Współpraca z Prezesem UODO jest szczególnie istotna na etapie postępowania kontrolnego i postępowania w sprawie naruszenia przepisów o ochronie danych prowadzonego przez Prezesa UODO. Administrator musi wówczas m.in. umożliwiać przeprowadzanie czynności kontrolnych, ale też przedstawiać wyjaśnienia i dokumenty na żądanie UODO. Zaniechania w tym zakresie mogą zakończyć się karą, o czym przekonał się już niejeden administrator.
Współpraca na etapie postępowania kontrolnego
|
Lp.
|
Działanie Prezesa UODO
|
Reakcja administratora
|
|
1.
|
Po zawiadomieniu Prezesa UODO uprawnieni kontrolerzy rozpoczynają czynności kontrolne. Kontrola może być przeprowadzana na terenie firmy kontrolowanego w godzinach od 6.00 do 22.00.
|
We wskazanych godzinach należy zapewnić kontrolującemu oraz osobom upoważnionym do udziału w kontroli warunki i środki niezbędne do sprawnego przeprowadzenia kontroli.
Warto, aby podczas kontroli była obecna osoba upoważniona przez administratora (jeśli on sam nie może być dostępny w firmie), która zadba o wykonanie obowiązków, realizację uprawnień podmiotu kontrolowanego.
|
|
2.
|
W toku kontroli pracownicy UODO mają prawo m.in. do:
- wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli, w tym także objętych tajemnicą prawnie chronioną;
- przeprowadzania oględzin: miejsc, przedmiotów, urządzeń, nośników, systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
- żądania przedstawienia tłumaczenia na język polski sporządzonej w języku obcym dokumentacji przedłożonej przez stronę;
- odbierania pisemnych lub ustnych wyjaśnień oraz przesłuchiwania w charakterze świadka pracowników i osób zatrudnionych na podstawie umów cywilnoprawnych w zakresie niezbędnym do ustalenia stanu faktycznego
|
Administrator powinien w szczególności:
- przygotować we własnym zakresie kopie lub wydruki dokumentów, do których kontrolujący zażądał wglądu, nawet jeśli są objęte tajemnicą prawnie chronioną, a także potwierdzić je za zgodność z oryginałem;
- sporządzić kopie informacji zgromadzonych na nośnikach, w urządzeniach lub systemach informatycznych służących do przetwarzania danych, a także dokonać ich potwierdzenia za zgodność z oryginałem;
- na żądanie kontrolującego przedstawić tłumaczenie dokumentów z języka obcego na polski wykonane na własny koszt.
|
|
3.
|
Kontrolujący sporządzają protokół kontroli.
|
W ciągu 7 dnia od dnia otrzymania protokołu administrator powinien:
- podpisać protokół albo
- zgłosić pisemne zastrzeżenia do treści protokołu.
Podpisany protokół albo zastrzeżenia należy przekazać kontrolującemu.
|
Współpraca na etapie postępowania w sprawie naruszenia
|
Lp.
|
Działanie Prezesa UODO
|
Reakcja administratora
|
|
4.
|
Prezes UODO zawiadamia administratora o wszczęciu postępowania.
|
Wariant A
Akceptacja stanowiska UODO i:
- poinformowanie Prezesa UODO o podjęciu działań w celu przywrócenia stanu zgodności z prawem;
- usunięcie uchybień i poinformowanie o ich usunięciu Prezesa UODO (z przedstawieniem odpowiednich dowodów).
Wariant B
Brak akceptacji stanowiska Prezesa UODO i przedstawienie własnego stanowiska (najlepiej z wnioskami dowodowymi)
Złym rozwiązaniem jest tu brak reakcji, ponieważ minimalizuje szanse na pomyślne zakończenie postępowania.
|
|
5.
|
Prezes UODO prowadzi postępowanie dowodowe. W ramach tego postępowania może m.in.:
- mieć wgląd do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli, w tym także objętych tajemnicą prawnie chronioną;
- uchylić zastrzeżenie tajemnicy przedsiębiorstwa;
- wymierzyć karę grzywny (od 500 do 5.000 zł) za naruszenie obowiązku stawiennictwa lub nieprzedstawienie tłumaczenia dokumentacji mimo żądania.
|
Administrator powinien:
- uczestniczyć w czynnościach, w ramach których wymagane jest jego osobiste stawiennictwo;
- zapewnić uprawnionym przedstawicielom organu nadzorczego wgląd do dokumentów i informacji w zakresie objętym postępowaniem;
- nie powoływać się na tajemnicę przedsiębiorstwa, jeżeli została uchylona przez Prezesa UODO;
- przedstawić tłumaczenie dokumentacji na żądanie Prezesa UODO
|
|
6.
|
Jeżeli stwierdzono uchybienia, wówczas Prezes UODO poza ukaraniem (albo zamiast ukarania) może w decyzji m.in.:
- nakazać dostosowanie operacji przetwarzania do przepisów RODO;
- nakazać spełnienie żądania podmiotu danych;
- wprowadzić czasowe lub całkowite ograniczenie przetwarzania, w tym zakaz przetwarzania.
|
Jeżeli administrator nie wniesie skargi na decyzję UODO, w której zawnioskuje o wstrzymanie wykonania decyzji (w zakresie nakazów), to musi ją wykonać.
|
|
7.
|
Prezes UODO informuje o wydaniu decyzji na swojej stronie podmiotowej w BIP, gdy uzna, że przemawia za tym interes publiczny.
|
Jeżeli administrator jest:
- jednostką sektora finansów publicznych (np. szkoła lub inna jednostka samorządowa),
- instytutem badawczym,
- Narodowym Bankiem Polskim,
wtedy powinien niezwłocznie podać do publicznej wiadomości na swojej stronie internetowej lub stronie podmiotowej w BIP informacje o działaniach podjętych w celu wykonania decyzji.
|
Podstawa prawna:
-
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 58, art. 83.
-
Ustawa z 10 maja 2018 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2019 r. poz. 1781) − art. 25, art. 58, art. 61, art. 63, art. 64, art. 65, art. 66, art. 68, art. 69, art. 80, art. 84, art. 88, art. 90, art. 91, art. 101a, art. 108.
-
Ustawa z 14 czerwca 1960 r. − Kodeks postępowania administracyjnego (tekst jedn.: Dz.U. z 2020 r. poz. 256) – art. 10, art. 61, art. 73, art. 74, art. 75, art. 78, art. 79, art. 86, art. 88, art. 105.
Autor: Michał Kowalski
Radca prawny, specjalista z zakresu prawa pracy i ubezpieczeń społecznych oraz prawa oświatowego, redaktor licznych publikacji
