W sierpniu UODO sprawdzi różne podmioty na podstawie skarg i zgłoszonych naruszeń. Później w konkretnych branżach. Ale w jednym i drugim przypadku już na nowych zasadach
Do tej pory Urząd Ochrony Danych Osobowych prowadził tylko postępowania sprawdzające na podstawie np. telefonicznych skarg. Teraz zaś rusza w teren i, jak się dowiedział DGP, rozpoczyna kontrole doraźne. Urząd nie może podać nazw konkretnych podmiotów i instytucji, do których zawita, ale informuje ogólnikowo, że przeprowadzi je nie tylko u wybranych przedsiębiorców, ale także w podmiotach publicznych.
– Kontrole podejmowane będą na skutek rozpatrywanych przez nas skarg oraz innych wpływających sygnałów o nieprawidłowościach. Niektóre są też reakcją na doniesienia prasowe – wyjaśnia Katarzyna Hildebrandt, dyrektor zespołu ds. sektora organów ścigania i sądów w Urzędzie Ochrony Danych Osobowych.
Ze wstępnych ustaleń wynika, że tylko w ciągu dwóch pierwszych miesięcy od rozpoczęcia stosowania RODO do prezesa UODO wpłynęło ok. 1300 skarg na niezgodne z prawem przetwarzanie danych osobowych (dla porównania w poprzednich latach składano ich ok. 3000 w skali całego roku) i 300 zgłoszeń naruszeń w samym sektorze przedsiębiorstw.
– To sporo, chociaż wydaje się nam, że obecnie składanych jest wiele zgłoszeń o niskiej skali naruszenia. Prawdopodobnie niektórzy decydują się zgłosić naruszenie zapobiegawczo, zanim jeszcze ocenią jego skalę. Zdarza się, że w ślad za zgłoszeniem pojawia się kolejna informacja, że wszystko jest w porządku, bo np. zaginiony pendrive jednak się znalazł – mówi Katarzyna Święćkowska, zastępca dyrektora zespołu ds. sektora prywatnego w Urzędzie Ochrony Danych Osobowych.
Uwaga! W kontekście kontroli UODO przestrzega też przed fałszywymi kontrolerami. Komunikat o tym, że są na rynku, zamieszczono na stronach UODO w ostatni piątek.
– Dotarły do nas sygnały, że u przedsiębiorców pojawiają się osoby podające się za kontrolerów UODO. W jednym przypadku osoba taka przedstawiła fałszywe dokumenty, legitymację i upoważnienie do kontroli – mówi Agnieszka Świątek-Druś, rzecznik prasowy UODO.
Prezes UODO alarmuje, by zachować ostrożność i baczniej weryfikować tożsamość zgłaszających się osób. – Wzór legitymacji, którą posługują się kontrolerzy, jest określony we wciąż obowiązującym rozporządzeniu ministra spraw wewnętrznych i administracji z 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych – wyjaśnia rzeczniczka. I dodaje, że jednym z zabezpieczeń legitymacji jest m.in. hologram. Ponadto w przypadku wątpliwości co do wiarygodności osoby można zweryfikować jej tożsamość telefonicznie, dzwoniąc pod numer: (22) 531-07-71. Urząd podkreśla też, że co do zasady o kontroli uprzedza pisemnie.
Obok kontroli doraźnych odrębną kategorią mają być – podobnie jak w latach wcześniejszych – kontrole planowe. Chodzi o działania sprawdzające w wybranych sektorach gospodarki albo weryfikujące realizację danego obowiązku, np. informacyjnego. Ich plan sporządza się z dużym wyprzedzeniem, a tego typu kontrole – zaplanowane na I półrocze 2018 r. – zostały już zrealizowane. Urząd Ochrony danych Osobowych nie przewiduje natomiast stworzenia takiego planu sektorowych kontroli w najbliższym czasie. Ma powstać – według obecnych założeń – na rok 2019.
– Oczywiście w zależności od sytuacji nie wykluczamy, że podejmiemy jednak decyzję o przeprowadzeniu takich kontroli jeszcze w tym roku. Jeżeli okaże się przykładowo, że będzie wpływała bardzo duża liczba zgłoszeń naruszeń w danym sektorze czy danej branży, będziemy analizować, czy nie ma potrzeby przeprowadzenia w tym obszarze działań kontrolnych, aby zorientować się, z czego wynikają problemy – wyjaśnia Jacek Młotkiewicz, zastępca dyrektora zespołu ds. sektora publicznego w Urzędzie Ochrony Danych Osobowych.
Od 25 maja za sprawą RODO kontrole będą przeprowadzane na zmienionych zasadach, a prezes UODO został w tym zakresie wyposażony w nowe prawne mechanizmy.
  • Nowością są kary, jakie będzie mógł nałożyć. W przypadku przedsiębiorców unijne rozporządzenie o ochronie danych (RODO) przewiduje możliwość nakładania przez organ nadzorczy kar w wysokości nawet do 20 mln euro lub 4 proc. obrotu przedsiębiorstwa w roku poprzedzającym naruszenie przepisów (w przypadku instytucji sektora finansów publicznych czy instytucji kultury – kary są niższe).
  • Zmiany zaszły także w procedurze kontroli. Nie może ona trwać dłużej niż 30 dni. Tyle maksymalnie dni może upłynąć od dnia okazania kontrolowanemu lub innej osobie wskazanej w przepisach imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej bądź innego dokumentu potwierdzającego tożsamość do dnia podpisania protokołu kontroli przez przedsiębiorcę. Do terminu nie wlicza się terminów przewidzianych na zgłoszenie zastrzeżeń do protokołu kontroli lub podpisanie i doręczenie protokołu kontroli przez kontrolowanego.
  • Nowością jest możliwość przeprowadzenia kontroli w asyście policji. To może ułatwić pracę inspektorom w sytuacji, kiedy kontrolowany np. utrudnia wejście do swojej siedziby lub zbieranie dowodów.
  • Prezes UODO może żądać od kontrolowanego przedstawienia tłumaczenia na język polski sporządzonej w języku obcym dokumentacji. Przy czym tłumaczenie to przedsiębiorca jest obowiązany wykonać na własny koszt. – Jeżeli takiej dokumentacji nie zapewni, to może być na niego nałożona kara grzywny w wysokości od 500 zł do 5 tys. zł – przypominają przedstawiciele UODO.
  • Kontrolujący mają prawo sporządzać nagrania i fotografie z przeprowadzanych działań. Mogą to robić w uzasadnionych przypadkach. Jest to uprawnienie przewidziane wprost w nowej ustawie o ochronie danych osobowych.
  • Inspektorzy będą mogli w razie potrzeby wkroczyć do siedziby przedsiębiorcy z ekspertami zewnętrznymi, specjalizującymi się w wybranej dziedzinie.
Kontrolerzy mają prawo: wstępu w godzinach 6‒22 na grunt oraz do budynków, lokali lub innych pomieszczeń; wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli; przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych. Mogą żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego. Mają też prawo zlecać sporządzanie ekspertyz i opinii.