Nadzór nad przestrzeganiem przepisów o ochronie danych osobowych w Polsce sprawuje Prezes Urzędu Ochrony Danych Osobowych (UODO). Do jego kompetencji należy również kontrola przedsiębiorców w zakresie stosowania przepisów RODO (rozporządzenia o ochronie danych osobowych). Może ją przeprowadzić w kilku sytuacjach. Po pierwsze, na podstawie zatwierdzonego planu kontroli. Po drugie, w ramach monitorowania przestrzegania przepisów o ochronie danych osobowych. A po trzecie - na podstawie informacji uzyskanych np. w formie skargi pochodzącej od osoby, której prawa zostały naruszone.
Kontrole Prezesa Urzędu Ochrony Danych Osobowych mogą kończyć się dla firm negatywnymi konsekwencjami, np. nałożeniem na nie administracyjnej kary pieniężnej, dlatego wielu przedsiębiorców obawia się takich wizyt. Znajomość procedury pomoże przygotować do kontroli UODO i uniknąć ewentualnych konsekwencji. Co warto o niej wiedzieć?
Znajomość prawa pomaga
Kontrola ze strony Urzędu Ochrony Danych Osobowych może trwać do 30 dni. Składa się z trzech etapów. Pierwszym jest powiadomienie o planowanej wizycie. W praktyce przedsiębiorca najczęściej jest informowany przez UODO o zamiarze przeprowadzenia kontroli wraz ze wskazaniem jej zakresu (co jednak nie należy do obowiązków organu). Oczywiście otrzymanie powiadomienia to dla właściciela firmy ułatwienie - dzięki temu może on się do kontroli przygotować, np. zebrać dokumentację, tak aby cały proces przebiegał sprawniej.
Drugim etapem jest kontrola, a następnie analiza dokumentacji i protokołów. Jak najlepiej się do niego przygotować?
- Na początku należy upewnić się, że kluczowi pracownicy będą dostępni podczas kontroli, która odbywa się zazwyczaj od dwóch do trzech tygodni po otrzymaniu powiadomienia. Firma powinna przygotować odpowiednie procedury, umowy powierzenia danych, rejestry oraz inne dokumenty związane z kontrolowanym obszarem, którym może być na przykład sposób zabezpieczenia przetwarzania danych osobowych w ramach aplikacji mobilnych. Warto przygotować również prezentację dla kontrolujących, wyjaśniającą zgodność działań przedsiębiorstwa z przepisami – uważa Damian Bielecki, zastępca inspektora ochrony danych w spółce XTB.
W interesie sprawdzanej firmy leży zaznajomienie się z uprawnieniami osób uczestniczących w kontroli. Zdarzały się już przypadki podszywania się pod inspektorów UODO. Warto zapamiętać, że ci zawsze pojawiają się z legitymacjami służbowymi. Poza tym powinni przedstawić przedsiębiorcy lub jego pracownikom upoważnienie imienne do przeprowadzenia kontroli.
Uwaga na kary
Na czym polegają działania inspektorów? Ich uprawnienia i kompetencje wyszczególnione są w ustawie o ochronie danych osobowych. Czytając zawarte w niej przepisy przedsiębiorcy mogą dowiedzieć się np. że osoby uczestniczące w kontroli przeprowadzają oględziny i wchodzą do budynków oraz lokali w godzinach pomiędzy 6 a 22, a nie w godzinach pracy firmy.
- Oprócz wejścia do budynków, lokali lub innych pomieszczeń inspektorzy mają możliwość wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli. Mogą przeprowadzać oględziny miejsc, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych. Ponadto ich uprawnieniem jest żądanie złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwanie w charakterze świadka w zakresie niezbędnym do ustalenia stanu faktycznego. Kontrolerzy mogą zlecić sporządzenie ekspertyzy i opinii - komentuje mówi Karol Witas, prawnik z kancelarii The Heart.
Jak dodaje, przedsiębiorca zobowiązany jest zapewnić inspektorowi warunki i środki konieczne do sprawnego przeprowadzenia kontroli. Musi umożliwić przedstawicielowi UODO również sporządzenie kopii lub wydruków dokumentów oraz informacji zgromadzonych na nośnikach, urządzeniach lub systemach. W interesie właściciela firmy leży współpraca z Urzędem Ochrony Danych Osobowych. Dzięki temu jest on w stanie nie tylko zweryfikować zgodność stosowanych w firmie procedur z RODO, ale również uniknąć negatywnych konsekwencji.
- Dotychczasowa praktyka pokazuje, że Prezes UODO surowo ocenia utrudnianie kontroli. Pokazują to sprawy, w których organ nadzorczy nałożył kary, na przykład spółki Vis Consulting, a także kary nałożone w sprawie Głównego Geodety Kraju. Warto jednak wskazać, że - zgodnie z art. 108 ustawy o ochronie danych osobowych - możliwa jest także odpowiedzialność karna za udaremnianie lub utrudnianie prowadzenia kontroli – wyjaśnia Karol Witas.
Po przeprowadzeniu przez inspektora wszystkich czynności przedsiębiorca otrzyma protokół z kontroli. Od tego czasu będzie miał siedem dni na podpisanie dokumentu lub wniesienie uwag.