Kontrola GIODO

www.sxc.hu

Każdy administrator danych był, jest lub będzie kiedyś skontrolowany. Kontrola przeprowadzana przez Inspektorów GIODO, podobnie jak kontrola np. PIP, rządzi się określonymi regułami, które warto poznać nim kontrolerzy zapukają do drzwi.

Kontrola Generalnego Inspektora Danych Osobowych jest przeprowadzana głównie na podstawie ustawy o ochronie danych osobowych oraz ustawy o swobodzie działalności gospodarczej.

Kontrola wykonywana jest przez inspektorów Biura GIODO.

Kontrole GIODO są najczęściej zapowiadane (telefonicznie oraz faksem lub pisemnie) z kilkudniowym wyprzedzeniem. Zawiadomienie może wskazywać w szczególności:

- termin przeprowadzenia czynności kontrolnych,

- przedmiot i zakres kontroli,

- wstępny zakres dokumentów wymaganych przez inspektorów.

Brak wcześniejszego zawiadomienia co do zasady nie jest wystarczającą przyczyną odmowy wstępu inspektorom do siedziby kontrolowanego. Jest to natomiast podstawa do wniesienia do GIODO sprzeciwu.

W toku czynności kontrolnych, inspektorzy zwracają uwagę w szczególności (lecz nie wyłącznie) na następujące kwestie:

- przetwarzanie danych osobowych zgodnie z prawem, w szczególności, czy podmiot gromadzi (przetwarza) dane osobowe na podstawie wskazanej w art. 23 ustawy o ochronie danych osobowych,

- zabezpieczenie przetwarzanych danych – np. czy dane osobowe zabezpieczane są zgodnie z wymogami technicznymi i organizacyjnymi przewidzianymi w ustawie o ochronie danych osobowych i przepisach wykonawczych,

- zakres i cel przetwarzania danych osobowych,

- wypełnianie przez kontrolowany podmiot obowiązków informacyjnych wobec osób, których dane są przetwarzane (w szczególności: poinformowanie tych osób o celu przetwarzania danych, o prawie dostępu do ich treści i dokonywania zmian, o dobrowolności wyrażenia zgody na przetwarzanie),

- obowiązki w zakresie rejestracji zbioru danych w bazie GIODO.

Kontrola jest zazwyczaj przeprowadzana w oparciu o plan kontroli, który jest również przedstawiany kontrolowanemu.

Plan kontroli zawiera zazwyczaj m.in.:

- cel kontroli,

- zakres kontroli i jej szczegółową tematykę (np. sposoby zabezpieczania danych osobowych, kompletność wymaganej prawem dokumentacji),

- termin czynności kontrolnych.

Nie można odmówić inspektorom wstępu do siedziby administratora danych z tego powodu, że nie przedstawili planu kontroli.

W toku czynności kontrolnych inspektorzy mają prawo:

- wstępu, w godzinach od 600 do 2200, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą o ochronie danych osobowych,

Administrator nie ma obowiązku wpuszczenia inspektora, który nie przedstawi obydwu powyższych dokumentów.

W praktyce inspektorzy kontroli umawiają się najczęściej z kontrolowanym podmiotem na określone godziny (np. kilka dni pod rząd, między 8.00 a 16.00).

- żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego,

- wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii,

- przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych,

Kontrole przeprowadzane są zazwyczaj z udziałem wykwalifikowanego informatyka i prawnika, co ma umożliwić inspektorom prawidłową ocenę zabezpieczeń informatycznych oraz ocenę zagadnień prawnych.

- zlecać sporządzanie ekspertyz i opinii,

- żądać okazania książki kontroli oraz dokonywania w niej wpisów.

Co do zasady, czynności kontrolnych dokonuje się w obecności osoby wskazanej przez kontrolowanego.

Po zakończeniu czynności kontrolnych, inspektor sporządza protokół kontroli. Jeden egzemplarz tego protokołu doręczany jest kontrolowanemu.

W zakresie protokołu kontroli, kontrolowanemu przysługują w szczególności następujące uprawnienia:

- prawo wniesienia umotywowanych uwag i zastrzeżeń odnośnie jego treści,

- prawo odmowy podpisania protokołu kontroli (ma to szczególne znaczenie w przypadku nie uwzględnienia przez inspektora uwag i zastrzeżeń kontrolowanego – wykonanie tego uprawnienia wskazuje, że kontrolowany nie zgadza się z wynikami kontroli. W takim wypadku inspektor powinien wskazać w protokole przyczyny odmowy podpisu, a kontrolowany może w terminie 7 dni przedstawić swoje stanowisko na piśmie GIODO).

Jeżeli w wyniku kontroli inspektor stwierdzi naruszenie przepisów ustawy o ochronie danych osobowych, występuje do GIODO o wydanie decyzji zobowiązującej ten podmiot do usunięcia naruszeń.

Procedura w takiej sytuacji wygląda następująco:

- wniosek inspektora do GIODO o wydanie decyzji nakazującej usunięcie wskazanych naruszeń,

- wszczęcie postępowania administracyjnego przez GIODO (postępowanie niezależne od samej kontroli) – w jego toku organ ocenia zasadność ww. wniosku, a administrator jako strona jest uprawniona prezentować swoje stanowisko,

- wydanie przez GIODO decyzji administracyjnej:  nakazującej usunięcie naruszeń albo umarzającej postępowania z uwagi na jego bezprzedmiotowość – w sytuacji, gdy GIODO nie podziela zdania inspektora,

- w przypadku decyzji nakazującej usunięcie naruszeń, administrator zasadniczo może złożyć do GIODO wniosek o ponowne rozpatrzenie sprawy, a następnie (w przypadku odmowy zmiany decyzji);

- wnieść skargę do sądu administracyjnego.

Należy pamiętać, że w pierwszym kwartale 2011 r. wejdzie w życie nowelizacja ustawy o ochronie danych osobowych, która wprowadza m.in. przestępstwo utrudniania czynności kontrolnych GIODO.


Tagi: , , , , ,

Możliwość komentowania jest wyłączona.