Jednym z pięciu rodzajów postępowań prowadzonych przed Prezesem Urzędu Ochrony Danych Osobowych (PUODO), polskim organem nadzorczym w rozumieniu RODO, jest postępowanie kontrolne, którego cele i zasady prowadzenia określa nowa ustawa o ochronie danych osobowych.

Postępowanie kontrolne zostało uregulowane w rozdziale 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: „u.o.d.o.”), na gruncie której wyodrębnione zostały również postępowania: certyfikacyjne, w sprawie zatwierdzenia kodeksu postępowania, w sprawie akredytacji podmiotu monitorującego zatwierdzony kodeks postępowania oraz w sprawie naruszeń przepisów o ochronie danych. Wszystkie te postępowania – z kontrolnym włącznie – mają charakter jednoinstancyjny, co w praktyce oznacza, iż od decyzji i postanowień zapadłych w ich toku przysługuje bezpośrednio skarga do sądu administracyjnego (a nie odwołanie do PUODO), a uzupełniająco stosuje się przepisy kodeksu postępowania administracyjnego.

Celem postępowania kontrolnego jest sprawdzenie czy przepisy o ochronie danych osobowych są przestrzegane. Zakres kontroli jest bardzo szeroki, bowiem na liście kontrolnej organu nadzorczego znaleźć się mogą takie kwestie jak m.in.:

  • zgodność z prawem, rzetelność, przejrzystość przetwarzania danych osobowych;

  • ograniczenie celu przetwarzania danych osobowych;

  • minimalizacja przetwarzanych danych osobowych;

  • ograniczenie przetwarzania danych osobowych;

  • integralność i poufność przetwarzanych danych osobowych;

  • rozliczalność w zakresie realizacji obowiązków nałożonych przez RODO i inne przepisy prawne;

  • warunki wyrażenia zgody na przetwarzanie danych osobowych i jej wycofania;

  • realizacja obowiązków informacyjnych;

  • obsługa praw jednostek wynikających z art. 15-22 RODO;

  • dopuszczalność i zasady profilowania;

  • realizacja zasady privacy by design oraz zasady privacy by default;

  • zasady powierzania przetwarzania danych osobowych;

  • poprawność prowadzenia rejestru czynności przetwarzania danych;

  • poprawność prowadzenia rejestru wszystkich kategorii czynności przetwarzania danych;

  • przeprowadzenie analizy ryzyka;

  • przeprowadzenie oceny skutków dla ochrony danych (DPIA);

  • postępowanie na wypadek wystąpienia naruszeń ochrony danych;

  • powołanie inspektora ochrony danych;

  • prowadzenie dokumentacji związanej z ochroną danych osobowych.

Jeżeli w toku postępowania kontrolnego Prezes Urzędu uzna, że mogło dojść do naruszenia przepisów RODO, to zgodnie z art. 90 u.o.d.o. zobowiązany jest wszcząć niezwłocznie postępowanie w sprawie naruszenia przepisów o ochronie danych. Postępowanie prowadzone jest:

  • zgodnie z ustalonym przez Prezesa Urzędu planem kontroli lub;

  • na podstawie uzyskanych przez Prezesa Urzędu informacji lub;

  • w ramach monitorowania przestrzegania stosowania RODO.

Co istotne, o zamiarze przeprowadzenia kontroli Prezes Urzędu nie musi wcześniej zawiadamiać podmiotu kontrolowanego. Wprawdzie w myśl ogólnej reguły wynikającej z art. 48 ust. 1 ustawy Prawo przedsiębiorców (dalej: „PP”) organ kontroli zawiadamia przedsiębiorcę o zamiarze kontroli, jednak wyjątkiem od tej reguły jest sytuacja, gdy kontrola ma zostać przeprowadzona na podstawie bezpośrednio stosowanych przepisów prawa Unii Europejskiej (art. 48 ust. 11 pkt 1 PP), a taki właśnie charakter mają przepisy RODO. Zatem kontrole PUODO mogą być niezapowiedziane.

Stan faktyczny podczas kontroli będzie ustalany na podstawie dowodów zebranych w postępowaniu, a w szczególności: dokumentów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń. Kontrolę w imieniu PUODO prowadzić może pracownik urzędu po okazaniu imiennego upoważnienia oraz legitymacji służbowej. Warto mieć na względzie treść imiennego upoważnienia, bowiem jego elementy zostały ściśle uregulowane w ustawie. Zgodnie z art. 81 ust. 2 u.o.d.o. tymi elementami są:

  • wskazanie podstawy prawnej przeprowadzenia kontroli;

  • oznaczenie organu wystawiającego upoważnienie;

  • imię i nazwisko, stanowisko służbowe kontrolującego oraz numer legitymacji służbowej (a w przypadku członka lub pracownika organu nadzorczego państwa członkowskiego UE imię i nazwisko oraz numer dokumentu potwierdzającego tożsamość);

  • określenie zakresu przedmiotowego kontroli;

  • oznaczenie kontrolowanego;

  • wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności kontrolnych;

  • podpis Prezesa Urzędu Ochrony Danych Osobowych;

  • pouczenie kontrolowanego o jego prawach i obowiązkach;

  • data i miejsca wystawienia upoważnienia.

Kontrola może być prowadzona "przy biurku" (polega wówczas na analizie zebranej dokumentacji) lub w miejscu prowadzenia działalności przez podmiot kontrolowany (poprzez dostęp do pomieszczeń podmiotu kontrolowanego oraz jego zasobów).

W toku postępowania kontrolnego, zgodnie z art. 84 u.o.d.o., kontrolujący ma prawo:

  • wstępu w godzinach od 600 do 2200 na grunt oraz do budynków, lokali lub innych pomieszczeń;

  • wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli;

  • przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;

  • żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego (w tym pracowników i współpracowników podmiotu kontrolowanego);

  • zlecać sporządzanie ekspertyz i opinii.

Kontrolowany natomiast jest zobowiązany do zapewnienia kontrolującemu oraz osobom upoważnionym do udziału w kontroli warunków i środków niezbędnych do sprawnego przeprowadzenia kontroli, a w szczególności sporządzania we własnym zakresie kopii lub wydruków dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub systemach informatycznych lub teleinformatycznych służących do przetwarzania danych.

W postępowaniu kontrolnym udział wziąć mogą także organy Policji – na wniosek Prezesa Urzędu lub kontrolowanego – jeżeli jest to niezbędne do wykonywania czynności kontrolnych (art. 85 u.o.d.o.).

Z czynności kontrolnych sporządza się protokół (w formie elektronicznej lub tradycyjnej), którego ustalenia mogą mieć doniosłe skutki. W związku z tym podmiot kontrolowany winien zapoznać się szczegółowo z treścią protokołu i wnieść do niego zastrzeżenia (w ciągu 7 dni od dnia przedstawienia kontrolowanemu protokołu do podpisu) w wypadku dostrzeżenia w protokole nieprawidłowości. Podpisanie protokołu kończy kontrolę, więc odradza się składanie podpisu bez uważnego zapoznania się z treścią protokołu. Ustawodawca przewidział 7 dniowy termin na spokojna analizę zawartości protokołu oraz ewentualne wniesienie zastrzeżeń, stąd warto z tego uprawnienia skorzystać.

Kontrola PUODO jest ograniczona czasowo, bowiem nie może ona trwać dłużej niż przez 30 dni od dnia okazania kontrolowanemu imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej. Do tego terminu nie wlicza się okresu oczekiwania przez organ nadzorcy na wniesienie zastrzeżeń do protokołu lub jego podpisanie. Terminem zakończenia kontroli jest dzień podpisania protokołu przez kontrolowanego albo dzień dokonania wzmianki o odmowie podpisania protokołu (art. 89 u.o.d.o.).

W związku z zapowiadanymi przez Prezesa Urzędu kontrolami warto podjąć kroki mające na celu wdrożenie wymogów ogólnego rozporządzenia o ochronie danych, a w szczególności przeszkolenie personelu, by był on świadomy nie tylko praw i obowiązków wynikających z RODO, ale także związanych z samym postępowaniem kontrolnym.

Wpisy powiązane:

Naruszenie ochrony danych osobowych.

Rejestr czynności przetwarzania danych osobowych.

Kary pieniężne wynikające z RODO.

Bezpieczeństwo przetwarzanych danych.

Zasady RODO.

Zasada rozliczalności.

Wdrożenie RODO.

RODO - podstawowe informacje.

Środki naprawcze wg RODO.

Czasowe ograniczenie przetwarzania danych osobowych.

Data publikacji: 04.12.2018.

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

Audyt i wdrożenie RODO | Poznań, Warszawa, Bydgoszcz