28 sty Kontrole PUODO: część 1 – kogo dotyczą i jak się do nich przygotować?

Dodane 12:47 w Ochrona danych osobowych | RODO, RODOponiedziałki autor:

RODO obowiązuje już ponad 8 miesięcy i – zgodnie z informacjami podawanymi przez Prezesa UODO, zeszłoroczne kontrole sektorowe objęły rejestry publiczne, sektor medyczny, oświatę i monitoring[1]. Z kolei plan na rok 2019[2] przewiduje kontrole takich sektorów jak telemarketing, profilowanie w sektorze bankowym i ubezpieczeniowym czy system identyfikacji i monitoringu odpadów.

W dzisiejszym wpisie postaramy się odpowiedzieć na pytanie jak przygotować się do kontroli i jak właściwie taka kontrola wygląda.

Powiadomienie o kontroli

Sam Prezes UODO wskazuje w swoich oficjalnych wypowiedziach, że „(…) Urząd co do zasady pisemnie uprzedza o planowanej kontroli.”[3]. Co w takim razie oznacza sformułowanie „co do zasady”? Oznacza tylko tyle, że urząd może, lecz nie musi poinformować nas o planowanej kontroli. Wiele zależy od tego, jaki charakter ma kontrola.

Praktyka działalności poprzednika Prezesa Urzędu (GIODO) pokazywała, że gros kontroli było wszczynanych na podstawie zawiadomień o naruszeniach bądź doniesień medialnych. Wydaje się, że w takich przypadkach urząd nie ma celu, aby informować o kontroli przedsiębiorcę, co do którego zachodzi uzasadnione prawdopodobieństwo, że narusza przepisy o ochronie danych osobowych. Z formalnego punktu widzenia ani Ustawa o ochronie danych osobowych ani przepisy samego RODO nie nakładają na organ obowiązku informowania o planowanej kontroli.

Jakie jest prawdopodobieństwo, że kontrola PUODO obejmie właśnie moją firmę?

Należy pamiętać, że kontrole nie są zarezerwowane dla dużych podmiotów, przetwarzających setki tysięcy danych osobowych. W praktyce kontrola może zostać wszczęta nawet w przedsiębiorstwie zatrudniającym tylko kilku pracowników. Ustawa o ochronie danych osobowych wyróżnia trzy rodzaje kontroli:

  1. prowadzoną zgodnie z zatwierdzonym przez PUODO planem kontroli;
  2. prowadzoną na podstawie uzyskanych przez PUODO informacji;
  3. prowadzoną w ramach monitorowania przestrzegania stosowania RODO.

Plan kontroli na 2019 rok został zatwierdzony i podany do publicznej wiadomości, stąd podmioty działające w wymienionych sektorach powinny jak najszybciej zweryfikować stan wdrożenia i stosowania nowych przepisów o ochronie danych osobowych.

Z kolei, jak zostało wspomniane powyżej, kontrole prowadzone na podstawie uzyskanych informacji to nic innego jak reakcja Prezesa Urzędu na skargi lub donosy na danego administratora danych. Oczywiście im większy podmiot, tym większe prawdopodobieństwo zgłaszania skarg, a co za tym idzie większe prawdopodobieństwo kontroli.

Najmniej mówi nam pojęcie kontroli „prowadzonej w ramach monitorowania przestrzegania stosowania RODO”. Wydaje się, że te kontrole mogą być przeprowadzane zupełnie wyrywkowo a podmioty audytowane wybierane będą w sposób dowolny i wyrywkowy przez Prezesa UODO.

Co zrobić, gdy kontroler pojawi się u drzwi?

Wprawdzie art. 79 Ustawy o ochronie danych osobowych stanowi, że prawo do przeprowadzania kontroli ma sam Prezes Urzędu, jednak, jak łatwo się domyślić, nie przeprowadza kontroli osobiście.

W przypadku kontroli najprawdopodobniej spotkamy się z pracownikiem Urzędu. Zaraz po rozpoczęciu kontroli powinniśmy upewnić się, że jest on rzeczywiście upoważniony do czynności kontrolnych. W tym celu powinniśmy poprosić o:

  • upoważnienie do przeprowadzenia kontroli,
  • legitymację pracownika Urzędu,
  • oraz sprawdzić te dokumenty z ich wzorami określonymi Rozporządzeniami Ministra Spraw Wewnętrznych i Administracji (treści Rozporządzeń dostępne są tutaj oraz tutaj).

Warto zaznaczyć, że każde upoważnienie do przeprowadzenia kontroli powinno określać jej zakres. Przykładowo – jeżeli w treści upoważnienia znajduje się tylko kontrola dokumentów HR, pracownik Urzędu nie ma prawa zaglądać do dokumentów dotyczących danych klientów czy kontrahentów.

Nie powinniśmy się przerazić, jeśli zarówno legitymacja, jak i upoważnienie będą znajdowały odniesienia do GIODO, zamiast do Prezesa Urzędu oraz do starej ustawy o ochronie danych osobowych. W chwili obecnej rozporządzenie wykonawcze, które ma określać wzór tych dokumentów jest wciąż procedowane w Ministerstwie Cyfryzacji, co oznacza, że zastosowanie wciąż znajdują dotychczasowe dokumenty. Przyjęcie rozporządzenia planowane jest na I. kwartał roku 2019.[4]

Zawsze warto także zadzwonić do Urzędu pod numer 22 531 07 71 celem potwierdzenia, że kontrola rzeczywiście miała się odbyć. Wyeliminuje to możliwość przeprowadzenia kontroli przez oszustów.

Co wolno kontrolerowi?

Zakres uprawnień kontrolera nie uległ znacznej zmianie w stosunku do stanu sprzed wejścia w życie RODO. Do najważniejszych uprawnień należą niewątpliwie prawo wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń (w godzinach od 6:00 do 22:00), prawo dostępu do informacji objętych tajemnicą prawnie chronioną oraz prawo do przeprowadzenia oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych.

Nowością jest uprawnienie kontrolera do zwrócenia się do właściwego miejscowo komendanta Policji o pomoc, jeżeli jest to niezbędne do wykonywania czynności kontrolnych. W praktyce będzie to miało miejsce, gdy podmiot kontrolowany będzie utrudniał przeprowadzanie kontroli, w szczególności używając w tym celu siły.

A co z tajemnicą przedsiębiorstwa?

W toku kontroli, przedsiębiorca może zastrzec, że niektóre dokumenty przedstawiane do kontroli zawierają informacje stanowiące tajemnicę przedsiębiorstwa. W przypadku dokonania zastrzeżenia kontrolowany powinien przedstawić dwie wersje dokumentu: jedną zawierającą informacje chronione oraz drugą niezawierającą informacji objętych zastrzeżeniem. W przypadku nieprzedstawienia tej drugiej wersji, zastrzeżenie uważa się za nieskuteczne.

Kopie dokumentów

Z przepisów wynika także, że kontrolowany ma obowiązek sporządzać kopie lub wydruki dokumentów, jakich zażąda kontrolujący. Koszt i wykonanie kopii obciążają w takiej sytuacji kontrolowanego. Kontrolowany ma również obowiązek dokonywać potwierdzenia za zgodność z oryginałem sporządzanych kopii i wydruków. Mimo, że nie wynika to wprost z przepisu, to wydaje się, że kontrolujący może wynosić poświadczone za zgodność z oryginałem kopie i wydruki poza teren firmy.

Czym kończy się kontrola?

Kontrola powinna zakończyć się spisaniem protokołu kontroli, którego treść została określona w art. 88 Ustawy o ochronie danych osobowych. Przedsiębiorca ma 7 dni od przedstawienia protokołu na podpisanie go lub wniesienie zastrzeżeń do jego treści.

W następnym wpisie w ramach cyklu RODOponiedziałki przedstawimy praktyczne wskazówki, jak należy przygotować się do kontroli.

[1] https://www.money.pl/sekcja/forum-ekonomiczne-w-krynicy-2018/kontrole-stosowania-rodo-ruszyly-na-pierwszy,30,0,2415390.html

[2] https://uodo.gov.pl/pl/138/679

[3] https://uodo.gov.pl/pl/138/465

[4] https://bip.kprm.gov.pl/kpr/wykaz/r587999347536,Projekt-rozporzadzenia-Rady-Ministrow-w-sprawie-wzoru-legitymacji-sluzbowej-prac.html

Autor: Samanta Osowska

MANAGER M&A | RADCA PRAWNY | OW LEGAL

samanta.osowska@olesinski.com

Więcej

Powiązane wpisy:

Wiosenny RODO update4 najciekawsze orzeczenia unijne dot. ochrony danych osobowych 5 lat RODO5 wskazówek dla administratorów na 5 lat obowiązywania RODO Naruszenie ochrony danych osobowychNaruszenie ochrony danych osobowych – najważniejsze nowe wskazówki UODO i EROD dynamiczny adres IP_dane osoboweDynamiczny adres IP w cookies a dane osobowe
Tagi:
, , , , ,