Blog

Wobec doniesień medialnych i innych zasłyszanych informacji duża część podmiotów zajmujących się przetwarzaniem danych osobowych (a więc spółki, MISP, jednoosobowe działalności gospodarcze, fundacje, itp.) przynajmniej raz zetknęło się z zagadnieniem kontroli RODO, a w zasadzie kontroli przestrzegania ochrony danych osobowych dokonywanych przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO) i kogo te kontrole dotyczą.

W tym miejscu trzeba zaznaczyć, że taka kontrola może dotyczyć każdego podmiotu przetwarzającego dane osobowe niezależnie od jego wielkości i skali przetwarzanych danych osobowych.

Kto powinien obawiać się kontroli?

Zdecydowanie najbardziej narażone na negatywne skutki kontroli (kara finansowa, a czasami odpowiedzialność karna) są podmioty, które nie wdrożyły u siebie odpowiednich procedur związanych z przestrzeganiem ochrony danych osobowych. Nie chodzi jednak tylko o zapewnienie kontrolujących o tym, że w danym podmiocie przestrzega w/w procedur, ale trzeba to udowodnić.

Jak udowodnić przestrzeganie procedur ochrony danych osobowych (RODO)?

Najlepiej, jeżeli podmiot kontrolowany posiada stworzone i opisane w formie dokumentów wszelkie występujące u niego procedury oraz podpisane przez np. pracowników stosowne oświadczenia i upoważnienia. Nie chodzi tu jednak o wydrukowanie wzorów z internetu, ale o konkretne, dostosowane do konkretnego przypadku rozwiązania. Tylko posiadanie stworzonych indywidulanie dokumentów oraz co ważne wdrożenie ich sprawi, że kontrola PUODO nie będzie traumatycznym przeżyciem.

Z praktyki zaznaczę, że problem z dokumentami wydrukowanymi z ogólnych wzorów zaczyna się w przypadku sytuacji niestandardowej, chociażby konieczności zgłoszenia incydentu wycieku danych do PUODO nie mówiąc już o kontroli.

Incydenty związane z wyciekiem danych z baz danych (włamanie na pocztę elektroniczną, włamanie na serwery, przejęcie baz danych)

Podczas mojej działalności związanej z ochroną danych osobowych zdarza się coraz częściej, że przedsiębiorcy zwracają się do mnie o pomoc w incydentach związanych z wyciekiem danych z baz danych (włamanie na pocztę elektroniczną, włamanie na serwery, przejęcie baz danych). Zaznaczam, że nie chodzi tu o firmy z pierwszych stron gazet zatrudniające setki osób. Najczęstszym obiektem ataków są bowiem małe, często rodzinne firmy. Jeżeli w danej firmie dotkniętej atakiem są indywidualnie sporządzone dokumenty, poparte wdrożeniem, wtedy cała procedura zgłoszenia incydentu i ewentualnie powiadomienia osób, których dane dotyczą odbywa się w spokojniejszej atmosferze i widmo kontroli już nie jest takie straszne, bo istniały stosowne procedury. W przypadku zaś, kiedy dany podmiot nie ma sporządzonej dokumentacji z zakresu ochrony danych osobowych albo ma jedynie wydrukowane wzory wtedy zaczyna się „gorączkowe” szukanie rozwiązań i pomoc prawnika bywa spóźniona i skupia się wyłącznie na łagodzeniu zaniedbań i opracowanie rozwiązań mających na celu wyjście z sytuacji.

Kontrola RODO prowadzona przez PUODO

Kontrola związana z przestrzeganiem ochrony danych osobowych prowadzona jest zgodnie z zatwierdzonym przez PUODO planem kontroli lub na podstawie uzyskanych przez niego informacji lub w ramach monitorowania przestrzegania stosowania RODO.

Kontrola może być zatem prowadzona profilaktycznie tj. zgodnie z planem kontroli, ale również w wyniku uzyskania informacji od osób trzecich o nieprawidłowościach występujących u danego podmiotu. Kontrola jest przeprowadzana przez pracownika PUODO posiadającego stosowane upoważnienie lub członek lub pracownik organu nadzorczego państwa członkowskiego Unii Europejskiej (art. 62 RODO).

Trzeba zaznaczyć, że kontrola jest prowadzona po okazaniu imiennego upoważnienia przez kontrolującego wraz z legitymacją służbową. Imienne upoważnienie do przeprowadzenia kontroli powinno zawierać, oznaczenie organu, imię i nazwisko, stanowisko służbowe kontrolującego oraz numer legitymacji służbowej, określenie zakresu przedmiotowego kontroli, oznaczenie kontrolowanego, wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności kontrolnych, wskazanie podstawy prawnej przeprowadzenia kontroli, podpis Prezesa Urzędu, pouczenie kontrolowanego o jego prawach i obowiązkach oraz datę i miejsce jego wystawienia. Trzeba pamiętać, aby zawsze weryfikować osobę kontrolera, a w razie wątpliwości skontaktować się z PUODO.

Uprawnienia osoby kontrolującej

Zgodnie z obowiązującymi przepisami kontrolując ma prawo do: wstępu w godzinach od 6.00 do 22.00 na grunt oraz do budynków, lokali lub innych pomieszczeń; przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych; wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli; żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego; zlecać sporządzanie ekspertyz i opinii. Wyżej wymienione uprawnienia są zatem szerokie i nie wolno lekceważyć osób kontrolujących, zwłaszcza że to podstawie ich czynności określany jest wymiar ewentualnej kary finansowej. Istotne jest również to, że kontrolowany, czyli podmiot, u którego jest przeprowadzana kontrola, ma obowiązek zapewnić kontrolującemu oraz osobom upoważnionym do udziału w kontroli warunki i środki niezbędne do sprawnego przeprowadzenia kontroli, a w szczególności sporządza we własnym zakresie kopie lub wydruki dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub systemach. Kontrolowany dokonuje też potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków. W przypadku odmowy potwierdzenia za zgodność z oryginałem kontrolujący czyni o tym wzmiankę w protokole kontroli.

Zakończenie kontroli i protokół

Z czynności kontrolnych sporządzony jest protokół, z którym również przed podpisaniem musimy się dokładnie zapoznać.

Terminem zakończenia kontroli (kontrola nie może trwać dłużej niż 30 dni od dnia okazania upoważnienia do przeprowadzenia kontroli) jest dzień podpisania protokołu kontroli przez kontrolowanego albo dzień dokonania wzmianki o odmowie podpisania.

Jeżeli na podstawie informacji zgromadzonych w postępowaniu kontrolnym PUODO uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, obowiązany jest do niezwłocznego wszczęcia postępowania w sprawie naruszenia przepisów o ochronie danych osobowych.

Na zakończenie należy zaznaczyć, że za naruszenie przepisów RODO mogą zostać nałożone wielomilionowe kary w postępowaniu administracyjnym (odpowiedzialność administracyjna), poszkodowani mogą wnosić o odszkodowanie (odpowiedzialność cywilnoprawna), a także może istnieje odpowiedzialność karna przejawiająca się karą grzywny, karą ograniczenia lub pozbawienia wolności. Czynem zabronionym jest także udaremnianie lub utrudnianie kontroli prowadzonej przez organ nadzorczy.

Trzeba się zatem zastanowić czy aby na pewno nie warto wdrożyć odpowiednich rozwiązań dotyczących ochrony danych osobowych w tym indywidualnych dokumentów i procedur.

Jeżeli potrzebujesz pomocy w sprawie związanej ochrony danych osobowych, RODO, przygotowaniem dokumentacji lub uczestniczenia w kontroli, zapraszam do kontaktu.

Zdjęcie wykorzystane w artykule: Markus Spiske on Unsplash.