Poradnik Przedsiębiorcy

Kontrola GIODO w firmie. Wszystko co warto wiedzieć

Ochrona danych osobowych to zagadnienie, z którym powinna zmierzyć się każda firma. W praktyce bowiem każda ma z nimi do czynienia. Przepisy ustawy o ochronie danych osobowych nakładają na wszystkich administratorów danych obowiązek ich przetwarzania zgodnie z prawem. ADO (administrator danych osobowych) w związku z tym musi liczyć się z ewentualną kontrolą Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Jak wygląda kontrola GIODO w firmie? Co obejmuje? Czy ADO jest o niej uprzedzany? Wyjaśniamy poniżej.

Kontrola jako jeden z obowiązków GIODO

Jak wynika z art. 12 pkt 1 ustawy o ochronie danych osobowych jednym z podstawowych obowiązków GIODO jest kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych.

Ważne!

Głównym celem kontroli jest ustalenie stanu faktycznego w zakresie przestrzegania przez podmiot kontrolowany przepisów o ochronie danych osobowych oraz udokumentowanie dokonanych ustaleń.

Kto dokonuje kontroli firmy w zakresie ochrony danych osobowych?

Zgodnie z obowiązującymi przepisami kontroli dokonuje sam Generalny Inspektor Ochrony Danych Osobowych lub zastępca GIODO (gdy taki został powołany) albo upoważnieni przez GIODO pracownicy, określani inspektorami (art. 14 ustawy).

Jednak w praktyce w skład zespołu kontrolnego wchodzą trzy osoby:

  • dwóch prawników będących pracownikami Departamentu Inspekcji Biura GIODO;

  • jeden informatyk będący pracownikiem Departamentu Informatyki Biura GIODO.

Ważne!

W grudniu 2014 r. Państwowa Inspekcja Pracy podpisała porozumienie z Biurem GIODO, w ramach którego zobowiązuje się do  zawiadamiania GIODO o stwierdzonych w czasie kontroli nieprawidłowościach w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych. GIODO z kolei ma informować PIP o wynikach postępowania w sprawie wskazanych nieprawidłowości.

Miejsce kontroli GIODO

GIODO lub jego inspektorzy przeprowadzają kontrolę w zakresie ochrony danych osobowych w siedzibie podmiotu kontrolowanego. Ponadto kontrola może być przeprowadzana w innych miejscach wykonywania przez ADO zadań w procesie przetwarzania danych.

Rodzaje kontroli GIODO 

Można wyróżnić 5 rodzajów kontroli GIODO i jego inspektorów w firmie:

  • Kontrola z urzędu - wykonywana z własnej inicjatywy GIODO w ramach wykonywania zadań kontrolnych nałożonych przez ustawę.

  • Kontrola na wniosek - wykonywana przez GIODO na wniosek podmiotu zewnętrznego np. PIP, NIK, związki zawodowe, pracodawcy, osoba fizyczna itd.

  • Kontrola częściowa - dotyczy zwykle poszczególnych zagadnień w procesie przetwarzania danych będących przedmiotem skargi.

  • Kontrola kompleksowa - dotyczy wszystkich zbiorów danych osobowych prowadzonych przez kontrolowanego ADO oraz obejmuje swoim zakresem wszystkie wymogi określone w przepisach o ochronie danych osobowych, mające zastosowanie w działalności danego podmiotu.

  • Kontrola sektorowa - może być częściowa lub kompleksowa. Jest wskazana przez GIODO w rocznym harmonogramie kontroli i dotyczy wybranej kategorii podmiotów lub zagadnień.

Zapowiedź kontroli przez GIODO

Ustawa o ochronie danych osobowych nie odnosi się wprost do obowiązku zapowiadania kontroli przez GIODO. Jednak w praktyce podmiot, który będzie podlegał kontroli powinien zostać o niej poinformowany, tak by mógł się do niej przygotować.

Jedynie w wyjątkowych sytuacjach, wskazujących na to że podmiot lub osoba podlegająca kontroli mogłaby ukryć dowody świadczące o popełnieniu czynu zabronionego, inspektor może wszcząć kontrolę bez zapowiedzi. 

Ważne!

W przypadku podmiotów prowadzących działalnością gospodarczą zastosowanie znajdą przepisy ustawy o swobodzie działalności gospodarczej. Bowiem jak stanowi jej art. 79 ust. 4: Kontrolę wszczyna się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli. Jeżeli kontrola nie zostanie wszczęta w terminie 30 dni od dnia doręczenia zawiadomienia, wszczęcie kontroli wymaga ponownego zawiadomienia.

Kontrola GIODO w firmie - zakres uprawnień

Zakres uprawnień przysługujących kontrolerom został określony w art. 14 ustawy o ochronie danych osobowych. Zgodnie z jego treścią mają oni prawo:

  • wstępu, w godzinach od 600 do 2200, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą;

Możesz ocenić ten artykuł