W obliczu kontroli

  • Materiał zewnętrzny
opublikowano: 28-03-2019, 22:00

Nad każdym przedsiębiorcą — niczym miecz Damoklesa — wisi ogólne rozporządzenie o ochronie danych osobowych.

KOMENTARZ PARTNERA

PIOTR MIŚKIEWICZ Specjalista ds. ochrony danych osobowych iSecure Sp. z o.o

Dbałość o ochronę danych osobowych w stopniu wymaganym przez RODO pozostaje nadal czymś nowym. Często pojawia się obawa, czy organizacja spełniła wymogi rozporządzenia, co więcej, czy jest gotowa na kontrolę ze strony organu nadzorczego. Jakie wobec tego są rodzaje kontroli i jak się je przeprowadza?

Pomimo że funkcję organu nadzorczego pełni prezes Urzędu Ochrony Danych Osobowych, to kontrolę przeprowadzi upoważniony pracownik urzędu. Jakie mamy rodzaje kontroli ? Może ona być planowana, zgodnie z zatwierdzonym przez prezesa UODO planem. Plan kontroli jest dostępny na stronie Urzędu Ochrony Danych Osobowych. W 2019 r. planowane są kontrole m.in. w sektorze prywatnym w dziedzinie telemarketingu i profilowania w sektorach bankowym i ubezpieczeniowym. Kontrola może być przeprowadzana także na podstawie uzyskanych przez prezesa UODO informacji lub w ramach monitorowania przestrzegania i stosowania RODO. Jest to tzw. kontrola doraźna, która może być zainicjowana w sytuacji, gdy prezes urzędu przyjmie informację o naruszeniu ochrony danych w konkretnej organizacji, np. na skutek wniesienia skargi.

Przed przystąpieniem do kontroli pracownik urzędu będzie musiał okazać imienne upoważnienie i legitymację służbową, a same czynności kontrolne będą dokonane w obecności podmiotu kontrolowanego lub osoby upoważnionej. Kontroler ma prawo wstępu na grunt, do budynków lub innych pomieszczeń w godzinach między 6.00 a 22.00. Kontrolującemu przysługuje wgląd do dokumentów mających bezpośredni związek z zakresem kontroli. Może on przeprowadzić oględziny miejsc, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych. Jeżeli wystąpi uzasadniony przypadek, kontrola będzie mogła być przeprowadzana za pomocą urządzeń rejestrujących obraz lub dźwięk.

Kontrola kończy się sporządzeniem protokołu. Dokument ten zawiera m.in. czynności, jakie zostały podjęte, opis stanu faktycznego i informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami prawa. Kontrolowany w terminie siedmiu dni od dnia przedstawienia protokołu będzie musiał go podpisać albo złożyć pisemne zastrzeżenia. W przypadku złożenia zastrzeżeń kontrolujący musi dokonać ich analizy, może również przeprowadzić dodatkowe czynności kontrolne. Jeżeli zastrzeżenia okażą się zasadne, protokół kontroli podlega zmianie, natomiast w przypadku nieuwzględnienia zastrzeżeń kontrolujący przekazuje stosowne informacje podmiotowi kontrolowanemu.

Przedsiębiorca musi pamiętać, że kontrola zainicjowana przez organ nadzorczy nie jest tym samym co postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych. Konsekwencją przeprowadzenia kontroli nie jest wydanie przez prezesa urzędu decyzji, lecz sporządzenie protokołu kontroli, jednakże jej wynik może stanowić podstawę do wszczęcia postępowania. Podsumowując, kontrola ze strony urzędu swoim charakterem przypomina zewnętrzne audyty, którym poddają się przedsiębiorcy, aby dostosować się do RODO — ponieważ wynikiem kontroli lub zewnętrznego audytu jest m.in. sporządzenie dokumentu, który odzwierciedla faktyczny stan ochrony danych osobowych.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Być może zainteresuje Cię też:

Polecane

Inspiracje Pulsu Biznesu