Kontrola przestrzegania przepisów o ochronie danych osobowych przeprowadzana przez Prezesa UODO z oczywistych względów jest stresującym doświadczeniem dla administratora. Tym bardziej więc powinien on wiedzieć, jak się do niej przygotować, ale też jak ta kontrola przebiega. Rolą podmiotu kontrolowanego jest bowiem zapewnienie możliwości przeprowadzenia czynności kontrolnych. Poza tym administrator danych osobowych może skorzystać z pewnych uprawnień w toku kontroli w obronie swojego interesu. Wyjaśniamy, jak wygląda kontrola RODO i jakie prawa i obowiązki ma w związku z tym administrator.
W przypadku administratorów danych, którzy nie są przedsiębiorcami, kontrola RODO może odbyć się bez uprzedzenia. Prezes Urzędu Ochrony Danych Osobowych może więc wysłać kontrolerów do administratora danych bez zapowiedzi.
Natomiast w przypadku przedsiębiorców przetwarzających dane osobowe kontrola przestrzegania przepisów RODO i innych dotyczących danych osobowych musi być każdorazowo zapowiedziana. Postępowanie kontrolne wszczyna się wówczas:
od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli. Jeśli jednak kontrola UODO nie zostanie wszczęta w terminie 30 dni, wtedy przedsiębiorca otrzyma ponowne zawiadomienie.
Wprawdzie kontrola może dotyczyć wszelkich procesów przetwarzania danych osobowych. Niemniej jednak w zawiadomieniu zostanie wskazany zakres kontroli stosowania RODO, co ułatwi przygotowanie się do niej.
Oczywiście po otrzymaniu zawiadomienia o kontroli ADO powinien sprawdzić posiadaną dokumentację ochrony danych i przygotować ją do kontroli. Chodzi tu w szczególności o:
W typowym przypadku kontrola RODO rozpoczyna się od wstępu kontrolujących do siedziby administratora. Kontrolujący przedstawiciel organu nadzorczego musi okazać administratorowi imienne upoważnienie wraz z legitymacją służbową. W upoważnieniu znajduje się m.in.:
W razie nieobecności kierownictwa administratora danych upoważnienie może zostać okazane:
Gdyby kontrolujący nie okazali imiennego upoważnienia i legitymacji służbowej, wtedy ADO powinien zażądać od niego przedstawienia tych dokumentów. Niestety istnieje tu ryzyko, że ktoś mógł podszyć się pod kontrolera UODO. Warto także skontaktować się np. telefonicznie z Urzędem Ochrony Danych Osobowych w celu potwierdzenia, że osoba kontrolująca jest rzeczywiście pracownikiem Urzędu uprawnionym do przeprowadzenia kontroli.
Przeczytaj także: Prezes UODO ostrzega przed oszustami>>
Następnie podjęte zostaną czynności kontrolne w zakresie prawidłowości stosowania przepisów RODO. Mogą być one przeprowadzane na terenie firmy kontrolowanego (w jej różnych pomieszczeniach np. serwerowniach czy archiwach) w godz. Od 6.00 do 22.00. W tych godzinach administrator musi zapewnić kontrolującym warunki i środki niezbędne do sprawnego przeprowadzenia kontroli.
W trakcie czynności kontrolnych administrator powinien być obecny osobiście lub zapewnić obecność osoby upoważnionej. Ma to na celu zapewnienie kontrolującym możliwości realizowania czynności kontrolnych.
Bierność w tym zakresie może być uznana za utrudnianie kontroli, za co grozi kara UODO. Przeczytaj także: Współpraca z Prezesem UODO
Kontrolujący mogą przeprowadzać określone czynności kontrolne, którym odpowiadają obowiązki administratora. Z drugiej strony administrator ma tu także pewne uprawnienia.
|
L.p. |
Czynności kontrolne |
Zadania administratora |
|
1. |
wgląd do dokumentów i informacji mających bezpośredni związek z zakresem kontroli, w tym także objętych tajemnicą prawnie chronioną |
Administrator musi:
W przypadku odmowy potwierdzenia za zgodność kontrolujący zawrze wzmiankę o tym w protokole kontroli. |
|
2. |
oględziny:
|
Należy:
|
|
3. |
przegląd dokumentacji |
Poza przedstawieniem dokumentacji administrator na żądanie kontrolującego musi przedstawić tłumaczenie dokumentów sporządzonych w języku obcym na język polski. Musi wykonać je na własny koszt. |
|
4. |
|
Warto, by administrator uświadomił pracownikom i współpracownikom, że mogą być przesłuchiwani jako świadkowie. Powinni oni wiedzieć, że co do zasady nie mogą odmówić składania zeznań. Wyjątek dotyczy:
Możesz przekazać im informacje, że jako świadkowie nie mogą odmówić składania zeznań, z wyjątkiem małżonka kontrolowanego, wstępnych, zstępnych i rodzeństwa kontrolowanego oraz jej powinowatych pierwszego stopnia, jak również osób pozostających ze stroną w stosunku przysposobienia, opieki lub kurateli. Poza tym świadkowie mogą odmówić odpowiedzi na poszczególne pytania, gdy ta odpowiedź mogłaby narazić ich lub ich bliskich (wymienionych powyżej) na:
albo spowodować naruszenie obowiązku zachowania prawnie chronionej tajemnicy zawodowej (art. 83 § 1-2 Kodeksu postępowania administracyjnego w zw. z art. 86 ust. 3 ustawy o ochronie danych osobowych). |
|
5. |
zlecenie sporządzenia:
|
Nie jest to koszt ponoszony przez administratora. Nie musi on zlecać ich sporządzenia. |
|
6. |
rejestracja obrazu i dźwięku w celu utrwalania przebiegu kontroli |
Administrator zostanie poinformowany o tego typu rejestracji. Nie będzie ona utajniona. Jego rolą jest umożliwianie takiej rejestracji. |
|
7. |
zwrócenie się do komendanta Policji o pomoc, jeżeli jest to niezbędne do wykonywania czynności kontrolnych (nie tylko w razie utrudniania kontroli) |
Administrator musi oczekiwać od Policji, by zapewniła bezpieczeństwo osobom uczestniczącym przy wykonywaniu czynności kontrolnych, mając w szczególności na względzie poszanowanie godności osób biorących udział w kontroli. |
W toku kontroli administratorowi przysługuje istotne uprawnienie. Otóż może on zastrzec on w całości lub w części informacje zawierające tajemnicę przedsiębiorstwa.
Tajemnica przedsiębiorstwa to informacje:
o ile uprawniony do korzystania z informacji lub rozporządzania nimi podjął działania w celu utrzymania ich w poufności, z zachowaniem należytej staranności.
Oznacza to, że kontrolujący mają obowiązek zachowania w tajemnicy informacji w ww. zakresie. Zaś administrator w takim przypadku musi przedstawić wersję dokumentu (papierowego lub na informatycznym nośniku danych) niezawierającą informacji objętych zastrzeżeniem. Zastrzeżenie może jednak zostać uchylone przez Prezesa Urzędu Ochrony Danych Osobowych. Definicję tajemnicy przedsiębiorstwa znajdziemy w art. 11 ust. 2 ustawy o zwalczaniu nieuczciwej konkurencji.
Postępowanie kontrolne kończy się sporządzeniem i podpisaniem protokołu kontroli na piśmie lub elektronicznie. Następnie administrator otrzyma ten protokół (wraz z ewentualnymi nagraniami). Będzie on miał 7 dni na jego:
Zarówno podpisany protokół jak i zastrzeżenia należy przekazać kontrolującemu.
Brak działań administratora w 7-dniowym terminie będzie uznany za odmowę podpisania protokołu.
Jak już wskazano, administrator może zgłosić zastrzeżenia do protokołu kontroli. W takim przypadku kontrolujący dokona ich analizy. Na tej podstawie:
Na tym etapie nie będzie można już złożyć skargi na rozstrzygnięcie kontrolującego. Stwierdzone przez kontrolujących naruszenie przepisów RODO może stać się podstawą kolejnych kroków.
W oparciu o protokół kontroli może zostać uruchomione postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych. Postępowanie to zainicjować może Prezes UODO, jeżeli uzna, że mogło dojść do naruszenia RODO. Sprawdź jak wygląda dalsza procedura.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
