reprezentujący podmiot kontrolowany.

Ważne!

Protokół powinien zostać podpisany zarówno przez inspektora przeprowadzającego kontrolę w firmie, jak i przez samego ADO. ADO może wnieść do protokołu zastrzeżenia i uwagi.

Ważne!

Gdy ADO odmówi podpisania protokołu, inspektor odnotowuje ten fakt w protokole. ADO odmawiający podpisu w terminie 7 dni może przedstawić swoje stanowisko na piśmie GIODO.

Jakie konsekwencje ma kontrola GIODO w firmie

Jeżeli po przeprowadzonej kontroli inspektor stwierdzi naruszenie przepisów o ochronie danych osobowych, występuje do Generalnego Inspektora o wydanie decyzji administracyjnej, o której mowa w art. 18 ustawy.

Art. 18. " 1. W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:

1) usunięcie uchybień;

2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych;

3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;

4) wstrzymanie przekazywania danych osobowych do państwa trzeciego;

5) zabezpieczenie danych lub przekazanie ich innym podmiotom;

6) usunięcie danych osobowych. "

2. Decyzje Generalnego Inspektora, o których mowa w ust. 1, nie mogą ograniczać swobody działania podmiotów zgłaszających kandydatów lub listy kandydatów w wyborach na urząd Prezydenta Rzeczypospolitej Polskiej, do Sejmu, do Senatu i do organów samorządu terytorialnego, a także w wyborach do Parlamentu Europejskiego, pomiędzy dniem zarządzenia wyborów a dniem głosowania.

2a. Decyzje Generalnego Inspektora, o których mowa w ust. 1, w odniesieniu do zbiorów określonych w art. 43 ust. 1 pkt 1a, nie mogą nakazywać usunięcia danych osobowych zebranych w toku czynności operacyjno-rozpoznawczych prowadzonych na podstawie przepisów prawa.

3. W przypadku gdy przepisy innych ustaw regulują odrębnie wykonywanie czynności, o których mowa w ust. 1, stosuje się przepisy tych ustaw