Na poziomie krajowym uregulowany został mechanizm umożliwiający przeprowadzanie kontroli i nakładanie wysokich kar finansowych za naruszenie przepisów RODO. Warto poznać wytyczne oraz praktyczne wskazówki pozwalające przygotować organizację podmiotów, zarówno z sektora prywatnego, jak i publicznego na wypadek ewentualnej kontroli przestrzegania przepisów o ochronie danych osobowych.

W celu skutecznego przeprowadzenia kontroli ustawa o ochronie danych osobowych przyznaje kontrolującym wiele uprawnień. Katalog ten jest zamknięty i należą do niego:

  • Prawo wstępu na grunt oraz do budynków, lokali oraz innych pomieszczeń

Miejsca, do których mają prawo wstępu osoby kontrolujące, są ograniczone do miejsc związanych z działalnością podmiotu kontrolowanego. Ponadto mogą tego dokonać wyłącznie w godzinach 6:00-22:00. Muszą być też bezpośrednio powiązane z zakresem przedmiotowym kontroli wskazanym w upoważnieniu do jej przeprowadzenia.
Ustawa nie precyzuje, czy prawo wstępu dotyczy dni roboczych. Mając jednak na uwadze dotychczasową praktykę GIODO i innych organów przeprowadzających kontrole, przeprowadzanie czynności kontrolnych na terenie i w pomieszczeniach kontrolowanego odbywać się powinno co do zasady w godzinach i dniach jego pracy.

  • Wgląd do dokumentów i informacji

Kontrolujący mają prawo wglądu do wszelkich dokumentów i informacji mieszczących się w zakresie przedmiotowym kontroli, wskazanym w pisemnym upoważnieniu do kontroli.
Ustawa o ochronie danych osobowych przyznaje prezesowi UODO uprawnienie do dostępu do informacji objętych tajemnicą prawnie chronioną, chyba że odrębnymi przepisami uprawnienie to zostanie wyraźnie wyłączone bądź ograniczone.

Pomimo że ustawa o ochronie danych osobowych nie precyzuje, w jaki sposób należy pojmować tajemnicę prawnie chronioną, należy przez nią rozumieć każdą informację, która na podstawie odrębnych przepisów została za taką uznana (np. tajemnica adwokacka, ubezpieczeniowa, bankowa).

W przypadku gdy informacje, dokumenty lub ich części zawierają tajemnicę przedsiębiorstwa, istnieje możliwość ich zastrzeżenia. W takiej sytuacji należy przedstawić kontrolującym dwie wersje dokumentów: oryginalną oraz niezawierającą informacji objętych zastrzeżeniem. Samo dokonanie zastrzeżenia bez przedstawienia dokumentów pozbawionych informacji objętych tajemnicą przedsiębiorstwa będzie uważane za bezskuteczne.

W przypadku, w którym PUODO uzna, że informacje, dokumenty lub ich części nie spełniają przesłanek do objęcia ich tajemnicą przedsiębiorstwa, w drodze decyzji uchyli zastrzeżenie. Czynność ta może zostać zaskarżona do Wojewódzkiego Sadu Administracyjnego.

Uwaga! Od maja kolejne zmiany w RODO – sprawdź jak przygotować się do kontroli przestrzegania przepisów >>

  • Prawo żądania kopii dokumentów

Na żądanie kontrolujących kontrolowany będzie zobligowany do sporządzenia we własnym zakresie kopie dokumentów przechowywanych w formie papierowej, których zażądają kontrolujący. Jeżeli kontrolujący wymagają wydania im informacji przetwarzanych w formie elektronicznej, kontrolowany będzie musiał albo je wydrukować, albo skopiować na nośnik danych i przekazać kontrolującym.

  • Prawo żądania potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków

Celem takiego potwierdzenia jest wyeliminowanie ewentualnych zarzutów po stronie kontrolowanego, że w ustaleniach w protokole kontroli znalazły się dokumenty niepochodzące od niego lub mające inną treść.

  • Prawo żądania wszelkiej dokumentacji przetłumaczonej na język polski

Podmioty działające w Polsce, lecz wykonujące działalność również poza jej granicami i w języku innym niż polski, będą bowiem zobowiązane do udostępniania kontrolującym wszelkiej żądanej dokumentacji w tłumaczeniu na język polski. Bez znaczenia będzie przy tym to, że wszystkie osoby dokonujące przetwarzania danych w konkretnej jednostce płynnie posługują się językiem, w którym oryginalnie była sporządzona dokumentacja.

  • Prawo do przeprowadzania oględzin

Kontrolujący mogą przeprowadzać oględziny miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych.
W praktyce oględzinom podlegać więc będą przede wszystkim miejsca przechowywania danych osobowych (takie jak archiwa, szafy z aktami osobowymi etc.), serwerownie, miejsca z podglądem do monitoringu i inne, gdzie dane osobowe są przetwarzane.

  • Żądanie pisemnych lub ustnych wyjaśnień oraz przesłuchiwanie świadków w zakresie niezbędnym do ustalenia stanu faktycznego

Kontrolujący mogą żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka każdą osobę w zakresie niezbędnym do ustalenia stanu faktycznego.
Przesłuchanie pracowników

Przez pracowników należy rozumieć zarówno osoby zatrudnione na podstawie umowy o pracę, jak również te na podstawie umów cywilnoprawnych (np. zlecenia, o dzieło).
Ustawodawca nie wprowadził żadnych ograniczeń dotyczących zakresu przesłuchania. Istotne jest tylko to, aby pytania mieściły się w zakresie przedmiotowym kontroli.

  • Uprawnienie do zlecania sporządzania ekspertyz i opinii

Jeżeli informacje, z którymi zapoznają się kontrolujący, będą leżały poza zakresem ich specjalizacji, mogą oni skorzystać z pomocy podmiotów przygotowujących ekspertyzy i opinie. Udział ekspertów w kontroli nie będzie musiał wiązać się z ich fizyczną obecnością na terenie kontrolowanego.

  • Utrwalanie przebiegu kontroli

Jeżeli zajdą okoliczności, w których kontrolujący uznają dokonanie oględzin za niewystarczające, to w uzasadnionych przypadkach będą mogli utrwalić przebieg całej kontroli lub jedynie jej poszczególnych czynności za pomocą urządzeń rejestrujących obraz lub dźwięk. O sposobie utrwalenia przebiegu kontroli powinny za każdym razem decydować okoliczności konkretnego przypadku. Każdorazowo należy jednak poinformować o tym kontrolowanego.

Poza licznymi prawami kontrolujących przepisy nakładają na ich również pewne obowiązki. Należą do nich:

  • Działanie w granicach prawa

Organy państwa mają uprawnienie do podejmowania wyłącznie takich działań, do których zostały wyraźnie upoważnione na podstawie przepisów prawa.

  • Okazanie imiennego upoważnienia i legitymacji służbowej/dokumentu tożsamości

W przypadku pracowników UODO legitymacja służbowa pełni funkcję zarówno dokumentu tożsamości, pozwalającego na weryfikację, czy osoba podająca się za kontrolującego jest osobą wskazaną w upoważnieniu, jak i dokumentu wykazującego uprawnienie do przeprowadzenia kontroli.

  • Przestrzeganie zakresu przedmiotowego kontroli

Podstawą do wszczęcia oraz prowadzenia postępowania kontrolnego jest imienne upoważnienie zawierające m.in. podstawę prawną przeprowadzenia kontroli oraz określenie jej zakresu przedmiotowego.

Ważne: Kontrolujący nie mają prawa do samodzielnego rozszerzania zakresu przedmiotowego kontroli.
  • Obowiązek zachowania w tajemnicy informacji uzyskanych w toku kontroli
  • Obowiązek wyłączenia się od udziału w kontroli

Ma ono zagwarantować bezstronność przeprowadzonej kontroli. Kontrolujący powinni być wyłączeni z jej udziału, gdy:

  • wyniki kontroli mogłyby oddziaływać na prawa lub obowiązki ich lub ich małżonka, osoby pozostającej z nim faktycznie we wspólnym pożyciu, krewnego i powinowatego do drugiego stopnia albo na osoby związanej z nimi z tytułu przysposobienia, opieki albo kurateli,
  • zachodzą uzasadnione wątpliwości co do bezstronności kontrolującego.
  • Umożliwienie kontrolowanemu lub osobie przez niego upoważnionej udziału w kontroli

Obowiązek ten jest bezpośrednio skorelowany z uprawnieniem kontrolowanego do bezpośredniego udziału w czynnościach kontrolnych. Należy go uznać należy za bezwzględny przez co nie można odmówić go kontrolowanemu.

  • Sporządzenie i przekazanie protokołu

Obowiązek sporządzenia protokołu wynika z faktu, że zawarte w nim ustalenia wraz z załącznikami będą podstawą do ewentualnego wszczęcia postępowania w sprawie naruszenia przepisów oraz podstawą do stwierdzenia stanu faktycznego w razie ewentualnego postępowania przed PUODO.

Podmiot kontrolowany posiada natomiast następujące prawa:

  • Prawo do wzięcia udziału we wszystkich czynnościach kontrolnych
  • Prawo do żądania od kontrolującego okazania upoważnienia do przeprowadzenia kontroli i legitymacji służbowej lub dokumentu tożsamości
  • Prawo do żądania wyłączenia kontrolującego z udziału w kontroli
  • Prawo do wskazania osoby upoważnionej do reprezentowania kontrolowanego w trakcie kontroli
  • Prawo do zastrzeżenia informacji stanowiących tajemnicę przedsiębiorstwa
  • Prawo do zgłoszenia zastrzeżeń do protokołu

Większość obowiązków kontrolowanego jest skorelowana z uprawnieniami kontrolującego. Dotyczy to takich kwestii, jak udostępnianie dokumentów, umożliwienie wstępu na teren objęty kontrolą, przeprowadzenie oględzin, umożliwienie przesłuchania pracowników, sporządzenie kopii dokumentów czy też tłumaczeń na język polski.

Nie jest to jednak katalog wyczerpujący, bowiem ustawa o ochronie danych osobowych wskazuje również, że kontrolowany jest zobowiązany do zapewnienia warunków i środków niezbędnych do sprawnego przeprowadzenia kontroli.

Więcej na ten temat przeczytasz i o innych zmianach przeczytasz w książce:

RODO Jak przygotować się do kontroli >>>