Poradnik Przedsiębiorcy

Kontrola RODO – co należy wiedzieć?

Zgodnie z RODO każde państwo członkowskie zapewnia, by za monitorowanie stosowania niniejszego rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych. W Polsce organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych. Zadaniem organu nadzorczego jest między innymi monitorowanie i egzekwowanie stosowania RODO oraz rozpatrywanie skarg wniesionych przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie oraz w odpowiednim zakresie prowadzenie postępowania w przedmiocie tych skarg. Jakie uprawnienia ma PUODO i jak wygląda kontrola RODO? – odpowiadamy w niniejszym artykule!

Uprawnienia PUODO wynikające z RODO

Zgodnie z RODO organowi nadzorczemu przysługują następujące uprawnienia w zakresie prowadzonych postępowań:

  • nakazanie administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań;

  • prowadzenie postępowań w formie audytów ochrony danych;

  • zawiadamianie administratora lub podmiotu przetwarzającego o podejrzeniu naruszenia niniejszego rozporządzenia;

  • uzyskiwanie od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań;

  • uzyskiwanie dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego.

Ważne!
UODO ma prawo żądać od przedsiębiorcy dostarczenia przez niego wszelkich potrzebnych informacji. Ma również prawo wchodzić do pomieszczeń przedsiębiorcy i żądać udostępnienia sprzętu, na którym przetwarzane są dane.

Ponadto organowi nadzorczemu przysługują następujące uprawnienia naprawcze:

  • wydawanie administratorowi lub podmiotowi przetwarzającemu ostrzeżeń dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania;

  • udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania;

  • nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia;

  • nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu;

  • nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;

  • wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;

  • nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;

  • cofnięcie certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcia certyfikacji lub nakazanie podmiotowi certyfikującemu nieudzielania certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane;

  • zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej zależnie od okoliczności konkretnej sprawy;

  • nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej.

Ważne!
PUODO może wydać ostrzeżenie wobec administratora lub go upomnieć. Ma jednak także prawo nakazać ograniczenie przetwarzania danych lub wstrzymanie tego przetwarzania.

Kontrola RODO prowadzona przez PUODO

Prezes urzędu przeprowadza kontrolę przestrzegania przepisów o ochronie danych osobowych. Kontrola prowadzona jest zgodnie z zatwierdzonym przez PUODO planem kontroli lub na podstawie uzyskanych przez niego informacji lub w ramach monitorowania przestrzegania stosowania RODO.

 

Kontrola RODO prowadzona jest profilaktycznie – na podstawie planu kontroli, ale również w wyniku uzyskania informacji od osób trzecich o nieprawidłowościach u konkretnego przedsiębiorcy.Kontrolę przeprowadza upoważniony przez Prezesa pracownik urzędu lub członek lub pracownik organu nadzorczego państwa członkowskiego Unii Europejskiej w przypadku, o którym mowa w art. 62 RODO. Kontrolujący jest obowiązany do zachowania w tajemnicy informacji, o których dowiedział się w toku kontroli.

Możesz żądać wyłączenia kontrolera od udziału w sprawie!

Kontrolujący podlega wyłączeniu z udziału w kontroli, na wniosek lub z urzędu, jeżeli:

  • wyniki kontroli mogłyby oddziaływać na prawa lub obowiązki jego, jego małżonka, osoby pozostającej z nim faktycznie we wspólnym pożyciu, krewnego i powinowatego do drugiego stopnia albo na osoby związanej z nim z tytułu przysposobienia, opieki albo kurateli;

  • zachodzą uzasadnione wątpliwości co do jego bezstronności.

Powody wyłączenia trwają także po ustaniu małżeństwa, przysposobienia, opieki lub kurateli.

Jeżeli uważasz, że kontroler wykonujący kontrolę przetwarzania danych w twoim przedsiębiorstwie nie jest bezstronny, możesz żądać jego wyłączenia od udziału w twojej sprawie.

O przyczynach powodujących wyłączenie kontrolujący lub podmiot objęty kontrolą niezwłocznie zawiadamia PUODO. To on rozstrzyga o wyłączeniu kontrolującego. Do czasu wydania postanowienia kontrolujący podejmuje czynności niecierpiące zwłoki.

Rozpoczęcie czynności kontrolnych

Kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową. Imienne upoważnienie do przeprowadzenia kontroli zawierać powinno wskazanie podstawy prawnej przeprowadzenia kontroli, oznaczenie organu, imię i nazwisko, stanowisko służbowe kontrolującego oraz numer legitymacji służbowej, określenie zakresu przedmiotowego kontroli, oznaczenie kontrolowanego, wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności kontrolnych, podpis Prezesa Urzędu, pouczenie kontrolowanego o jego prawach i obowiązkach oraz datę i miejsce jego wystawienia.

Ważne!
Kontroler ma obowiązek okazać, przed rozpoczęciem kontroli, legitymację służbową oraz imienne upoważnienie do wykonania kontroli z RODO.

Prezes Urzędu może upoważnić do udziału w kontroli osobę posiadającą wiedzę specjalistyczną, jeżeli przeprowadzenie czynności kontrolnych wymaga takiej wiedzy.

Czynności kontrolnych dokonuje się w obecności kontrolowanego lub osoby przez niego upoważnionej. Kontrolowany jest obowiązany do pisemnego wskazania osoby upoważnionej do reprezentowania go w trakcie kontroli. W razie nieobecności kontrolowanego lub osoby przez niego upoważnionej, upoważnienie do przeprowadzenia kontroli oraz legitymacja służbowa lub dokument potwierdzający tożsamość mogą być okazane osobie czynnej w lokalu przedsiębiorstwa w rozumieniu art. 97 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz. U. z 2017 r. poz. 459, 933 i 1132 oraz z 2018 r. poz. 398 i 650).

Uprawnienia kontrolującego – przebieg kontroli

Kontrolujący ma prawo:

  • wstępu w godzinach od 6.00 do 22.00 na grunt oraz do budynków, lokali lub innych pomieszczeń;

  • wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli;

  • przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;

  • żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;

  • zlecać sporządzanie ekspertyz i opinii.

Kontrolowany ma obowiązek zapewnić kontrolującemu oraz osobom upoważnionym do udziału w kontroli warunki i środki niezbędne do sprawnego przeprowadzenia kontroli, a w szczególności sporządza we własnym zakresie kopie lub wydruki dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub systemach.

Kontrolowany dokonuje potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków. W przypadku odmowy potwierdzenia za zgodność z oryginałem kontrolujący czyni o tym wzmiankę w protokole kontroli.

Ważne!
Przedsiębiorca ma obowiązek sporządzać na własny koszt kopie dokumentów i nośników danych na potrzeby kontroli. Kopie te przedsiębiorca powinien potwierdzić za zgodność z oryginałem.

W uzasadnionych przypadkach przebieg kontroli lub poszczególne czynności w jej toku, po uprzednim poinformowaniu kontrolowanego, mogą być utrwalane przy pomocy urządzeń rejestrujących obraz lub dźwięk. Informatyczne nośniki danych, na których zarejestrowano przebieg kontroli lub poszczególne czynności w jej toku, stanowią załącznik do protokołu kontroli.

Prezes Urzędu lub kontrolujący może zwrócić się do właściwego miejscowo komendanta policji o pomoc, jeżeli jest to niezbędne do wykonywania czynności kontrolnych. Udzielenie pomocy policji przy wykonywaniu czynności kontrolnych polega na zapewnieniu kontrolującemu bezpieczeństwa osobistego oraz dostępu do miejsca wykonywania kontroli i porządku w tym miejscu. Jeżeli jest to uzasadnione, przebieg kontroli może być nagrywany. Może się ona również odbywać się przy asyście policji.

Ustalenia w toku kontroli

Kontrolujący ustala stan faktyczny na podstawie dowodów zebranych w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń. Kontrolujący może przesłuchać pracownika kontrolowanego w charakterze świadka. Za pracownika kontrolowanego uznaje się osobę zatrudnioną na podstawie stosunku pracy lub wykonującą pracę na podstawie umowy cywilnoprawnej.

Protokół kontroli

Przebieg czynności kontrolnych kontrolujący przedstawia w protokole kontroli. Podpisuje go kontrolujący i przekazuje kontrolowanemu w celu podpisania. Kontrolowany w terminie 7 dni od dnia przedstawienia protokołu kontroli do podpisu podpisuje go albo składa pisemne zastrzeżenia do jego treści.

W przypadku złożenia zastrzeżeń, kontrolujący dokonuje ich analizy i, w razie potrzeby, podejmuje dodatkowe czynności kontrolne, a w przypadku stwierdzenia zasadności zastrzeżeń zmienia lub uzupełnia odpowiednią część protokołu kontroli w formie aneksu do protokołu kontroli. W razie nieuwzględnienia zastrzeżeń w całości albo części, kontrolujący przekazuje kontrolowanemu informacje o tym wraz z uzasadnieniem.

Ważne!
Z kontroli sporządzany jest protokół, który obie strony powinny podpisać. Jeżeli jednak nie zgadzasz się z treścią protokołu, masz prawo w ciągu 7 dni od jego otrzymania złożyć zastrzeżenia!

Brak doręczenia kontrolującemu podpisanego protokołu kontroli i niezgłoszenie zastrzeżeń do jego treści w terminie uznaje się za odmowę podpisania protokołu kontroli. O odmowie podpisania protokołu kontroli kontrolujący czyni wzmiankę w tym protokole, zawierającą datę jej dokonania lub po upływie terminu.

Zakończenie kontroli RODO

Kontrolę prowadzi się nie dłużej niż 30 dni od dnia okazania kontrolowanemu lub innej osobie wskazanej w przepisach imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej lub innego dokumentu potwierdzającego tożsamość. Do terminu nie wlicza się terminów przewidzianych na zgłoszenie zastrzeżeń do protokołu kontroli lub podpisanie i doręczenie protokołu kontroli przez kontrolowanego.

Terminem zakończenia kontroli jest dzień podpisania protokołu kontroli przez kontrolowanego albo dzień dokonania wzmianki o odmowie podpisania.

Jeżeli na podstawie informacji zgromadzonych w postępowaniu kontrolnym Prezes Urzędu uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, obowiązany jest do niezwłocznego wszczęcia postępowania w sprawie naruszenia przepisów o ochronie danych osobowych.