Kontrola Urząd Ochrony Danych Osobowych. Zasady
Urząd Ochrony Danych Osobowych (UODO) zajmuje się ochroną danych osobowych i przestrzeganiem zasad stosowania RODO. Jednym z instrumentów, za pomocą których to robi, jest przeprowadzanie kontroli w przedsiębiorstwach. Jakie są zasady takiej kontroli?
Dlaczego powstało UODO?
UODO jest następcą Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Ochrona danych osobowych leżała właśnie w kompetencji tej instytucji. Zmiana nastąpiła po wejściu w życie RODO. Unijne rozporządzenie wprowadziło też inne modyfikacje. Nie ma już stanowiska administrator bezpieczeństwa informacji, zastąpił go inspektor ochrony danych.
Jedno się nie zmieniło. UODO jak i GIODO ochronę danych osobowych realizuje
m. in. poprzez kontrolę firm i instytucji.
Uzasadnienie kontroli
Każda kontrola UODO powinna mieć uzasadnienie. Kontrolę prawidłowego przetwarzania danych w firmie prowadzi się zgodnie:
- z zatwierdzonym przez Prezesa Urzędu planem kontroli
- na podstawie uzyskanych informacji
- w ramach monitorowania przestrzegania stosowania RODO.
Kto przeprowadza kontrolę?
Inspekcję może przeprowadzić, upoważniony przez Prezesa UODO:
- pracownik Urzędu
- członek lub pracownik organu nadzorczego państwa członkowskiego Unii Europejskiej w sytuacji, o której mowa w art. 62 RODO:
„Jeżeli administrator lub podmiot przetwarzający posiadają jednostki organizacyjne w kilku państwach członkowskich lub jeżeli operacje przetwarzania mogą istotnie wpłynąć na znaczną liczbę osób, których dane dotyczą, w więcej niż jednym państwie członkowskim, organ nadzorczy każdego z tych państw członkowskich ma prawo uczestniczyć we wspólnych operacjach.”
Co stanowi upoważnienie do przeprowadzenia kontroli?
Kontrolę można rozpocząć po okazaniu imiennego upoważnienia wraz z legitymacją służbową, a w przypadku kontrolującego pochodzącego z innego państwa UE po okazaniu imiennego upoważnienia i dokumentu potwierdzającego tożsamość.
Co zawiera imienne upoważnienie?
Imienne upoważnienie do przeprowadzenia kontroli musi zawierać:
- wskazanie podstawy prawnej do kontroli
- oznaczenie organu
- imię i nazwisko, stanowisko służbowe inspektora oraz numer legitymacji służbowej, a w przypadku kontrolującego z innego kraju UE – imię i nazwisko oraz numer dokumentu potwierdzającego tożsamość
- określenie zakresu przedmiotowego kontroli
- oznaczenie kontrolowanego przedsiębiorstwa
- wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia kontroli
- podpis Prezesa UODO
- informacje o prawach i obowiązkach kontrolowanego
- datę i miejsce wystawienia upoważnienia.
Pomoc Policji
W przypadku obstrukcji czynionej przez kontrolowanego Prezes UODO lub inspektor kontrolujący może się zwrócić do miejscowego komendanta policji o pomoc w przeprowadzeniu kontroli. Taka prośba musi być jednak dobrze uzasadniona.
Pisemne wezwanie w tej sprawie powinno dotrzeć do komendanta policji co najmniej 7 dni przed rozpoczęciem kontroli.
W nagłych sytuacjach ( np. inspektor kontrolujący nie jest wpuszczony na teren przedsiębiorstwa bądź w inny sposób utrudnia się jego działanie) kontrolujący może od razu wezwać policję. Przy tego typu wezwaniu Prezes OUDO jest zobowiązany do przekazania pisemnego wezwania policji nie później niż 3 dni po zakończeniu kontroli.
Jakie czynności podejmują w takiej sytuacji policjanci?
Zapewniają porządek, bezpieczeństwo przeprowadzającemu kontrolę urzędnikowi (oraz innym osobom dokonującym kontroli) oraz dostęp do miejsc, gdzie ma się odbyć kontrola.
Podsumowanie
Z punktu widzenia kontrolowanego warto dobrze się przygotować do takiej kontroli (tak, żeby nie skończyła interwencją policji), a pomoże w tym choćby szkolenie z zakresu danych osobowych.