Aktualności

W jaki sposób przygotować się na kontrolę? Jak w niej uczestniczyć? To pytanie pojawia się w chwili otrzymania przez przedsiębiorcę zawiadomienia o zamiarze przeprowadzenia kontroli.

Poniżej przybliżymy Państwu najważniejsze aspekty.

Na wstępie warto zauważyć, że praktyka prowadzenia kontroli przez Urząd Ochrony Danych Osobowych dopiero się kształtuje, przepisy dotyczące prowadzenia kontroli znajdują się zarówno w przepisach RODO, ale również w ustawie z dnia 6 marca 2018 r. – Prawo przedsiębiorców.

Kontrola przeprowadzana przez Prezesa Urzędu Ochrony Danych Osobowych (dalej: UODO) dotyczy przestrzegania przez przedsiębiorcę przepisów o ochronie danych osobowych. Kontrola może dotyczyć również przestrzegania przepisów sektorowych – czyli tych które są zawarte w przepisach szczegółowych, np. w kodeksie pracy. Weryfikacja może dotyczyć całej działalności przedsiębiorcy lub określonego obszaru - usługi lub produktu.

W przepisach o ochronie danych osobowych przewiduje się, że czas trwania kontroli w zakresie ochrony danych osobowych nie może przekraczać 30 dni robocze. Kontrolę co do zasady przeprowadzają pracownicy Urzędu Ochrony Danych Osobowych, ale kontrola może zostać również przeprowadzona przez osobę posiadającą  specjalistyczną wiedzę. Przedsiębiorca w czasie kontroli może żądać wyłączenia z przeprowadzenia kontroli zarówno pracownika UODO, ale również  i osoby przeprowadzającej kontrolę nie będącej pracownikiem UODO. Wyłączenie osoby kontrolującej może nastąpić tylko, gdy zachodzą uzasadnione wątpliwości co do bezstronności kontrolującego lub wyniki kontroli mogłyby oddziaływać na prawa lub obowiązku jego samego lub osób mu bliskich. Kontrolowany przedsiębiorca powinien zostać zawiadomiony o terminie kontroli w terminie nie krótszym niż 7 dni przez kontrolą.

Zawiadomienie o zamiarze wszczęcia kontroli, będące pierwszym etapem przeprowadzanej kontroli, powinno zawierać informację o przedmiocie i terminie planowanej kontroli, może również zawierać prośbę o przygotowanie dokumentacji.  Zawiadomienie o kontroli może nastąpić  pisemnie jak i telefonicznie.

Drugi etap kontroli rozpoczyna się od przedstawienia przez kontrolujących imiennych upoważnień, wraz z legitymacjami służbowymi. Przedstawienie upoważnień następuje osobie czynnej w lokali przedsiębiorstwa. Sama kontrola może odbywać się zarówno w siedzibie przedsiębiorstwa kontrolowanego, ale również w miejscach przetwarzania danych osobowych.

Czego może żądać organ w ramach prowadzonej kontroli?

UODO może:
a.    żądać wglądu do dokumentów,
b.    żądać udzielenia informacji, w tym informacji objętych tajemnicą,
c.    żądać pisemnych lub ustnych wyjaśnień,
d.    dokonywać oględzin miejsca, przedmiotów, urządzeń, nośników, systemów informatycznych i teleinformatycznych.
Zwraca się uwagę, że podejmowanie czynności i żądanie dokumentów muszą mieć związek z zakresem prowadzonej kontroli.

Kontrolowany w trakcie przeprowadzania kontroli powinien być obecny lub wyznaczyć na piśmie osobę upoważnioną do reprezentowania kontrolowanego w trakcie kontroli. Przedsiębiorca nie może zapominać, że powinien zapewnić kontrolującemu oraz osobom upoważnionym do przeprowadzenia kontroli warunków i środków niezbędnych do sprawnego przeprowadzenia kontroli. Co więcej zobowiązany jest do sporządzania kopii lub wydruków dokumentów lub informacji zgromadzonych na nośnikach, w urządzeniach lub systemach, oraz potwierdzania za zgodność z  oryginałem sporządzonych kopii i wydruków. Nie należy zapominać, że organ kontroli ma również prawo do weryfikacji systemów informatycznych, przesłuchania świadków, zlecenia ekspertyz lub opinii ekspertom, ma prawo żądać tłumaczeń dokumentów na język polski, jak również udziału policji w razie utrudniania przeprowadzenia kontroli. UODO kontrolując może również  rejestrować obraz lub dźwięk z przeprowadzonej kontroli.

Kontrola kończy się doręczeniem kontrolowanemu protokołu końcowego z kontroli. Kontrolowany ma 7 dni na ustosunkowanie się do protokołu. Kontrolowany może: podpisać protokół kontroli, odmówić podpisać protokołu, podpisać protokół z uwagami, albo odmówić podpisania protokołu i nie wnosić uwag. W przypadku złożenia zastrzeżeń do protokołu kontroli, organ dokonuje analizy zastrzeżeń i podejmuje ewentualne dodatkowe czynności kontrolne. Po czym, może wydać aneks do protokołu kontroli, lub też informację o nieuwzględnieniu zastrzeżeń wraz z uzasadnieniem.

Kontrola, jako taka kończy się oceną Prezesa UODO czy doszło do naruszenia. W przypadku gdy nie doszło do naruszenia, UODO wydaje informację dla kontrolowanego. Natomiast w przypadku, gdy doszło do naruszenia przepisów zostaje wszczęte postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, a kontrolowany jest zawiadamiany o jego wszczęciu. Po zawiadomieniu o wszczęciu postępowania, podmiot kontrolowany może nie zgodzić się ze stanowiskiem zawartym w zawiadomieniu, w tym zakresie może złożyć pismo wraz ze stanowiskiem i wnioskami dowodowymi. Po zakończeniu tego etapu postępowania, organ wydaje informację o zebraniu materiału dowodowego i wydaje decyzję kończącą sprawę.

Jeżeli po wydaniu decyzji UODO usunięto uchybienie w całości lub w części, następuje umorzenie postępowania i publikacja decyzji UODO na stronie BIP UODO.  
W przypadku wydania nakazu przez UODO w drodze decyzji, przysługuje skarga na wydaną decyzję. UODO wydaje nakaz jeżeli uchybienia istnieją w momencie wydawania decyzji.
Organ również w drodze decyzji może nałożyć karę. Kara może dotyczyć:
a.    wprowadzenia czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania danych;
b.    nakazania spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy rozporządzenia,
c.    nakazania zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej;
d.    cofnięcia certyfikacji lub nakazanie podmiotowi certyfikującemu cofnięcie certyfikacji lub nieudzielenia certyfikacji, jeżeli jej wymogi nie są spełnione lub przestały być spełniane.

Uprawnienia naprawcze Prezesa UODO są określone w art. 58 ust. 2 RODO (ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Na ich podstawie Prezes UODO może nałożyć, oprócz lub zamiast pozostałych środków naprawczych, administracyjną karę pieniężną. Nałożenie administracyjnej kary pieniężnej lub wydanie ostrzeżenia nie wpływa na możliwość zastosowania przez Prezesa UODO innych uprawnień, czy też sankcji. Prezes UODO może nałożyć administracyjną karę pieniężną w zależności od oceny okoliczności konkretnej sprawy. Prezes UODO, wydając decyzję w konkretnej sprawie, analizuje stan faktyczny i prawny na dzień jej wydania. Przy ich wymierzaniu Prezes UODO bierze pod uwagę:
•    charakter, wagę i czas trwania naruszenia;
•    umyślny lub nieumyślny charakter naruszenia;
•     działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
•    stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych środków technicznych i organizacyjnych;
•    wszelkie stosowane wcześniej naruszenia, zatem czy to było pierwsze naruszenie, czy kolejne;
•    stopień współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
•    kategorie danych osobowych, których dotyczyło naruszenie;
•    sposób, w jaki Prezes UODO dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie.

Przepisy przewidują górne limity wysokości kar. Prezes UODO nakłada karę pieniężną za naruszenie w wysokości:
•    do 10 000 000 euro lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) za np.: nieprawidłowości w zakresie powierzenia przetwarzania danych; niewłaściwe prowadzenie rejestru czynności przetwarzania lub jego brak; czy niezgłoszenie naruszenia ochrony danych lub niezawiadomienie o naruszeniu osoby, której dane dotyczą;
•    do 20 000 000 euro, a w przypadku przedsiębiorstwa - w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, np. za przetwarzanie danych osobowych niezgodnych z zasadami RODO, niedotrzymanie warunku wyrażenia zgody na przetwarzanie danych, niedotrzymanie warunków przetwarzania szczególnych kategorii danych osobowych (tj. np. danych o stanie zdrowia, wyznaniu, orientacji seksualnej), niedopełnienie obowiązku informacyjnego, czy prawa do sprostowania;
•    do 100 000 złotych na jednostki sektora finansów publicznych, instytuty badawcze, czy Narodowy Bank Polski;
•    do 10 000 złotych na państwowe i samorządowe instytucje kultury.

Równowartość wyrażonych w euro kwot administracyjnych kar pieniężnych oblicza się według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, kiedy obchodzony jest Dzień Ochrony Danych Osobowych.

Jak przygotować się do kontroli?

Najlepszym sposobem jest dokonywanie okresowych weryfikacji:
- posiadanej dokumentacji ochrony danych osobowych;
- procedur zapewniających rozliczalności;
- przeprowadzenia analizy ryzyka i oceny skutków dla ochrony danych;
- zawartych umów powierzenia przetwarzania danych, rejestru lub wykazu procesów;
- odpowiedniego umocowania i przeszkolenia osób przetwarzających dane, w tym zobowiązania ich do   
  zachowania tajemnicy;
- informacji na stronach internetowych kontrolowanego wymaganych przepisami o ochronie danych   
  osobowych;
- wykonania obowiązków informacyjnych.

 

Autor:
Aleksandra Malińska – radca prawny w Kancelarii Radców Prawnych Primo Lege