Poradnik Przedsiębiorcy

Kontrola RODO w firmie - wszystko co warto wiedzieć!

Zasady RODO zdążyły się już na dobre zadomowić w polskim porządku prawnym. Większość firm wzięła na poważnie wejście w życie nowych przepisów o ochronie danych osobowych i wdrożyła niezbędne procedury. Jednakże samo przygotowanie potrzebnych dokumentów czy zatrudnienie osoby odpowiedzialnej za przetwarzanie danych klientów, kontrahentów oraz pracowników przedsiębiorstwa nie jest wystarczające. Wspomniane unijne rozporządzenie wymaga od administratora stałego trzymania ręki na pulsie. Regularne monitorowanie i weryfikacja procesów przetwarzania danych jest niezbędna, aby uchronić firmę przed dotkliwymi karami administracyjnymi i finansowymi. Kontrola RODO w przedsiębiorstwie może się zdarzyć w każdej chwili – nie tylko wskutek zgłoszenia nieprawidłowości przez osobę, której dane są przetwarzane.

Kontrola RODO jest przeprowadzana przez inspektorów oddelegowanych z ramienia Prezesa Urzędu Ochrony Danych Osobowych (tj. Prezesa UODO). Oczywiście na kontrole UODO powinni się przygotować administratorzy danych, którzy dopuścili się nieprawidłowości w owej kwestii. Co więcej, Prezes UODO regularnie zapowiada akcje kontrolne. Tyczy się to w szczególności sektora publicznego, m.in. placówek medycznych i oświatowych, ale sektor prywatny również powinien mieć się na baczności – UODO ma na celowniku głównie przedsiębiorstwa, w których przetwarzanie danych osobowych pełni bardzo ważną rolę, to jest m.in. telemarketing, bankowość czy ubezpieczenia.

Kontrola RODO – procedury

Ochrona danych osobowych w Polsce opiera się na wyżej wspomnianym rozporządzeniu RODO oraz na Ustawie o ochronie danych osobowych. Zgodnie z powyższymi aktami wszczęcie kontroli może mieć różne podłoża. Kontrola RODO może być:

  • planowa – zostaje przeprowadzana zgodnie z zatwierdzonym przez Prezesa UODO planem kontroli;

  • doraźna – zostaje wszczynana na podstawie uzyskanych przez Prezesa UODO informacji, np. skargi osoby, której dane były przetwarzane niezgodnie z przepisami RODO.

Ustawa o ochronie danych osobowych odróżnia dwa rodzaje kontroli. Pierwsza z nich dotyczy postępowania w sprawie naruszenia przepisów o ochronie danych osobowych, druga natomiast – postępowania kontrolnego w przedmiocie przestrzegania przepisów o ochronie danych osobowych. Między wskazanymi procedurami istnieje korelacja – dopiero gdy w wyniku kontroli przestrzegania przepisów zostaną wykazane istotne nieprawidłowości, organ nadzorczy może wszcząć postępowanie w sprawie naruszenia przepisów o ochronie danych.

Prezes UODO – jakie są jego kompetencje?

Zgodnie z powyższym akapitem wiadomo już, jaki organ jest odpowiedzialny za przeprowadzanie kontroli – jest nim Prezes Urzędu Ochrony Danych Osobowych (PUODO). Aby móc dobrze się przygotować do kontroli tego organu, należy odpowiedzieć na pytanie – jakie kompetencje posiada PUODO i w jaki sposób może ich użyć przeciwko przedsiębiorcy?

Zadania, kompetencje oraz uprawnienia organu nadzorczego ochrony danych osobowych zostały uregulowane w art. 57 i art. 58 RODO. Na mocy wspomnianych przepisów PUODO ma prawo do:

  • monitorowania i egzekwowania stosowania przepisów rozporządzenia, m.in. rozpatrywanie skarg składanych do organu nadzorczego w trybie art. 77 RODO, wszczynanie postępowań kontrolnych, przeprowadzanie kontroli;

  • uzyskania od administratora i podmiotu przetwarzającego dostęp do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań;

  • uzyskania dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego;

  • prowadzenia postępowań w formie audytów ochrony danych;

  • zawiadamiania administratora lub podmiotu przetwarzającego o podejrzeniu naruszenia przepisów RODO;

  • wydawania administratorowi lub podmiotowi przetwarzającemu ostrzeżeń dotyczących możliwości naruszenia przepisów RODO poprzez planowane operacje przetwarzania;

  • udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO przez operacje przetwarzania;

  • nakazania administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy przepisów RODO;

  • nakazania administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów RODO, w tym wskazanie sposobu i terminu;

  • nakazania administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych.

Jak wygląda procedura kontrolna?

Kontrolę RODO przeprowadzają kontrolerzy oddelegowani z ramienia PUODO. Niejednokrotnie inspektorami zostają także pracownicy Generalnego Inspektoratu Ochrony Danych Osobowych, pracownicy Państwowej Inspekcji Pracy oraz Państwowej Inspekcji Handlowej. Jak zostało to wcześniej podkreślone, postępowanie kontrolne odbywa się na podstawie planu kontroli zatwierdzonego przez prezesa urzędu bądź analizy zebranych przez PUODO informacji uzyskanych od podmiotu trzeciego. 

Kontrole doraźne, tj. przeprowadzane na podstawie uzyskanych przez Prezesa UODO informacji od podmiotów trzecich, mogą być niezapowiedziane.

Przed rozpoczęciem procedury kontroler ma obowiązek przedstawić stosowne upoważnienie oraz legitymację służbową. Na upoważnieniu powinna znajdować się data rozpoczęcia oraz data przewidywanego zakończenia kontroli. Co do zasady, kontrolerzy mają prawo wstępu na tereny kontrolowanego przedsiębiorstwa w godzinach od 6:00 do 22:00. Kontrola może trwać nie dłużej niż 30 dni.

Na podstawie art. 84 Ustawy o ochronie danych osobowych przedsiębiorca ma obowiązek udostępnić kontrolującemu wgląd do całej dokumentacji, jaka jest niezbędna do prawidłowego przeprowadzenia kontroli. Oprócz dokumentacji w rozumieniu dosłownym obowiązek ten dotyczy również udostępnienia wszelkich informacji, urządzeń, przedmiotów, nośników oraz systemów informatycznych służących do przetwarzania danych osobowych. Co więcej, inspektor jest uprawniony do odbierania od przedsiębiorcy oraz jego pracowników pisemnych lub ustnych oświadczeń lub wyjaśnień.

W trakcie procedury kontrolnej kontroler może sporządzać kopie (ksero) oraz fotokopie poszczególnych akt, dokonywać oględzin obiektów, pomieszczeń oraz urządzeń informatycznych i oprogramowania używanego przez kontrolowanego do przetwarzania danych osobowych. W razie ujawnienia nieprawidłowości przeprowadzone może zostać przesłuchanie przedsiębiorcy lub jego pracowników. Dodatkowo kontrolerzy mają prawo do zabezpieczenia dowodów poprzez np. zajęcie sprzętu bądź całych pomieszczeń.

Protokół z kontroli RODO

Procedura kontrola zostaje zakończona sporządzeniem protokołu kontroli, w którym ujawniane zostają ustalenia z przeprowadzonych czynności. W jego skład wchodzą dokumenty, oświadczenia, wyjaśnienia, wydruki dokumentów przedsiębiorstwa oraz inne przedmioty istotne dla postępowania. Inspektor ma obowiązek zapoznać kontrolowanego z treścią protokołu. Przedsiębiorca w ciągu 7 dni może złożyć podpis pod protokołem, co jest jednoznaczne z potwierdzeniem jego treści, lub może pisemnie zgłosić swoje zastrzeżenia. W przypadku złożenia zastrzeżeń kontrolujący może podjąć dodatkowe czynności kontrolne. Może również po rozpatrzeniu zastrzeżeń stwierdzić ich zasadność i dokonać zmiany lub uzupełnienia protokołu. Natomiast w razie nieuwzględnienia zastrzeżeń w całości albo części kontrolujący przekazuje kontrolowanemu swoją decyzję wraz z uzasadnieniem. Nieuwzględnienia zastrzeżeń nie można zaskarżyć. Istotny jest fakt, że niepodpisanie protokołu ani niezłożenie zastrzeżeń w przeciągu 7 dni oznacza odmowę podpisania protokołu.

Jakie są sankcję za naruszenia przepisów RODO?

Naruszenie przepisów o ochronie danych osobowych niesie za sobą ryzyko nałożenia na administratora danych dwóch rodzajów kar – administracyjnej i finansowej.

Podstawową karą za naruszenia RODO jest kara finansowa. Jej wysokość jest zależna od wielu czynników, m.in. od tego, czy administrator przepisy naruszył celowo czy nieumyślnie. Istotne znaczenie mają też kategorie danych osobowych, których dotyczy naruszenie, oraz działania, jakie podjął administrator w celu zminimalizowania szkód. Wyciek adresów mailowych ze sklepu internetowego zostanie potraktowany o wiele łagodniej niż utrata informacji o stanie zdrowia pacjentów szpitala zakaźnego (dane te stanowią tzw. dane wrażliwe). Do zmniejszenia kary może się przyczynić również współpraca przedsiębiorcy z organami kontrolnymi przy usuwaniu naruszeń.

Za naruszenie przepisów RODO Prezes Urzędu może nałożyć na administratora danych lub podmiot przetwarzający karę w wysokości do 10 mln euro, zaś w przypadku bardzo poważnych naruszeń kara ta może wzrosnąć nawet do 20 mln euro. W przypadku przedsiębiorstwa kara jest orzekana procentowo – do 2% (4% w przypadku bardzo poważnych naruszeń) jego całego rocznego światowego obrotu z poprzedniego roku.

Oprócz kar finansowych organy kontrolne mogą stosować także kary administracyjne mające istotny wpływ na funkcjonowanie przedsiębiorstwa. W niektórych przypadkach tego typu kary mogą być bardziej dotkliwe niż sankcje pieniężne. Prezes UODO może zastosować wobec kontrolowanego m.in.:

  • ostrzeżenie;

  • upomnienie;

  • nakazanie poinformowania osoby, której dane dotyczą, o naruszeniu przepisów oraz spełnienia jej żądań wynikających z praw przysługujących jej na mocy aktualnego rozporządzenia o danych osobowych;

  • nakazanie czasowego lub całkowitego ograniczenie przetwarzania danych osobowych, w tym zakazania przetwarzania niektórych danych, ich sprostowania lub usunięcia;

  • cofnięcie certyfikatu lub nakazanie instytucji certyfikującej cofnięcie albo nieudzielenie certyfikacji.

Kary finansowe i administracyjne mogą być stosowane zamiennie oraz łącznie.

Kontrola RODO w firmie – podsumowanie

Wdrożenie procesów przetwarzania danych osobowych zgodnych z RODO jest jedynie pierwszym krokiem. Rozporządzenie wymaga od podmiotów przetwarzających dane osobowe stałego i regularnego dostosowywania procedur do aktualnych realiów rynkowych i prawnych. Kontrola RODO może przytrafić się każdemu przedsiębiorstwu, a przy tym nie zawsze musi być sygnalizowana przez PUODO – w przypadku kontroli doraźnej zawiadomienie nie jest wymogiem. Lepiej zawczasu dostosować politykę firmy do wymogów prawnych, aniżeli po fakcie liczyć na przychylność kontrolerów i mieć nadzieję, że skończy się jedynie na upomnieniu. Kary za naruszenie przepisów RODO są bardzo wysokie – mogą osiągać nawet do 20 mln euro.