close
Share with your friends
Kontrole Prezesa UODO oceniają spełnienie wymogów RODO przez przedsiębiorców

Kontrole Prezesa UODO oceniają spełnienie wymogów RODO

Kontrole Prezesa UODO oceniają

Kontrole Prezesa UODO oceniają spełnienie wymogów RODO przez przedsiębiorców

Oto kilka praktycznych wskazówek, które ułatwią stawienie czoła wyzwaniu

Od czasu wejścia w życie RODO Prezes Urzędu rozpoczął kontrole wdrożenia zasad i bezpieczeństwa przetwarzania danych osobowych. Zgodnie z rocznym planem kontroli sektorowych Prezesa Urzędu na 2019 rok, kontrolą objęci są m. in. pracodawcy w zakresie przetwarzania danych osobowych rejestrowanych za pomocą systemu monitoringu wizyjnego oraz przetwarzania danych w związku z rekrutacją.

Zawiadomienie

Przedsiębiorca może dowiedzieć się o fakcie kontroli oraz o jej planowym zakresie z pisemnego zawiadomienia. Jeśli nie doszło do naruszenia ochrony danych i kontrola odbywa się w normalny toku, przedsiębiorca ma czas, by się do niej przygotować. Minimalny okres to 7 dni i należy go aktywnie wykorzystać. Sprawdzeniu powinno podlegać przede wszystkim faktyczne działanie wewnętrznych procedur, czy rzeczywiście istnieją podstawy do przetwarzania danych zawartych w kontrolowanych procesach, jak działają zabezpieczenia (np. w zakresie dostępu do danych) oraz czy dane zawarte w rejestrach czynności przetwarzania są kompletne i aktualne.

Ograniczony zakres kontroli

Kontrola ograniczona jest do pewnego zakresu przetwarzania. Zakres określony w zawiadomieniu o kontroli wskazany jest dość ogólnie, np. organ wnioskuje o przygotowanie dokumentów dotyczących przetwarzania danych dotyczących pracowników, albo klientów, albo kontrahentów, ale pozwala przedsiębiorcy na zawężenie pola do dokonania niezbędnego sprawdzenia przed kontrolą.

Kolejnym źródłem informacji na temat zakresu kontroli stanowi upoważnienie, które musi posiadać każdy kontroler. Przedsiębiorca powinien zapoznać się z jego treścią, ponieważ kontrolerzy nie powinni wychodzić poza zakres posiadanego upoważnienia. 

Kontrolerzy

Kontrolerów jest z reguły dwóch. Jedną z kontrolujących osób jest informatyk przeprowadzający kontrolę systemów IT wykorzystywanych u przedsiębiorcy, bezpośrednio na jego urządzeniach. Należy pamiętać, że każdy kontroler musi posiadać legitymację oraz pisemne upoważnienie. Nowy wzór legitymacji ustalono w Rozporządzeniu Rady Ministrów z dnia 20 marca 2019 r. w sprawie wzoru legitymacji służbowej pracownika Urzędu Ochrony Danych Osobowych (Dz.U. z 15 kwietnia 2019 r. poz. 697).

Przed rozpoczęciem kontroli przedsiębiorca powinien dokładnie sprawdzić legitymację i upoważnienie, żeby mieć pewność, że dane osobowe udostępnia osobom upoważnionym przez Prezesa UODO!

Kontrole Prezesa UODO oceniają spełnienie wymogów RODO przez przedsiębiorców
Kontrole Prezesa UODO oceniają spełnienie wymogów RODO przez przedsiębiorców

Obowiązki kontrolowanego

Przedsiębiorca musi udostępnić kontrolerom żądane dokumenty; pomieszczenia, gdzie przetwarzane są dane (np. serwerownie) oraz umożliwić bezpośredni dostęp do systemów IT. Rekomendujemy, żeby taki dostęp odbywał się pod okiem specjalisty IT kontrolowanej firmy (pracownik IT nie musi mieć upoważnienia do nadzorowania czynności kontrolującego). Ponadto, przedsiębiorca musi zapewnić wydruki, tłumaczenia na jęz. polski (dokumentacja może być prowadzona w dowolnym języku, znanym pracownikom) oraz miejsce do pracy dla kontrolujących (pomieszczenie, biurko).

W przypadku kontroli monitoringu przedsiębiorca będzie proszony nie tylko o dokumentację prawną (obowiązujące polityki prywatności, klauzule informacyjne w zakresie przetwarzania tych danych) ale również dokumentację techniczną dotyczącą stosowanych urządzeń lub systemów. Kontrolujący sprawdzą przede wszystkim kto ma dostęp do danych, czy są one przechowywane przez dopuszczalny prawnie okres oraz czy możliwa jest realizacja praw podmiotów danych.

Przetwarzając dane z monitoringu warto zapoznać się ze wskazówkami Prezesa Urzędu Ochrony Danych Osobowych dotyczącymi wykorzystywania monitoringu wizyjnego.

Kontrole Prezesa UODO oceniają spełnienie wymogów RODO przez przedsiębiorców

Przebieg kontroli

Zakres upoważnienia kontrolerów określa ramy prowadzonej kontroli. Przedsiębiorca powinien go nadzorować, istnieją bowiem narzędzia, umożliwiające obronę przed rozszerzeniem zakresu kontroli. W toku kontroli sporządzane są częściowe protokoły oraz protokół końcowy. Przedsiębiorca ma prawo zapoznać się z nimi zgłaszać swoje uwagi lub zastrzeżenia. Jeśli przedsiębiorca nie zgadza się z ustaleniami zawartymi w protokole końcowym, powinien koniecznie złożyć zastrzeżenia w terminie 7 dni.

Materiał zebrany przez kontrolerów trafia do odrębnego departamentu w organie nadzoru. Ponieważ materiał zebrany przez kontrolerów nie podlega ocenie w trakcie kontroli, istotne jest co znajdzie się w protokole końcowym. Ustalenia w nim zawarte stanowią podstawę do podjęcia decyzji o ewentualnym wszczęciu postępowania, dlatego tak ważne są uwagi lub zastrzeżenia przedsiębiorcy. Jeśli w wyniku kontroli nastąpi wszczęcie postępowania, prowadzone jest ono w trybie KPA i kończy się wydaniem decyzji, na którą przysługuje skarga do Wojewódzkiego Sądu Administracyjnego.

Wnioski płynące z dotychczasowych decyzji Prezesa UODO

Analiza decyzji wydanych przez Prezesa UODO pokazuje, że jeśli po wszczęciu postępowania usunięte zostały uchybienia w procesie przetwarzania danych osobowych, to istnieje możliwość jego umorzenia z uwagi na jego bezprzedmiotowość , na podstawie art. 105 § 1 KPA. Dotyczy to oczywiście sytuacji, gdy uchybienia nie miały poważnego charakteru, lub naruszenie ochrony danych nie spowodowało szkody po stronie podmiotów danych. W razie wystąpienia naruszenia organ ocenia skuteczność prób usunięcia ewentualnych naruszeń ochrony danych, czas trwania naruszenia, rozmiar naruszenia (liczbę osób dotkniętych naruszeniem) oraz charakter naruszenia (rodzaj ujawnionych danych). Jeśli dojdzie do wymierzenia kary, okolicznościami łagodzącymi może okazać się dobra współpraca administratora z organem nadzoru czy brak dowodów na to, że powstała szkoda po stronie osób, których dane były przedmiotem naruszenia.

Bądź z nami w kontakcie