Na poziomie krajowym uregulowany został mechanizm umożliwiający przeprowadzanie kontroli i nakładanie wysokich kar finansowych za naruszenie przepisów RODO. Warto poznać wytyczne oraz praktyczne wskazówki pozwalające przygotować organizację podmiotów, zarówno z sektora prywatnego, jak i publicznego na wypadek ewentualnej kontroli przestrzegania przepisów o ochronie danych osobowych.
Ustawa o ochronie danych osobowych zawiera zamknięty katalog osób, które są uprawnione do wszczęcia kontroli przestrzegania przepisów o ochronie danych osobowych.
I tak wśród podmiotów właściwych do wszczęcia kontroli znajdują się:
a) pracownicy Urzędu Ochrony Danych Osobowych;
b) w przypadku prowadzenia wspólnych operacji organów nadzorczych – członkowie lub pracownicy innego organu nadzorczego państwa członkowskiego Unii Europejskiej.
Pomimo tego, że w określonych sytuacjach inne osoby spoza katalogu wskazanego powyżej będą mogły wziąć udział w prowadzeniu kontroli, to jednak tylko te enumeratywnie wymienione podmioty mogą doprowadzić do skutecznego jej wszczęcia.
RODO Jak przygotować się do kontroli>>>
Kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową, a w przypadku kontrolującego, po okazaniu imiennego upoważnienia wraz z dokumentem potwierdzającym tożsamość.
Imienne upoważnienie do przeprowadzenia kontroli powinno zawierać:
1) wskazanie podstawy prawnej przeprowadzenia kontroli;
2) oznaczenie organu;
3) imię i nazwisko, stanowisko służbowe kontrolującego oraz numer legitymacji
służbowej, a w przypadku kontrolującego, imię i nazwisko oraz numer dokumentu potwierdzającego tożsamość;
4) określenie zakresu przedmiotowego kontroli;
5) oznaczenie kontrolowanego;
6) wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności
kontrolnych;
7) podpis Prezesa Urzędu;
8) pouczenie kontrolowanego o jego prawach i obowiązkach;
9) datę i miejsce jego wystawienia.
Aktualnie obowiązująca ustawa o ochronie danych osobowych z 10 maja 2018 r. w przeciwieństwie do swojego odpowiednika z 29 sierpnia 1997 r. nie zawiera upoważnienia do uregulowania w drodze rozporządzenia treści imiennego upoważnienia do przeprowadzenia kontroli.
Niezbędne przy kontroli jest pouczenie kontrolowanego o jego prawach i obowiązkach. Zgodnie z art. 15 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie kontroli, a w szczególności umożliwić przeprowadzenie czynności oraz spełnić żądania, o których mowa w art. 14 pkt 1–4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, polegające na:
– umożliwieniu wstępu inspektorom, w godzinach od 6.00 do 22.00, za okazaniem niniejszego imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym jest zlokalizowany zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą o ochronie danych osobowych,
– żądaniu złożenia pisemnych lub ustnych wyjaśnień oraz wzywania i przesłuchiwania osoby w zakresie niezbędnym do ustalenia stanu faktycznego,
– umożliwieniu wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii,
– przeprowadzaniu oględzin urządzeń, nośników oraz systemów in informatycznych służących do przetwarzania danych.
Z czynności kontrolnych inspektor sporządza protokół, którego jeden egzemplarz doręcza kontrolowanemu administratorowi danych. Protokół podpisują inspektor i kontrolowany administrator danych, który może wnieść do protokołu umotywowane zastrzeżenia i uwagi. W razie odmowy podpisania protokołu przez kontrolowanego administratora danych inspektor czyni o tym wzmiankę w protokole, a odmawiający podpisu może, w terminie 7 dni, przedstawić swoje stanowisko na piśmie Generalnemu Inspektorowi.
RODO 2019. Plusy i minusy zmian od 4 maja>>>
Poza upoważnieniem, osoby uprawnione do wszczęcia kontroli, obowiązane są przedstawić również:
- legitymację służbową – w przypadku pracownika Urzędu Ochrony Danych Osobowych;
- dokument potwierdzający tożsamość – w przypadku członka lub pracownika innego organu nadzorczego państwa członkowskiego Unii Europejskiej.
Z uwagi na to, że utrudnianie przeprowadzenia kontroli zagrożone jest odpowiedzialnością karną, należy podejmować tylko takie działania, które są uzasadnione okolicznościami. W przypadku dostrzeżenia braków w upoważnieniu czy legitymacji służbowej uniemożliwienie rozpoczęcia i przeprowadzenia kontroli przez osoby je przedstawiające jako niezawinione nie będzie się mieściło w dyspozycji art. 108 ustawy o ochronie danych osobowych i jako takie nie będzie karalne.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu