Kontrola GIODO w przedsiębiorstwie

Kontrola GIODO w przedsiębiorstwie

Kontrola GIODO w przedsiębiorstwie

Każda osoba prowadząca działalność gospodarczą powinna znać przepisy dotyczące ochrony danych osobowych, zwłaszcza jeśli pełni we własnym przedsiębiorstwie funkcję administratora danych osobowych. Przedsiębiorca powinien się także liczyć z tym, że sposób, w jaki przetwarza dane, może zostać skontrolowany przez Generalnego Inspektora Ochrony Danych Osobowych. W jaki sposób przebiega kontrola GIODO w firmie?

Cel kontroli GIODO

Generalny Inspektor Ochrony Danych Osobowych jest zobowiązany do przeprowadzania kontroli przepisami ustawy o ochronie danych osobowych, a konkretnie art. 12 pkt 1. Celem tego typu działań jest ustalenie stanu faktycznego w zakresie przestrzegania przez podmiot kontrolowany przepisów o ochronie danych osobowych oraz udokumentowanie dokonanych ustaleń, a także stwierdzenie, czy przetwarzanie danych jest prowadzone zgodnie z przepisami ustawy.

Kto dokonuje kontroli firmy w zakresie ochrony danych osobowych?

Kontroli GIODO, jak sama nazwa wskazuje, dokonuje sam Generalny Inspektor Ochrony Danych Osobowych,  niekiedy może to zrobić także jego zastępca (jeśli został powołany) lub upoważnieni inspektorzy.  

Do zespołu kontrolnego wchodzą zazwyczaj trzy osoby:

  • dwóch prawników będących pracownikami Departamentu Inspekcji Biura GIODO,
  • jeden informatyk będący pracownikiem Departamentu Informatyki Biura GIODO.

Co ważne, na mocy porozumienia między GIODO i Państwową Inspekcją Pracy, podpisanym w grudniu 2014 r., obie instytucje zobowiązują się do zawiadamiania się o stwierdzonych naruszeniach, które wchodzą w zakres kompetencji drugiego organu.

Miejsce kontroli GIODO

GIODO osobiście lub przez inspektorów przeprowadza kontrolę w siedzibie przedsiębiorcy, a także we wszystkich miejscach, w których administrator danych osobowych je przetwarza.

Kontrola GIODO – rodzaje

Kontrolę GIODO można podzielić na 5 kategorii:  

  • kontrola z urzędu – GIODO dokonuje jej z własnej inicjatywy, w ramach wykonywania obowiązków ustawowych;
  • kontrola na wniosek – następuje, jeśli o przeprowadzenie kontroli zawnioskuje inny podmiot zewnętrzny, np. PIP, NIK, związki zawodowe, pracodawcy lub osoba fizyczna;
  • kontrola częściowa – jest przeprowadzana w odniesieniu do poszczególnych zagadnień w procesie przetwarzania danych będących przedmiotem skargi;
  • kontrola kompleksowa – dotyczy wszystkich zbiorów danych osobowych prowadzonych przez kontrolowanego ADO i polega na zweryfikowaniu stosowania w przedsiębiorstwie  zasad ochrony danych osobowych zawartych w ustawie;
  • kontrola sektorowa – może być częściowa lub kompleksowa. GIODO wskazuje ją w rocznym harmonogramie kontroli.   

Czy GIODO musi zapowiedzieć kontrolę w przedsiębiorstwie?  

W ustawie o ochronie danych osobowych nie znajdziemy zapisów mówiących o tym, czy GIODO ma obowiązek powiadomić konkretny podmiot o tym, że będzie on podlegał kontroli, zazwyczaj jednak otrzymuje on taką informację.  Kontrolę wszczyna się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli. Jeżeli kontrola nie zostanie wszczęta w terminie 30 dni od dnia doręczenia zawiadomienia, GIODO powinien dokonać ponownego zawiadomienia. Inspektorzy przeprowadzają kontrole bez zapowiedzi, jeśli istnieje podejrzenie, że podmiot lub osoba podlegająca kontroli mogłaby ukryć dowody świadczące o popełnieniu czynu zabronionego.

Uprawnienia GIODO w trakcie kontroli

Uprawnienia inspektorów przeprowadzających kontrolę z ramienia GIODO wymienione są w art. 14 ustawy o ochronie danych osobowych. Według niego mają oni prawo do:

  • wstępu na teren przedsiębiorstwa, w godzinach od 6.00 do 22.00, pod warunkiem okazania imiennego upoważnienia i legitymacji służbowej – prawo to obejmuje pomieszczenie, w którym zlokalizowany jest zbiór danych oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą;
  • żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
  • wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;
  • przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych.

Co ważne, ADO nie może utrudniać przeprowadzania kontroli i wykonania wymienionych wyżej czynności.  

Kontrola GIODO – jakie kwestie jej podlegają?

Inspektorzy zwracają uwagę przede wszystkim na:

  • przesłanki legalności przetwarzania danych osobowych (dotyczy to zwłaszcza danych wrażliwych);
  • zakres i cel przetwarzania danych;
  • merytoryczną poprawność danych oraz ich adekwatność, jeśli chodzi o przetwarzanie;
  • obowiązek informacyjny;
  • zgłoszenie zbioru danych osobowych do rejestracji;
  • przekazywanie danych do państwa trzeciego;
  • powierzenie przetwarzania danych osobowych;
  • zabezpieczenie danych.

Protokół z kontroli GIODO w firmie

Inspektorzy zobowiązani są sporządzić protokół z kontroli w przedsiębiorstwie. Powinni stworzyć go w dwóch egzemplarzach i jeden z nich przekazać administratorowi danych osobowych podmiotu kontrolowanego.  

Zgodnie z art. 15 ustawy o ochronie danych osobowych w protokole z kontroli GIODO powinny zostać zawarte takiej informacje jak:

  • nazwa podmiotu kontrolowanego w pełnym brzmieniu i jego adres;
  • imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia inspektora;
  • imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot;
  • datę rozpoczęcia i zakończenia czynności kontrolnych, z wymienieniem dni przerw w kontroli;
  • określenie przedmiotu i zakresu kontroli;
  • opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
  • wyszczególnienie załączników stanowiących składową część protokołu;
  • omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień;
  • parafy inspektora i osoby reprezentującej podmiot kontrolowany na każdej stronie protokołu;
  • wzmiankę o doręczeniu egzemplarza protokołu osobie reprezentującej podmiot kontrolowany;
  • wzmiankę o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu;
  • datę i miejsce podpisania protokołu przez inspektora oraz przez osobę lub organ reprezentujący podmiot kontrolowany.

Obie kopie dokumentu powinny zostać podpisane zarówno przez inspektora, jak i ADO. Ten ostatni może także wnieść zastrzeżenia do protokołu. Jeżeli ADO odmówi złożenia podpisu, powinno to być odnotowane w protokole, może on również w terminie 7 dni przedstawić swoje stanowisko na piśmie.

Konsekwencje kontroli GIODO w firmie

W trakcie kontroli inspektor może stwierdzić naruszenie przepisów. Taka sytuacja jest uregulowana w art. 18 ustawy o ochronie danych osobowych:  

Art. 18.

1. W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:

1) usunięcie uchybień;

2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych;

3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;

4) wstrzymanie przekazywania danych osobowych do państwa trzeciego;

5) zabezpieczenie danych lub przekazanie ich innym podmiotom;

6) usunięcie danych osobowych.

2. Decyzje Generalnego Inspektora, o których mowa w ust. 1, nie mogą ograniczać swobody działania podmiotów zgłaszających kandydatów lub listy kandydatów w wyborach na urząd Prezydenta Rzeczypospolitej Polskiej, do Sejmu, do Senatu i do organów samorządu terytorialnego, a także w wyborach do Parlamentu Europejskiego, pomiędzy dniem zarządzenia wyborów a dniem głosowania.

2a. Decyzje Generalnego Inspektora, o których mowa w ust. 1, w odniesieniu do zbiorów określonych w art. 43 ust. 1 pkt 1a, nie mogą nakazywać usunięcia danych osobowych zebranych w toku czynności operacyjno-rozpoznawczych prowadzonych na podstawie przepisów prawa.

3. W przypadku gdy przepisy innych ustaw regulują odrębnie wykonywanie czynności, o których mowa w ust. 1, stosuje się przepisy tych ustaw.

Zobacz też:

kalkulator netto