Drodzy czytelnicy, z uwagi na pojawiające się zapytania dotyczące kwestii związanych stricte z kontrolą organu nadzorczego w miejscu waszej pracy, w szczególności zaś jej przebiegiem, postanowiliśmy podzielić się naszą wiedzą i doświadczeniem w tym temacie i przygotowaliśmy dla Was krótką ściągę.
1. Czy kontrole są zapowiadane?
Co do zasady, tak. Hmm, wiemy, że odpowiedzi w stylu „to zależy”, „w zasadzie tak, ale..” nie należą do Waszych ulubionych i od razu przynoszą na myśl prawniczy bełkot, ale niestety i w tym przypadku tak jest, z uwagi na brak artykułu w ustawie o ochronie danych osobowych, który by przesądzał o tym wprost.
Wprawdzie zgodnie z przepisami regulującymi prawa przedsiębiorców, wszelkie kontrole winny zostać zapowiedziane z odpowiednim wyprzedzeniem czasu, co jednak nie wyklucza tzw. kontroli ad hoc.
Dlatego też należy przyjąć, że organ nadzorczy co do zasady przyjmuje praktykę zawiadamiania o kontroli. Zawiadomienie najczęściej ma formę pisemną, a jak pokazuje praktyka dodatkowo poprzedzone jest połączeniem telefonicznym informującym o planowanej kontroli.
Także spokojnie. Będzie czas by uszyć ten garnitur na miarę.
2. Kto przeprowadza kontrolę?
Kontrolę przeprowadzają pracownicy Urzędu Ochrony Danych Osobowych w składzie 2-osobowym.
3. W jaki sposób typowane są firmy do kontroli?
Z naszych ustaleń wynika, że firmy najczęściej wyłaniane są spośród napływających skarg lub zgłoszenia naruszenia ochrony danych, które wpłynęły do UODO. I nie ma co się łudzić, że będzie inaczej. To przecież takie polskie.
Jeżeli chodzi o sektory, to Prezes UODO publikuje roczny plan kontroli sektorowych. Aktualny – na 2019 rok – można znaleźć pod tym adresem. W sektorze prywatnym, w 2019 roku, kontrole RODO skupią się na następujących branżach:
I. Telemarketing
II. Brokerzy danych w zakresie podstaw prawnych przetwarzania danych osobowych
III. Profilowanie w sektorze bankowym i ubezpieczeniowym.
4. Jakie dokumenty winien okazać kontrolujący?
Pracownik Urzędu, wyznaczony do kontroli w terenie jest obowiązany okazać imienne upoważnienie oraz legitymację służbową.
Imienne upoważnienie winno zawierać podstawowe informacje na temat Twojej kontroli takie jak podstawę prawną, oznaczenie organu, oznaczenie kontrolowanego, przewidywany czas trwania kontroli itp.
Szczególną uwagę zwróć na punkt dotyczący zakresu przedmiotowego kontroli – tam będzie napisane, jaki obszar podlega kontroli. Kontrolującemu nie wolno wykraczać poza wskazany zakres.
5. Czy jako właściciel firmy muszę być obecny w czasie kontroli?
Nie. Do udziału w czynnościach kontrolowany może upoważnić inną osobę do reprezentowania go podczas kontroli.
Niemniej wskazane jest aby była to osoba pełniąca w przedsiębiorstwie funkcję Inspektora Danych Osobowych.
6. Co wolno kontrolującemu w czasie kontroli?
Kontrolujący ma prawo:
wstępu w godz. od 6:00 do 22:00 na grunt oraz do budynków, lokali i innych pomieszczeń;
może on przeprowadzać oględziny miejsc, przedmiotów, urządzeń, nośników, systemów informatycznych;
zlecać sporządzanie ekspertyz i opinii; przesłuchać w charakterze świadka pracownika kontrolowanego;
żądać złożenia pisemnych lub ustnych wyjaśnień;
a nawet zwrócić się o pomoc w wykonaniu czynności do właściwego miejscowo komendanta Policji.
7. Jakie obowiązki ma kontrolowany?
Do Twoich obowiązków jako gospodarza należy zapewnienie warunków i środków niezbędnych do sprawnego przeprowadzenia kontroli, jak również sporządzenia kopii lub wydruków dokumentów.
8. Jakie dokumenty dostane po zakończeniu kontroli?
Po przeprowadzeniu kontroli kontrolujący sporządza protokół kontroli.
Protokół kontroli powinien zawierać:
nazwę lub imię i nazwisko oraz adres kontrolowanego;
imię i nazwisko osoby reprezentującej kontrolowanego oraz nazwę organu reprezentującego kontrolowanego;
dane kontrolującego, który jest pracownikiem Urzędu, tj.: imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej, numer imiennego upoważnienia kontrolującego;
datę rozpoczęcia i zakończenia czynności kontrolnych;
określenie zakresu przedmiotowego kontroli;
opis stanu faktycznego ustalonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
wyszczególnienie załączników;
omówienie poprawek, skreśleń i uzupełnień, dokonanych w protokole kontroli;
pouczenie kontrolowanego o prawie zgłaszania zastrzeżeń do protokołu kontroli oraz o prawie odmowy podpisania protokołu kontroli;
datę i miejsce podpisania protokołu kontroli przez kontrolującego i kontrolowanego;
9. Czy można odmówić podpisania protokołu?
Tak, wówczas pracownik Urzędu uczyni o tym wzmiankę w protokole. Podpisany protokół można doręczyć do Urzędu w terminie 7 dni od jego sporządzenia, wraz z pisemnymi zastrzeżeniami co do jego treści.
10. Co w przypadku, kiedy kontrolujący stwierdzi jakieś naruszenia?
No cóż.. jeżeli na podstawie informacji zgromadzonych w postępowaniu kontrolnym Prezes Urzędu uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, obowiązany jest do niezwłocznego wszczęcia postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych.
W naszej ocenie w takim przypadku należy podjąć współpracę z organem, wykazując koncyliacyjną postawę. Tylko bowiem dostosowanie swojego przedsiębiorstwa do RODO może uchronić od ewentualnych konsekwencji.