RODO Kontrola przestrzegania przepisów o ochronie danych osobowych – część I

RODORODO Kontrola

Do zadań Prezesa UODO należy przede wszystkim przeprowadzanie kontroli przestrzegania przepisów o ochronie danych osobowych, w tym RODO.

Nie każdy zdaje sobie jednak sprawę, że kontrola ta jest częścią o wiele bardziej rozbudowanego postępowania.

Poniższe zestawienie ma na celu przybliżenie schematu działania Prezesa UODO, gdy dana osoba lub podmiot złożą wniosek o przeprowadzenie kontroli.

W II części opracowania zostanie przedstawiony schemat postępowania, gdy to Prezes UODO z własnej inicjatywy podejmie czynności wyjaśniające, czy w danym podmiocie doszło do naruszenia przepisów o ochronie danych osobowych.

Warto zaznaczyć też, że Prezes UODO może podjąć czynności wyjaśniające, nawet jeśli nie ma informacji o jakichkolwiek nieprawidłowościach.

W razie wszelkich pytań, zapraszamy do kontaktu.

L.p. Etap postępowania Opis
1.  

Kto może złożyć wniosek o przeprowadzenie kontroli?

 

wniosek mogą złożyć zarówno osoby, których dane osobowe są przetwarzane przez określony podmiot, jak i np. Państwowa Inspekcja Pracy (PIP) czy Najwyższa Izba Kontroli (NIK)
2. Co powinien zawierać wniosek o przeprowadzenie kontroli?
  • wniosek uznaje się za podanie w rozumieniu przepisów ustawy z 14.06.1960r. – Kodeks postępowania administracyjnego (kpa)
  • wniosek powinien zawierać minimum wskazanie osoby, od której pochodzi, jej adres i żądanie (art. 63 § 2 kpa)
  • jeśli wnioskodawca nie podał adresu i Prezes UODO nie ma możliwości jego ustalenia, to pozostawia wniosek bez rozpoznania (art. 64 § 1 kpa)
  • w przypadku innych braków formalnych, Prezes UODO wzywa wnioskodawcę do ich usunięcia w terminie nie krótszym niż 7 dni (art. 64 § 2 kpa)
3. Czy Prezes UODO jest właściwy w sprawie?
  • Prezes UODO jest właściwy tylko w sprawach dotyczących ochrony danych osobowych
  • jeśli Prezes UODO uzna, że wniosek ich dotyczy tych spraw, to przekazuje sprawę właściwemu organowi i powiadamia o tym wnioskodawcę (art. 65 kpa)
4. Jak Prezes UODO sprawdza zasadność wniosku o przeprowadzenie kontroli?
  • na tym etapie Prezes UODO powinien dokładnie zbadać, czy konieczna jest kontrola podmiotu – przede wszystkim wzywa podmiot, co do którego złożono wniosek, o wyjaśnienia
  • jeśli wniosek jest bezzasadny, Prezes UODO odmawia przeprowadzenia kontroli i informuje o tym wnioskodawcę, wskazując na przyczyny odmowy
  • w/w informacja jest niezaskarżalna
5. Czym są czynności wstępne Prezesa UODO?
  • jeśli po wstępnym wyjaśnieniu sprawy Prezes UODO podejmie decyzję o kontroli, to przygotowuje się do niej poprzez m.in. analizę przepisów prawnych dotyczących funkcjonowania danego podmiotu
  • Prezes UODO może też upoważnić udziału w kontroli osobę posiadającą wiedzę specjalistyczną, jeśli uzna to za konieczne (art. 82 ustawy z 10.05.2018r. o ochronie danych)
6. Czy Prezes UODO może wyłączyć kontrolującego z udziału w kontroli? kontrolujący podlega wyłączeniu z udziału w kontroli, na wniosek lub z urzędu, jeżeli:

  • wyniki kontroli mogłyby oddziaływać na prawa lub obowiązki jego, jego małżonka, osoby pozostającej z nim faktycznie we wspólnym pożyciu, krewnego i powinowatego do drugiego stopnia albo na osoby związanej z nim z tytułu przysposobienia, opieki albo kurateli;
  • zachodzą uzasadnione wątpliwości co do jego bezstronności (szerzej: art. 80 odo)
7. Czym są właściwe czynności kontrolne Prezesa UODO?
  1. czynności tych dokonuje się w obecności kontrolowanego lub osoby przez niego upoważnionej
  2. w razie nieobecności kontrolowanego lub osoby przez niego upoważnionej, upoważnienie do przeprowadzenia kontroli oraz legitymacja służbowa lub dokument potwierdzający tożsamość mogą być okazane m.in. osobie czynnej w lokalu przedsiębiorstwa w rozumieniu art. 97 ustawy z 23.04.1964r. – Kodeks cywilny
  3. kontrolujący ma prawo:
  • wstępu w godzinach od 600 do 2200 na grunt oraz do budynków, lokali lub innych pomieszczeń
  • wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli
  • przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych
  • żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego
  • zlecać sporządzanie ekspertyz i opinii

(szerzej: art. 79, 81 84-87 odo)

8. Co dzieje się po zakończeniu czynności kontrolnych?
  1. kontrolujący sporządza protokół kontroli
  2. kontrolowany w terminie 7 dni od dnia przedstawienia protokołu kontroli do podpisu:
    1. podpisuje go albo
    2. składa pisemne zastrzeżenia do jego treści
  3. w razie nieuwzględnienia zastrzeżeń w całości albo części, kontrolujący przekazuje kontrolowanemu informacje o tym wraz z uzasadnieniem
  4. brak doręczenia kontrolującemu podpisanego protokołu kontroli i niezgłoszenie zastrzeżeń do jego treści w w/w terminie 7 dni, uznaje się za odmowę podpisania protokołu kontroli
  5. kontrolę prowadzi się nie dłużej niż 30 dni od dnia okazania kontrolowanemu lub innej osobie wskazanej w przepisach imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej lub innego dokumentu potwierdzającego tożsamość

(szerzej: art. 88 i 89 odo)

9. Co dzieje się dalej, jeśli uznano, że mogło dojść do naruszenia przepisów o ochronie danych osobowych?
  • jeżeli na podstawie informacji zgromadzonych w postępowaniu kontrolnym Prezes UODO uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, wszczyna postępowanie, o którym mowa w art. 60 odo
  • jeśli analiza protokołu kontroli nie wskazuje na nieprawidłowości, kontrolujący informują kontrolowanego i wnioskodawcę o zakończeniu kontroli i braku nieprawidłowości
10. Czym są działania pokontrolne? Prezes UODO, oprócz wszczęcia postępowania o którym mowa w art. 60 odo, może:

  • żądać wszczęcia postępowania dyscyplinarnego,
  • skierować zawiadomienie o popełnieniu przestępstwa.

W razie wszelkich pytań, zapraszamy do kontaktu.

RODO Kontrola

Dodaj komentarz