Jak przygotować się do kontroli UODO?

Tylko w 2018 r. przeprowadzono łącznie 72 kontrole przestrzegania przepisów o ochronie danych osobowych – wynika ze sprawozdania UODO. Do sierpnia 2019 r. ta liczba wzrosła do 113. Prezes Urzędu Ochrony Danych Osobowych ma prawo przeprowadzić kontrolę w każdej organizacji – zarówno z sektora prywatnego, jak i publicznego. Jak odpowiednio się do niej przygotować? Ekspert z ODO 24 podpowiada, na co zwrócić uwagę.

Kontrola – co warto wiedzieć?

Wyróżniamy trzy rodzaje kontroli (art. 78 ust. 2 u.o.d.o.): kontrolę planową – na podstawie zatwierdzonego planu kontroli organu nadzorczego, doraźną – na podstawie informacji uzyskanych przez Prezesa UODO oraz wyrywkową (w ramach monitorowania przestrzegania RODO, zależną od swobodnego wyboru Prezesa UODO).

Z założenia organ powinien poinformować daną organizację o kontroli. Samo RODO jednak nic o tym nie mówi, wynika to natomiast z ustawy Prawo przedsiębiorców. Zgodnie z jej art. 48 organ przystępujący do kontroli zawiadamia przedsiębiorcę o jej zamiarze. Rozpoczyna się ją nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia.

– Należy jednak pamiętać, że ustawa Prawo przedsiębiorców przewiduje wyjątki, kiedy organ nie zawiadamia o kontroli. Przykładowo obejmują one sytuacje, kiedy jej przeprowadzenie jest niezbędne dla przeciwdziałania popełnieniu przestępstwa (wykroczenia) lub zabezpieczenia dowodów jego popełnienia, a także gdy przedsiębiorca nie ma adresu zamieszkania lub adresu siedziby lub doręczanie pism na podane adresy było bezskuteczne lub utrudnione – wskazuje Agata Kłodzińska z ODO 24.

Zakres kontroli

Zakres kontroli, którą objęte zostanie przetwarzanie danych osobowych w danej organizacji, najczęściej wskazany jest w treści zawiadomienia. Zazwyczaj możemy liczyć na ogólne określenie procesu, który ma zostać poddany sprawdzeniu, np. przetwarzanie danych osobowych pracowników, proces związany z marketingiem czy stosowany przez organizację monitoring.

– Równie dobrze przedmiot kontroli może dotyczyć całości podejmowanych przez organizację czynności przetwarzania albo pewnego aspektu rozpatrywanego w ramach kilku (lub wszystkich) procesów przetwarzania (np. prowadzenie monitoringu wizyjnego w organizacji czy realizacja obowiązku informacyjnego). Warto po otrzymaniu zawiadomienia skontaktować się z urzędnikiem i spróbować pozyskać bardziej precyzyjne informacje w tym zakresie. Natomiast drugim dokumentem, z którego wynika, jakie zagadnienia zostaną poddane sprawdzeniu przez kontrolerów, jest imienne upoważnienie pracownika UODOmówi Agata Kłodzińska.

Dzień odwiedzin

Gdy nadejdzie wyznaczony dzień kontroli warto, aby administrator oczekiwał na osoby wyznaczone do jej przeprowadzenia.

– Co ważne, przed umożliwieniem podjęcia czynności kontrolnych należy upewnić się, że osoby, które podają się za uprawnione do kontroli, rzeczywiście mają pełne prawo do jej przeprowadzenia. Obowiązkowo należy zweryfikować imienne upoważnienie do kontroli oraz legitymację służbową, której wzór znajduje się w rozporządzeniu Rady Ministrów z 20.03.2019 r. w sprawie wzoru legitymacji służbowej pracownika UODO – dodaje Agata Kłodzińska z ODO 24.

Najczęściej kontrola jest przeprowadzana w składzie kilkuosobowym: w większych organizacjach trzy osoby, w mniejszych dwie osoby, przy czym jeden z kontrolerów odpowiada za obszar prawny, a drugi – za kwestie zabezpieczeń technicznych, fizycznych i organizacyjnych, w tym szeroko pojęte zagadnienia związane z IT.

Dobrze jest również wiedzieć, jakie obowiązki ciążą na kontrolujących i kontrolowanym, a także jakie prawa im przysługują. Przede wszystkim w ramach prowadzonych czynności kontrolnych kontrolujący ma prawo do (art. 84 ust. 1 u.o.d.o.) m.in.: wglądu do dokumentów mających bezpośredni związek z przedmiotem kontroli; przeprowadzenia oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych; żądania złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwania świadków (np. pracowników kontrolowanego). Z kolei kontrolowany ma obowiązek umożliwić kontrolerom UODO sprawne przeprowadzenie kontroli, w związku z czym oprócz aktywnego w niej udziału i odpowiedzi na pytania zadawane w trakcie czynności kontrolnych może być zobowiązany do sporządzania kopii lub wydruków zarówno dokumentów, jak i informacji zgromadzonych na nośnikach, urządzeniach i w systemach.

Po zakończeniu czynności kontrolnych oraz całego procesu organ nadzorczy dokonuje analizy zgromadzonego materiału dowodowego. Jeśli uzna, że mogło dojść do naruszenia przepisów o ochronie danych, niezwłocznie wszczyna postępowanie administracyjne.