Kulisy kontroli RODO – praktyczne wskazówki

W dzisiejszym wpisie udzielamy kilku wskazówek z których warto korzystać w razie kontroli ze strony Urzędu Ochrony Danych Osobowych.

Na wstępie przypominamy, że w czasie kontroli ocenie pod kątem zgodności z przepisami o ochronie danych osobowych mogą zostać wyłącznie aspekty ujęte w granicach upoważnienia, które kontroler ma obowiązek przedstawić przed rozpoczęciem kontroli (!).

więcej na ten temat

Wprawdzie upoważnienie może dotyczyć całej działalności organizacji, ale bardziej prawdopodobnym jest, że będzie oscylowało wokół konkretnej jej części, powiązanej z przedmiotem skargi lub zgłoszenia naruszenia ochrony danych, które wpłynęły do Urzędu.

Wskazówka: Nie musisz odpowiadać na pytania kontrolerów nie związane z treścią upoważnienia lub wykraczające poza jego granice.

Przykładowe upoważnienie do kontroli może obejmować ustalenie:

1 w jakim celu i na jakiej podstawie przetwarzane są dane osobowe oraz z jakich źródeł są pozyskiwane?
2 czy wdrożono politykę i procedury ochrony danych osobowych oraz czy została przeprowadzona analiza ryzyka i DPIA?
3 czy wdrożone środki techniczne i organizacyjne gwarantują odpowiedni poziom bezpieczeństwa danych?
4 czy prowadzony jest rejestr czynności przetwarzania i rejestr wszystkich kategorii przetwarzania?
5 czy prowadzony jest rejestr naruszeń ochrony danych, w którym dokumentowane są zaistniałe incydenty bezpieczeństwa?
6 czy prowadzony jest rejestr upoważnień do przetwarzania danych oraz komu i w jakim zakresie wydawane są upoważnienia?
7 sposobu spełnienia obowiązku informacyjnego
8 sposobu realizacji praw osób, których dane dotyczą
9 stopnia świadomości i przeszkolenia członków personelu
10 czy powołano Inspektora Danych Osobowych?

 

Jak już wiesz z naszego poprzedniego artykułu poświęconego kontroli UODO praca kontrolera w terenie skupia się na zbieraniu materiału dowodowego w oparciu dwa podstawowe narzędzia: oględziny i wywiad osobowy.

Zgodnie z tym, co zostało wskazane wywiad osobowy może zostać przeprowadzony z dowolnym (czytaj każdym) członkiem załogi, a oględziny mogą polegać na wezwaniu do okazania określonego przedmiotu, którym może być segregator, pendrive, dysk twardy ale także system teleinformatyczny zawierający poufne dane.

Wskazówka:  Masz prawo odmówić przekazania informacji w ramach prowadzonych czynności, gdyby naruszyło to tajemnicę zawodową.

Ograniczenie kompetencji kontrolnych Prezesa UODO w stosunku do osób, które obowiązuje tajemnica zawodowa dotyczy wyłącznie tych danych osobowych, które zostały zgromadzone w wyniku lub w ramach działania objętego obowiązkiem zachowania tajemnicy (art. 90 ust. 1 zd. drugie RODO). Oznacza to, że np. adwokat lub radca prawny, będący administratorem, będzie podlegał czynnościom kontrolnym Prezesa UODO wyłącznie w zakresie, w którym przetwarza dane osobowe nie objęte tajemnicą zawodową (np. dane pracowników, aplikantów, itp.) lub też objętych tajemnicą zawodową, ale bez naruszania tego obowiązku, tj. kontrola np. procedur funkcjonujących w kancelarii w zakresie ochrony danych osobowych, zasad zabezpieczania danych osobowych objętych tajemnicą itp. W pozostałych przypadkach może on odmówić kontrolującemu okazania przedmiotu lub udzielenia informacji powołując się na obowiązek dochowania tajemnicy zawodowej.

Wskazówka: Zadbaj o to, aby wszelkie ustalenia udokumentować przez załączenie do protokołu oryginałów lub poświadczonych kopii żądanych dokumentów, o które kontrolujący mogą zwracać się np. w trakcie oględzin.

Brak przedstawienia dowodów na zgodność z RODO może zostać uznany za naruszenie obowiązku zapewnienia rozliczalności, o którym mowa w art. 5 ust. 2 i art. 24 ust. 1 RODO, czyli obowiązku należytego udokumentowania sposobu spełniania obowiązków w zakresie ochrony danych osobowych.

Wskazówka: Przygotuj kserokopie dokumentów RODO z wyprzedzeniem.

Aby uniknąć przygotowywania dokumentów tuż przed kontrolą, najlepszym rozwiązaniem jest opracowanie i wdrożenie polityk, procedur i rejestrów, obejmujących te aspekty RODO, które odnoszą się do typowego upoważnienia do kontroli (zob. lista powyżej). Posiadanie takich procedur, a także dowodu, że pracownicy się z nimi zapoznali (a najlepiej – że zostali z nich przeszkoleni), będzie wskazywać na zgodność z RODO.

link do naszej oferty

W trakcie kontroli będą sporządzane tzw. protokoły cząstkowe – z wyjaśnień poszczególnych osób, oględzin itp.

Następnie na ich podstawie zostanie przygotowany protokół końcowy. Może się zdarzyć, że kontrolujący, którzy otrzymują wiele informacji i wyjaśnień, zapomną zawrzeć w protokole korzystnych z punktu widzenia Twojego ustaleń lub błędnie zinterpretować wyjaśnienia – dlatego Wskazówka: uważnie i dokładnie wczytaj się w treść dokumentu przed jego podpisaniem! Nawet jeśli protokół końcowy stanowi powtórzenie ustaleń z protokołów cząstkowych, zapoznaj się z nim na spokojnie aby upewnić się, że żaden z istotnych  faktów nie został pominięty.

Wskazówka: Miej świadomość, że w razie zawarcia w protokole ustaleń, z którymi się nie zgadzasz, możesz skorzystać z art. 88 ust. 4 ustawy o ochronie danych osobowych, który pozwala kontrolowanemu na wniesienie pisemnych zastrzeżeń co do treści protokołu, w terminie 7 dni od dnia przedstawienia go do podpisu.