Urząd nie zapomni o skardze, sprawdzi każdą

opublikowano: 21-10-2018, 22:00

Przedsiębiorcy muszą być w ciągłej gotowości, jeśli chodzi o kontrole przetwarzania danych osobowych — podkreślają eksperci

Na razie nie słychać o kontrolach przetwarzania danych osobowych w biznesie pod kątem przestrzegania unijnej reformy obowiązującej od 25 maja. Niemniej przedsiębiorcy mogą spodziewać się takich działań w każdej chwili, przy czym nie tylko ze strony krajowego organu nadzoru.

— Organ nadzoru może żądać nawet wszczęcia postępowania
dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom,
które dopuściły się naruszeń. Może tak zrobić, jeśli na podstawie posiadanych
informacji uzna, że złamano przepisy dotyczące przetwarzania danych osobowych —
zwrócił uwagę radca prawny Marcin Lewoszewski, wspólnik kancelarii prawnej Kobylańska
& Lewoszewski.
Zobacz więcej

ŻĄDANIE DYSCYPLINARKI:

— Organ nadzoru może żądać nawet wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom, które dopuściły się naruszeń. Może tak zrobić, jeśli na podstawie posiadanych informacji uzna, że złamano przepisy dotyczące przetwarzania danych osobowych — zwrócił uwagę radca prawny Marcin Lewoszewski, wspólnik kancelarii prawnej Kobylańska & Lewoszewski. Fot. Marek Wiśniewski

Do wypełniania zadań i wykonywania uprawnień wynikających z unijnego rozporządzenia dotyczącego ochrony danych osobowych (RODO) właściwa jest instytucja nadzorcza działająca na terytorium danego kraju członkowskiego Unii Europejskiej — przypomnieli eksperci słuchaczom konferencji „Pulsu Biznesu”, poświęconej dotychczasowej praktyce polskiego organu i przedsiębiorców. Jednak, jak zwrócono uwagę, kompetencje kontrolne w pewnych przypadkach wykraczają poza granice państwowe, co jest oczywistym efektem coraz powszechniejszego obecnie transgranicznego przetwarzania danych, czyli gdy odbywa się ono w związku z działalnością firmy, prowadzoną w więcej niż jednym państwie członkowskim, albo gdy znacznie wpływa (lub może) na osoby z więcej niż jednego kraju Wspólnoty. Kto zatem w takich przypadkach ma kompetencje do przeprowadzania kontroli?

Pod czyim nadzorem

— Organów uprawnionych do kontrolowania może być wiele, ale tylko jeden jest wiodący — wyjaśniał radca prawny Marcin Lewoszewski, wspólnik kancelarii prawnej Kobylańska & Lewoszewski, merytorycznego partnera konferencji.

Zgodnie z procedurą przewidzianą w art. 60 RODO, właściwym do podejmowania działań jako organ wiodący jest urząd odpowiedni dla głównej lub pojedynczej jednostki organizacyjnej administratora danych osobowych lub firmy je przetwarzającej. Chodzi o to — jak podkreślił radca — aby podmiot odpowiadał tylko przed jedną instytucją. Nie znaczy to jednak, że nigdy nie zainteresuje się nim organ działający w innym kraju, np. prezes polskiego Urzędu Ochrony Danych Osobowych (UODO).

— Ogólna zasada nie pozbawia go prawa do reagowania na zgłaszane nieprawidłowości. Każdy organ nadzorczy jest właściwy do rozpatrzenia skargi, którą do niego wniesiono. Jeżeli taka wpłynie do polskiego urzędu i będzie dotyczyła praktykstosowanych w naszym kraju, wówczas będzie on mógł zająć się tą sprawą, ale powinien to zaproponować organowi wiodącemu, ponieważ problem może obejmować także dane osób z wielu innych krajów — podkreślił Marcin Lewoszewski.

Zaznaczył jednocześnie, że instytucje nadzoru zawsze prowadzą postępowania na skutek otrzymanych skarg. Jak mówił, w minionych latach rocznie wpływało ich kilka tysięcy do polskiego organu, działającego przed reformą jako Generalny Inspektor Ochrony Danych Osobowych (GIODO). W poprzednim roku i wcześniejszym przeprowadzał on 200 inspekcji. Radca przypomniał zarazem, że przedsiębiorcy mają obowiązek podawania swoim klientom, od których pozyskują dane, informacji o tym, gdzie mogą wnosić skargi. Jest to jeden z obowiązków informacyjnych, nałożonych przez RODO — i przedsiębiorcy muszą liczyć się z tym, że sposób wywiązywania się z niego zostanie poddany ocenie w trakcie kontroli. Uprawnienia kontrolujących są dość szerokie. Mogą oni nakazać udostępnienie wszelkich informacji potrzebnych organowi nadzoru do realizacji jego zadań. To oznacza, że nie można odmówić okazania np. umów, których treść może mieć związek z wykorzystywaniem danych,np. powierzenia ich przetwarzania zewnętrznej firmie.

— Nie można zasłonić się stwierdzeniem, że centrala spółki nie pozwala udostępniać takich dokumentów, a w praktyce tak się zdarza. Nie można też zakazać wstępu do pomieszczeń, ani dostępu do sprzętu i innych środków służących do przetwarzania danych — zauważył Marcin Lewoszewski.

Kontrolujący mają prawo zbadać dokumenty, dyski sieciowe i zażądać, aby pokazano im, co kryje pamięć komputera. Podstawą przeprowadzenia takich czynności jest imienne upoważnienie do kontroli wydane osobie przeprowadzającej inspekcję, w którym musi być określony m.in. jej zakres. Inspektorom powinna natomiast towarzyszyć osoba reprezentująca administratora danych.

Dowody rzetelności

— Do wizyty inspektorów trzeba być gotowym w zasadzie cały czas, dbając o wysoki poziom ochrony danych osobowych. Gdy zostanie zapowiedziana, warto powołać zespół, który przygotuje firmę do tego, aby kontrola przebiegła sprawnie i szybko. Przede wszystkim w tej grupie powinien znaleźć się ktoś z działu prawnego, IT, polityki compliance i sekcji, w których jest przetwarzanych najwięcej danych, czyli np. z marketingu czy HR — radził radca.

Wspomniany zespół powinien np. przejrzeć dokumentację, której zapewne zażąda przedstawiciel organu nadzoru i sprawdzić jej kompletność i aktualność. Z pewnością do takich należy rejestr czynności przetwarzania, umowy powierzenia przetwarzania czy raporty z badań, potwierdzające, że firma nie musi dokonać oceny skutków wykorzystywania pozyskanych danych na czyjąś prywatność. Kontrolowany podmiot musi bowiem dowieść, że działa zgodnie z wymaganiami RODO i polskiej ustawy o ochronie danych osobowych.

Według ekspertów jest niemal na 100 proc. pewne, że kontrolujący sprawdzi uzyskane przez firmę zgody na przetwarzanie danych, przyjrzy się ich wzorcom stosowanym przez administratora oraz temu, w jaki sposób wywiązuje się on z obowiązku informacyjnego wobec osób, od których są pozyskiwane określone informacje.

Na podobne kwestie zwróci też uwagę Urząd Ochrony Konkurencji i Konsumentów (UOKiK). Katarzyna Araczewska, naczelnik wydziału w Departamencie Ochrony Zbiorowych Interesów Konsumentów, mówiła podczas konferencji, że badane przez ten urząd naruszenia w korzystaniu z danych osobowych są nierzadko takie, jak obserwowane przez UODO.

— W gospodarce coraz częściej wykorzystywane są takie informacje i na tym tle pojawia się coraz więcej problemów i skarg. Niemal w każdej z nich konsumenci stawiają pytanie o to, skąd i jak przedsiębiorca je pozyskał — mówiła przedstawicielka UOKiK.

W konsekwencji również ten urząd może być zainteresowany sposobem i formą, w jakiej dana firma pozyskuje zgodę na przetwarzanie danych, spełnia obowiązek informacyjny wobec klienta (czy robi to rzetelnie) i respektuje jego prawo do zmiany zdania.

— Konsumenci często skarżą się na problemy z wycofaniem udzielonych pozwoleń czy respektowaniem sprzeciwu na korzystanie z danych dla celów marketingowych — podkreśliła Katarzyna Araczewska.

Zwróciła przy tym uwagę, że wola konsumenta musi być respektowana przez przedsiębiorcę. Jeśli swój sprzeciw wyrazi stwierdzeniem „proszę do mnie nie dzwonić”, to znaczy, że się na to nie zgadza, nawet jeżeli wprost tak tego nie powie. Zdaniem przedstawicielki UOKiK, w razie wątpliwości można dopytać klienta, jak rozumieć jego słowa. Gdy to nie będzie możliwe, bo np. rozłączy rozmowę, sprawę należy uznać za zamkniętą.

Sprawdź program konferencji "Inspektor Ochrony Danych w firmie", 13-14 grudnia 2018 r., Warszawa >>

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Puls Inwestora / Wyniki spółek / Urząd nie zapomni o skardze, sprawdzi każdą