Kontrola Generalnego Inspektora Ochrony Danych Osobowych jest zwykle zapowiadana, ale może być uciążliwa. GIODO może sprawdzać nie tylko działania administratora danych, ale także podmiotów, którym powierzył on przetwarzanie danych osobowych. Sprawdź, jak się przygotować do kontroli GIODO.
Kontrola zgodności przetwarzania danych osobowych z przepisami o ochronie danych jest jednym z najważniejszych zadań postawionych przed Generalnym Inspektorem Ochrony Danych Osobowych. Kompetencje kontrolne formalnie przysługują zarówno GIODO, jego zastępcy, jak i upoważnionym pracownikom Biura GIODO, czyli inspektorom. W praktyce czynności kontrolne wykonywane są właśnie przez inspektorów, którzy mają imienne upoważnienie zgodne z wzorem z załącznika do rozporządzenia ministra spraw wewnętrznych i administracji z 11 maja 2011 r. Z punktu widzenia zadań kontrolnych najistotniejszą rolę pełni Departament Inspekcji, który jest jedną ze statutowych jednostek organizacyjnych Biura GIODO.
Kontroli mogą być poddane nie tylko działania administratora danych, ale także każdego innego podmiotu, któremu powierzył on przetwarzanie danych w oparciu o stosowną umowę. Zakres podmiotowy uprawnień kontrolnych przewidzianych w ustawie o ochronie danych osobowych (uodo) obejmuje zarówno podmioty publiczne, jak i prywatne, w tym osoby fizyczne, osoby prawne, jednostki organizacyjne nieposiadające osobowości prawnej oraz podmioty prywatne realizujące zadania publiczne. Bez znaczenia pozostaje fakt, czy ADO powołał administratora bezpieczeństwa informacji i czy został on zgłoszony do ogólnopolskiego, jawnego rejestru, a także jakie zbiory danych osobowych i czy w ogóle zostały przez GIODO zarejestrowane.
Uprawnienia kontrolne wskazane w art. 14 uodo obejmują prawo:
Jeśli podmiotem kontrolowanym jest przedsiębiorca, co do zasady, zgodnie z art. 79 ust. 1 ustawy z 2 lipca o swobodzie działalności gospodrczej (uosdg), powinien on zostać powiadomiony o zamiarze wszczęcia kontroli. Nie może być ona przeprowadzona wcześniej niż po upływie siedmiu dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli. Jeżeli w tym terminie kontrola nie zostanie rozpoczęta, przed podjęciem czynności kontrolnych niezbędne jest ponowne zawiadomienie.
W praktyce GIODO jedynie wyjątkowo nie uprzedza o planowanej kontroli, bez względu na to, jakiego rodzaju podmiotu ona dotyczy.
Przygotowując się do kontroli w zakresie przestrzegania zasad ochrony danych, każdy ADO i każdy ABI, jeśli został ustanowiony, powinien w szczególności odpowiedzieć na następujące pytania:
a) Jakie zbiory danych osobowych posiadam? Gdzie się one znajdują? Czy wiem, gdzie znajduje się obszar, w którym dane są przetwarzane poza zbiorami?
b) W oparciu o jakie przesłanki przetwarzam dane osobowe? Czy jestem w stanie je wskazać w odniesieniu do każdego ze zbiorów danych osobowych?
c) Czy zakres pozyskiwanych przeze mnie danych odpowiada celowi przetwarzania? Czy nie pozyskuję więcej informacji o osobach, których dane dotyczą, niż mi wolno?
d) Czy osoby, które dopuszczam do przetwarzania danych (np. pracownicy, stażyści, zleceniobiorcy), posiadają aktualne upoważnienia? Czy zakres tych upoważnień odpowiada faktycznie wykonywanym przez te osoby czynnościom?
e) Czy moi pracownicy mają dostęp do polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym? Czy wiedzą, kto w naszej organizacji pełni funkcję ABI? Czy wiedzą, jakie są jego zadania?
f) Czy prowadzona przeze mnie dokumentacja z zakresu ochrony danych osobowych jest aktualna? Czy stan opisany w tej dokumentacji odpowiada stanowi faktycznemu?
g) Czy mam zawartą umowę powierzenia przetwarzania danych? Czy powinienem ją zawrzeć?
h) Czy prowadzony jest rejestr zbiorów danych osobowych?
i) Czy w sposób należyty realizuję obowiązek informacyjny wobec osób, których dane dotyczą?
j) Czy we właściwy sposób, tj. odpowiedni do zagrożeń i kategorii danych, zabezpieczam dane osobowe?
Kontrola może być przeprowadzona dopiero po okazaniu przez inspektorów imiennego upoważnienia oraz legitymacji służbowej. Jej wzór został określony w rozporządzeniu ministra spraw wewnętrznych i administracji z 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych. Poza danymi identyfikującymi samego inspektora, numerem jego legitymacji służbowej, oznaczeniem organu kontroli i wskazaniem podstawy prawnej jej przeprowadzenia, upoważnienie zawiera informacje określające:
a) zakres przedmiotowy kontroli,
b) oznaczenie podmiotu objętego kontrolą albo zbioru danych objętego kontrolą, albo miejsca poddanego kontroli,
c) datę rozpoczęcia kontroli,
d) przewidywaną datę jej zakończenia,
e) pouczenie podmiotu kontrolowanego o jego prawach i obowiązkach.
Przewidywany termin zakończenia kontroli nie jest dla inspektorów wiążący, tzn. możliwe jest zarówno wcześniejsze, jak i późniejsze jej zakończenie. W przypadku przedłużenia kontroli powinno zostać wydane nowe imienne upoważnienie. Pamiętać także należy o ograniczeniach dotyczących czasu trwania wszystkich kontroli dokonywanych u przedsiębiorcy w jednym roku kalendarzowym wynikających z usdg.
Obowiązek umożliwienia przeprowadzenia kontroli obciąża osobę fizyczną, która jest ADO, albo kierownika kontrolowanej jednostki organizacyjnej. Udaremnianie lub utrudnianie wykonywania czynności kontrolnych stanowi przestępstwo powszechne, tj. takie, którego dopuścić się może każdy, ścigane z urzędu, zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat dwóch .
Czynności kontrolne utrwala się w postaci protokołów – odpowiednio: przyjęcia wyjaśnień, przesłuchania w charakterze świadka oraz oględzin miejsca, pomieszczeń, dokumentów, urządzeń, nośników i systemów informatycznych służących do przetwarzania danych. Kontrola kończy się także sporządzeniem protokołu, do którego podmiot kontrolowany może wnieść umotywowane zastrzeżenia i uwagi. Jego najistotniejszym elementem jest opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje, które mają znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych. W przypadku gdy inspektor uzna, że doszło do naruszenia przepisów ustawy o ochronie danych osobowych, ma obowiązek zwrócić się do GIODO z wnioskiem o wszczęcie postępowania administracyjnego.
W ramach kontroli przeprowadzanej przez GIODO wyróżnia się dwa etapy: postępowanie kontrolne i postępowanie administracyjne główne. Postępowanie kontrolne pozwala na ustalenie, czy istnieją podstawy do wszczęcia postępowania administracyjnego głównego. Jeśli tak, to jest ono wszczynane z urzędu, o czym zawiadamia się stronę (strony). Drugim rodzajem inicjacji postępowania administracyjnego głównego jest jego wszczęcie na wniosek – w wyniku skargi złożonej przez podmiot, którego dane dotyczą.
Postępowanie administracyjne wszczęte na skutek stwierdzonych w toku kontroli uchybień, o ile wcześniej nie zostaną one usunięte, zakończy się, co do zasady, wydaniem przez GIODO decyzji nakazującej przywrócenie stanu zgodnego z prawem. Przysługuje od niej środek odwoławczy w postaci wniosku o ponowne rozpoznanie sprawy, a następnie można na nią złożyć skargę do sądu administracyjnego. Jeśli w toku kontroli nie wykazano, by jednostka przetwarzała dane niezgodnie z przepisami o ochronie danych osobowych, kierowane jest do niej pismo zawierające stwierdzenie, że w zakresie objętym kontrolą uchybień nie stwierdzono.
Inspektor Biura GIODO może zwrócić się do ADO z żądaniem wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania, jeśli w wyniku przeprowadzonych czynności kontrolnych ustalono, że istnieją ku temu podstawy. Żądanie takie nie jest wiążące dla podmiotu, wiążące jest jednak żądanie informowania o podjętych przez ten podmiot działaniach, a także o wynikach postępowania dyscyplinarnego czy innego przewidzianego prawem działania zgłoszonego przez inspektora i to w terminie przez niego określonym.
W przypadku, gdy inspektor GIODO uzna, że zachowanie kierownika jednostki organizacyjnej lub jego pracownika wyczerpuje znamiona przestępstwa określonego w uodo, GIODO ma obowiązek zawiadomić organ powołany do ścigania przestępstw o jego popełnieniu. Przypadki te mają jednak charakter incydentalny.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl