Celem implementacji przepisów rozporządzenia RODO było zapewnienie ochrony osobom fizycznym i należącym do nich danym osobowym. Każdy podmiot przetwarzający i przechowywujący dane umożliwiające bezpośrednią lub nawet pośrednią identyfikację osoby fizycznej jest zobowiązany nie tylko do wprowadzenia metod ochrony danych zgodnych z RODO, lecz także do ich bieżącej weryfikacji i sprawdzania zgodności z aktualnymi przepisami. Procedury ochrony danych mogą zostać skontrolowane przez Urząd Ochrony Danych Osobowych. Jak wygląda kontrola przestrzegania procesów RODO?
Pracownicy UODO mogą skontrolować przedsiębiorcę
Kontrola przestrzegania procesów RODO jest prowadzona na podstawie przepisów ustawy o ochronie danych osobowych (rozdział 9 ustawy).
„Prezes Urzędu przeprowadza kontrolę przestrzegania przepisów o ochronie danych osobowych”.
Co do zasady kontrola jest prowadzona w oparciu o przygotowany przez Prezesa Urzędu Ochrony Danych plan kontroli sektorowych (patrz ramka poniżej), choć jego wdrożenie nie oznacza, że inni przedsiębiorcy nie muszą obawiać się wizyty inspektorów – UODO może podjąć czynności kontrolne również w innych przypadkach, na podstawie uzyskanych informacji (np. wskutek zawiadomienia przez osobę fizyczną, której dane osobowe zostały nieprawidłowo wykorzystane przez przedsiębiorcę).
Roczny plan kontroli sektorowych na 2019 rok, przygotowany przez Urząd Ochrony Danych Osobowych, zakłada przeprowadzenie kontroli w takich sektorach jak:
- telemarketing;
- brokerzy danych;
- profilowanie w sektorze bankowym;
- profilowanie w sektorze ubezpieczeniowym;
- podmioty udzielające świadczeń zdrowotnych;
- pracodawcy – przetwarzanie danych w związku z zastosowaniem monitoringu wizyjnego;
- pracodawcy – przetwarzanie danych w związku z procesami rekrutacji.
Kontrola może zostać przeprowadzona przez:
-
pracownika UODO;
-
członka lub pracownika organu nadzorczego państwa członkowskiego UE (w szczególnych wypadkach).
Kontrolujący ma obowiązek zachowania w tajemnicy wszystkich okoliczności, o których dowiedział się w związku z przeprowadzaniem kontroli (np. tajemnic przedsiębiorstwa, w którym prowadzona jest kontrola).
Kontrolujący ma obowiązek okazania kontrolowanemu przedsiębiorcy pisemnego upoważnienia oraz legitymacji służbowej. Upoważnienie do przeprowadzenia kontroli powinno zawierać szereg informacji dotyczących m.in. podstawy prawnej przeprowadzenia kontroli, jej zakresu, przewidywanego terminu zakończenia czy pouczenia kontrolowanego o jego prawach i obowiązkach.
Wyjątkowo Prezes UODO może upoważnić do udziału w kontroli również inną osobę, jeśli jest to konieczne z uwagi na potrzebę zastosowania wiedzy specjalistycznej (np. biegłego informatyka).
Z jakich etapów składa się kontrola przestrzegania procesów RODO?
W oparciu o przepisy ustawy o ochronie danych osobowych można wyróżnić następujące etapy prowadzenia kontroli:
-
Zawiadomienie o zamiarze przeprowadzenia kontroli.
Zawiadomienie o zamiarze kontroli nie jest obligatoryjne – UODO może uprzedzić przedsiębiorcę o takim planie, lecz nie musi tego robić. Jeśli przedsiębiorca otrzyma zawiadomienie o planowanej kontroli, powinien sprawdzić i przygotować posiadaną dokumentację dotyczącą przetwarzanych przez niego danych osobowych i metod ich ochrony.
-
Pojawienie się kontrolera w przedsiębiorstwie – kontroler ma obowiązek okazania upoważnienia oraz legitymacji.
Moment okazania upoważnienia ma kluczowe znaczenie dla przebiegu kontroli, kontrola powinna być bowiem prowadzona nie dłużej niż przez 30 dni liczonych od dnia okazania tego dokumentu. Do wspomnianego terminu 30 dni nie wlicza się terminów przewidzianych na zgłoszenie zastrzeżeń do protokołu kontroli lub podpisanie i doręczenie protokołu kontroli przez kontrolowanego. Momentem jej zakończenia jest dzień podpisania protokołu kontroli przez kontrolowanego albo dzień odmowy jego podpisania.
-
Podjęcie właściwych czynności kontrolnych, zgodnych z zakresem uprawnień kontrolera (o czym poniżej).
Czynności kontrolnych dokonuje się w obecności kontrolowanego lub osoby przez niego upoważnionej.
-
Sporządzenie i doręczenie protokołu kontroli.
-
Możliwość złożenia zastrzeżeń do protokołu kontroli.
-
Rozpatrzenie zastrzeżeń zgłoszonych przez kontrolowanego;
-
Prezes UODO może wszcząć postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych.
Celem kontroli jest ustalenie stanu faktycznego sprawy. Kontrolujący czyni to na podstawie dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń.
Protokół kontroli powinien zawierać następujące informacje:
-
wskazanie danych kontrolowanego przedsiębiorcy;
-
wskazanie danych kontrolera;
-
wskazanie danych osoby reprezentującej kontrolowanego przedsiębiorcę;
-
datę rozpoczęcia i zakończenia czynności kontrolnych;
-
określenie zakresu przedmiotowego kontroli;
-
opis stanu faktycznego ustalonego w toku kontroli;
-
inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
-
wskazanie załączników;
-
omówienie dokonanych w protokole kontroli poprawek, skreśleń i uzupełnień;
-
pouczenie kontrolowanego o prawie zgłaszania zastrzeżeń do protokołu kontroli oraz o prawie odmowy podpisania protokołu kontroli;
-
datę i miejsce podpisania protokołu kontroli przez kontrolującego i kontrolowanego.
Kontrolowany przedsiębiorca ma 7 dni od momentu przedstawienia mu protokołu kontroli na podpisanie dokumentu albo zgłoszenie zastrzeżeń odnośnie do jego treści. Zastrzeżenia są rozpatrywane przez kontrolującego, który może je uwzględnić (i odpowiednio zmodyfikować treść protokołu) albo odmówić ich uwzględnienia.
Jeśli kontrolowany przedsiębiorca odmówi podpisania protokołu, obowiązkiem kontrolera jest uczynienie stosownej wzmianki na dokumencie protokołu.
Jakie prawa przysługują kontrolerowi?
Zgodnie z przepisami ustawy o ochronie danych osobowych (przepis art. 84 i n.), kontrolujący ma prawo do:
-
wstępu w godzinach od 6.00 do 22.00 na grunt oraz do budynków, lokali lub innych pomieszczeń kontrolowanego przedsiębiorcy;
-
wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli;
-
przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
-
złożenia pisemnych lub ustnych wyjaśnień przez podmiot kontrolowany oraz jego pracowników (co ważne, za pracownika kontrolowanego przedsiębiorcy uznaje się również osobę zatrudnioną na podstawie stosunku pracy lub wykonującą pracę na podstawie umowy cywilnoprawnej);
-
przesłuchiwania osób w charakterze świadka w zakresie niezbędnym do ustalenia stanu faktycznego;
-
zlecania sporządzania ekspertyz i opinii (w sprawach wymagających wiedzy specjalistycznej).
Kontroler może zwrócić się o pomoc do miejscowej jednostki policji, jeśli na przykład kontrolowany przedsiębiorca odmawia mu wstępu na teren przedsiębiorstwa.
Po zakończeniu kontroli Prezes Urzędu Ochrony Danych osobowych na podstawie informacji zgromadzonych w toku postępowania kontrolnego może zadecydować o wszczęciu postępowania w sprawie naruszenia przepisów o ochronie danych osobowych. W takim przypadku postępowanie powinno zostać wszczęte niezwłocznie.