GIODO zawiadamia o swoich kontrolach, dlatego jeśli dostałeś zawiadomienie o planowanej kontroli w twoim podmiocie, masz trochę czasu, żeby się do niej przygotować. Przeczytaj porady naszego eksperta i zdobądź pewność, że jesteś gotowy na kontrolę GIODO.
Kontrola – to słowo, które zawsze budzi strach i niepokój w oczach każdego przedsiębiorcy (dalej administrator danych lub ADO). Głównym celem każdej kontroli jest sprawdzenie, a następnie ocena określonej działalności, pod kątem prawidłowego stosowania przepisów powszechnie obowiązującego prawa.
Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922), zwana dalej „ustawą” lub „uodo”, daje Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) uprawnienie do przeprowadzenia kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Jeżeli w toku takiej kontroli GIODO wykryje niezgodności, jego obowiązkiem będzie wydanie odpowiedniej decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z prawem.
Jakiekolwiek sposoby utrudniania kontroli GIODO mogą spowodować złożenie zawiadomienia o możliwości popełnienia przestępstwa do prokuratury. Za udaremnianie lub utrudnianie wykonania czynności kontrolnych w stosunku do inspektorów, ustawa przewiduje grzywnę, karę ograniczenia wolności albo pozbawienia wolności do lat 2. Dlatego warto zapewnić, aby osoba odpowiedzialna za przebieg kontroli po stronie ADO, miała wsparcie kierownictwa i zapewnioną pomoc od pozostałych pracowników i współpracowników administratora danych.
Przykładami utrudniania przeprowadzenia kontroli mogą być:
Podmioty, które mają być poddane kontroli GIODO, są o niej z reguły zawiadamiane na piśmie (faksem) z kilkudniowym wyprzedzeniem. Pismo to powinno określać:
Bardzo często zawiadomienie o kontroli zawiera także prośbę o przygotowanie dokumentacji dotyczącej przetwarzania danych osobowych. Chodzi przede wszystkim o politykę bezpieczeństwa, instrukcję zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, a także ewidencję osób upoważnionych do przetwarzania danych osobowych.
Kontrola Generalnego Inspektora Ochrony Danych Osobowych może odbyć się bez wcześniejszego zawiadomienia. Stanie się tak, gdy GIODO będzie podejrzewał, że kontrolowany podmiot mógłby odpowiednio skutecznie zniszczyć lub zataić istotne dowody, które potwierdzałyby dopuszczenie się naruszeń przepisów ochrony danych osobowych.
Do przeprowadzenia kontroli oddelegowani są upoważnieni inspektorzy (z reguły są to dwie osoby – prawnik i informatyk). Czas kontroli jest uzależniany od rodzaju działalności kontrolowanego, przedmiotu i zakresu kontroli oraz wielkości kontrolowanego podmiotu. Taka kontrola może trwać od kilku do kilkunastu dni. Zgodnie z ustawą inspektorzy moją możliwość przeprowadzenia czynności kontrolnych w godzinach od 6.00 do 22.00 w dni robocze. W praktyce czynności kontrolne odbywają się zazwyczaj w godzinach pracy kontrolowanego podmiotu, między 8.00 a 16.00.
Zgodnie art. 82 i 83 ustawy z 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz.U. 2016 r. poz. 1829) istnieją ograniczenia dotyczące możliwości prowadzenia więcej niż jednej kontroli w tym samym czasie oraz limity liczby dni w roku, kiedy kontrole mogą być prowadzone.
Jeśli zatem w naszym przypadku kontrola GIODO naruszałaby zakazy określone w art. 82 lub 83 ustawy o swobodzie działalności gospodarczej, powinniśmy o tym poinformować GIODO, składając odpowiedni sprzeciw.
Co warto zrobić, jakie działania podjąć, aby kontrola GIODO zakończyła się dla nas pozytywnie i trwała jak najkrócej? Na samym początku należy podkreślić, że „posprzątanie” wieloletnich zaniedbań w krótkim czasie nie będzie możliwe. Można jednak podjąć pewne działania, które pozwolą zniwelować niektóre naruszenia, jakich się dopuściliśmy.
Nasze przygotowania do kontroli GIODO po otrzymaniu zawiadomienia powinniśmy rozpocząć od wyznaczenia osoby, która będzie odpowiedzialna za reprezentowanie nas przed inspektorami GIODO.mIstotne w tej sytuacji jest to, czy dany podmiot, u którego zostanie przeprowadzona kontrola, powołał administratora bezpieczeństwa informacji (dalej: ABI). Jeżeli tak, powinien on być osobą odpowiedzialną za przygotowania do kontroli.
Jeżeli w kontrolowanym podmiocie nie ma administratora bezpieczeństwa informacji, taką osobą może być jeden z pracowników, który ma odpowiednią wiedzę z zakresu ochrony danych osobowych. W kontroli po stronie ADO powinna także uczestniczyć osoba z działu IT, która ma wiedzę na temat architektury i stosowanych zabezpieczeń w systemach służących do przetwarzania danych osobowych.
Osoba wyznaczona do przygotowań do kontroli w pierwszej kolejności powinna podjąć próbę ustalenia przyczyny i celu przeprowadzenia kontroli przez GIODO. Przykładowo, kontrole mogą być prowadzone z urzędu, w podmiotach z określonej branży. GIODO może również przeprowadzić kontrolę nagłą, np. w wyniku złożenia przez klienta skargi, związanej z domniemanym naruszeniem przepisów o ochronie danych osobowych.
Klient ma dowody, które potwierdzają, że administrator danych przetwarza jego dane osobowe pomimo ustania celu, w jakim zostały one zebrane.
Jeśli otrzymamy sygnał, że kontrola została wszczęta na wniosek klienta, możemy mieć pewność, że działania kontrolne inspektorów z pewnością będą skierowane na weryfikację prawidłowości pozyskiwania danych, badanie istnienia przesłanek legalizujących ich przetwarzanie oraz ich bezpieczeństwo.
Kolejnym etapem przygotowania do kontroli powinno być powiadomienie pracowników oraz współpracowników o terminie zbliżającej się kontroli. Podczas kontroli inspektorzy GIODO mają prawo wzywać i przesłuchiwać pracowników. Warto więc, aby osoby te mogły być wcześniej przeszkolone na tę okoliczność.
Działania administratora danych powinny być skierowane na zwiększeniu świadomości osób, które przetwarzają dane w ramach codziennych obowiązków służbowych. Administrator bezpieczeństwa informacji powinien zorganizować spotkanie, podczas którego:
Już na tym etapie warto wstępnie wytypować pracowników z wybranych działów, którzy biorą udział w istotnych procesach przetwarzania danych osobowych (np. marketing, kadry i płace) i indywidualnie omówić z nimi możliwość składania przez nich oświadczeń na żądanie inspektorów GIODO. Jest duża szansa, że wytypowane przez nas osoby będą faktycznie w toku kontroli udzielały inspektorom GIODO wyjaśnień do protokołu.
Następnym krokiem, jaki powinien podjąć ABI jest przeprowadzenie wewnętrznego audytu. Z pewnością mała ilość czasu nie pozwoli na przeprowadzenie pełnej weryfikacji wszystkich zachodzących procesów dotyczących zasad przestrzegania ochrony danych osobowych. Z pewnością jednak nawet pobieżny audyt pozwoli wykryć pewne uchybienia.
Audyt należy rozpocząć od weryfikacji stopnia przygotowania i wdrożenia dokumentacji dotyczącej ochrony danych osobowych. Na dokumentację tą składa się:
Inspektorzy GIODO zwracają uwagę także na to, czy zostały zebrane odpowiednie upoważnienia do przetwarzania danych osobowych oraz czy jest prowadzona ewidencja takich osób.
Jeśli podmiot, u którego ma być przeprowadzona kontrola, zatrudnia bardzo dużą liczbę pracowników, to zebranie sporej liczby upoważnień i dodatkowo stworzenie ewidencji może okazać się fizycznie niemożliwe. Warto w momencie weryfikacji tego punktu ustalić:
Po zakończeniu weryfikacji dokumentacji należy ją uporządkować i przygotować, aby była pod ręką i aby nie było problemu ze znalezieniem jej konkretnego składnika. Z reguły inspektorzy rozpoczynają kontrolę właśnie od sprawdzenia prawidłowości dokumentacji ochrony danych osobowych.
Zgromadzenie jej w jednym miejscu pozwoli uniknąć niepotrzebnego zamieszania i dodatkowych stresów w toku kontroli. Warto pamiętać, że porządek w dokumentach z pewności zostanie przez inspektorów zauważony.
Inspektorzy GIODO podczas przeprowadzenia kontroli zbadają nie tylko jakie dane przetwarza podmiot kontrolowany, ale także jakie zbiory danych one tworzą. Ustawa nakłada na ADO, co do zasady, obowiązek rejestracji zbiorów danych do GIODO.
Równocześnie przepisy określają pewne wyjątki w tym zakresie. Przykładem takiego zwolnienia z obowiązku rejestracji zbiorów danych, które nie zawierają danych wrażliwych, jest powołanie i zgłoszenie administratora bezpieczeństwa informacji do GIODO. Jeśli administrator danych zdecyduje się na powołanie i zgłoszenie takiej osoby, jest zwolniony z obowiązku rejestracji zbiorów danych osobowych.
Może się zdarzyć, że w konkretnej sytuacji wszystkie z posiadanych zbiorów danych osobowych korzystają ze zwolnień z obowiązku rejestracji u Generalnego Inspektora Ochrony Danych Osobowych.
Podczas audytu wewnętrznego warto zbadać, czy kiedykolwiek zgłaszaliśmy GIODO zbiory danych, a jeśli tak to jakie. Jeżeli zbiory były zgłaszane, trzeba mieć chociażby kopię takich zgłoszeń, w szczególności, gdy nie otrzymaliśmy od GIODO zaświadczeń o rejestracji zgłoszonych zbiorów danych.
Podczas audytu przed kontrolą GIODO warto również zwrócić uwagę na realizację obowiązków administratora danych, które dotyczą legalności przetwarzania danych osobowych.
Zatem każdy ustalony proces przetwarzania danych osobowych powinien zostać przeanalizowany pod kątem tego:
Pomoże to nam ustalić poziom realizacji obowiązków dotyczących m.in.: zapewnienia odpowiednich podstaw przetwarzania danych osobowych, klauzul informacyjnych, zawierania umów powierzenia przetwarzania, wypełniania przez systemy informatyczne wymagań stawianych przez przepisy o ochronie danych osobowych.
Elementem audytu przed kontrolą Generalnego Inspektora Ochrony Danych Osobowych powinna być także weryfikacja poziomu bezpieczeństwa fizycznych przetwarzanych danych osobowych. Weryfikację warto rozpocząć od określenia obszaru przetwarzania danych osobowych. Dzięki temu osoba prowadząca audyt będzie wiedziała, które pomieszczenia wymagają weryfikacji pod kątem stosowanych zabezpieczeń fizycznych (zabezpieczenia okien, kontrola dostępu, alarmy, czujki środowiskowe itp.).
Podczas badania poziomu fizycznego bezpieczeństwa danych osobowych nie można pominąć sprawdzenia, czy w organizacji obowiązuje i jest stosowana polityka czystych biurek.
Standardowym etapem kontroli GIODO jest przegląd wybranych pomieszczeń tworzących obszar przetwarzania danych osobowych. Może się zdarzyć, że osoba, która uczestniczy w kontroli po stronie ADO, będzie miała wpływ na wybór konkretnych pomieszczeń. Dlatego warto mieć przygotowaną listę takich pomieszczeń.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl