W dzisiejszym wpisie udzielamy kilku wskazówek z których warto korzystać w razie kontroli ze strony Urzędu Ochrony Danych Osobowych.
Na wstępie przypominamy, że w czasie kontroli ocenie pod kątem zgodności z przepisami o ochronie danych osobowych mogą zostać wyłącznie aspekty ujęte w granicach upoważnienia, które kontroler ma obowiązek przedstawić przed rozpoczęciem kontroli (!).
Wprawdzie upoważnienie może dotyczyć całej działalności organizacji, ale bardziej prawdopodobnym jest, że będzie oscylowało wokół konkretnej jej części, powiązanej z przedmiotem skargi lub zgłoszenia naruszenia ochrony danych, które wpłynęły do Urzędu.
Wskazówka: Nie musisz odpowiadać na pytania kontrolerów nie związane z treścią upoważnienia lub wykraczające poza jego granice.
Przykładowe upoważnienie do kontroli może obejmować ustalenie:
| 1 | w jakim celu i na jakiej podstawie przetwarzane są dane osobowe oraz z jakich źródeł są pozyskiwane? |
| 2 | czy wdrożono politykę i procedury ochrony danych osobowych oraz czy została przeprowadzona analiza ryzyka i DPIA? |
| 3 | czy wdrożone środki techniczne i organizacyjne gwarantują odpowiedni poziom bezpieczeństwa danych? |
| 4 | czy prowadzony jest rejestr czynności przetwarzania i rejestr wszystkich kategorii przetwarzania? |
| 5 | czy prowadzony jest rejestr naruszeń ochrony danych, w którym dokumentowane są zaistniałe incydenty bezpieczeństwa? |
| 6 | czy prowadzony jest rejestr upoważnień do przetwarzania danych oraz komu i w jakim zakresie wydawane są upoważnienia? |
| 7 | sposobu spełnienia obowiązku informacyjnego |
| 8 | sposobu realizacji praw osób, których dane dotyczą |
| 9 | stopnia świadomości i przeszkolenia członków personelu |
| 10 | czy powołano Inspektora Danych Osobowych? |
Jak już wiesz z naszego poprzedniego artykułu poświęconego kontroli UODO praca kontrolera w terenie skupia się na zbieraniu materiału dowodowego w oparciu dwa podstawowe narzędzia: oględziny i wywiad osobowy.
Zgodnie z tym, co zostało wskazane wywiad osobowy może zostać przeprowadzony z dowolnym (czytaj każdym) członkiem załogi, a oględziny mogą polegać na wezwaniu do okazania określonego przedmiotu, którym może być segregator, pendrive, dysk twardy ale także system teleinformatyczny zawierający poufne dane.
Wskazówka: Masz prawo odmówić przekazania informacji w ramach prowadzonych czynności, gdyby naruszyło to tajemnicę zawodową.
Ograniczenie kompetencji kontrolnych Prezesa UODO w stosunku do osób, które obowiązuje tajemnica zawodowa dotyczy wyłącznie tych danych osobowych, które zostały zgromadzone w wyniku lub w ramach działania objętego obowiązkiem zachowania tajemnicy (art. 90 ust. 1 zd. drugie RODO). Oznacza to, że np. adwokat lub radca prawny, będący administratorem, będzie podlegał czynnościom kontrolnym Prezesa UODO wyłącznie w zakresie, w którym przetwarza dane osobowe nie objęte tajemnicą zawodową (np. dane pracowników, aplikantów, itp.) lub też objętych tajemnicą zawodową, ale bez naruszania tego obowiązku, tj. kontrola np. procedur funkcjonujących w kancelarii w zakresie ochrony danych osobowych, zasad zabezpieczania danych osobowych objętych tajemnicą itp. W pozostałych przypadkach może on odmówić kontrolującemu okazania przedmiotu lub udzielenia informacji powołując się na obowiązek dochowania tajemnicy zawodowej.
Wskazówka: Zadbaj o to, aby wszelkie ustalenia udokumentować przez załączenie do protokołu oryginałów lub poświadczonych kopii żądanych dokumentów, o które kontrolujący mogą zwracać się np. w trakcie oględzin.
Brak przedstawienia dowodów na zgodność z RODO może zostać uznany za naruszenie obowiązku zapewnienia rozliczalności, o którym mowa w art. 5 ust. 2 i art. 24 ust. 1 RODO, czyli obowiązku należytego udokumentowania sposobu spełniania obowiązków w zakresie ochrony danych osobowych.
Wskazówka: Przygotuj kserokopie dokumentów RODO z wyprzedzeniem.
Aby uniknąć przygotowywania dokumentów tuż przed kontrolą, najlepszym rozwiązaniem jest opracowanie i wdrożenie polityk, procedur i rejestrów, obejmujących te aspekty RODO, które odnoszą się do typowego upoważnienia do kontroli (zob. lista powyżej). Posiadanie takich procedur, a także dowodu, że pracownicy się z nimi zapoznali (a najlepiej – że zostali z nich przeszkoleni), będzie wskazywać na zgodność z RODO.
W trakcie kontroli będą sporządzane tzw. protokoły cząstkowe – z wyjaśnień poszczególnych osób, oględzin itp.
Następnie na ich podstawie zostanie przygotowany protokół końcowy. Może się zdarzyć, że kontrolujący, którzy otrzymują wiele informacji i wyjaśnień, zapomną zawrzeć w protokole korzystnych z punktu widzenia Twojego ustaleń lub błędnie zinterpretować wyjaśnienia – dlatego Wskazówka: uważnie i dokładnie wczytaj się w treść dokumentu przed jego podpisaniem! Nawet jeśli protokół końcowy stanowi powtórzenie ustaleń z protokołów cząstkowych, zapoznaj się z nim na spokojnie aby upewnić się, że żaden z istotnych faktów nie został pominięty.
Wskazówka: Miej świadomość, że w razie zawarcia w protokole ustaleń, z którymi się nie zgadzasz, możesz skorzystać z art. 88 ust. 4 ustawy o ochronie danych osobowych, który pozwala kontrolowanemu na wniesienie pisemnych zastrzeżeń co do treści protokołu, w terminie 7 dni od dnia przedstawienia go do podpisu.
