Naruszenie ochrony danych osobowych – kontrola UODO

Gdy w firmie dojdzie do naruszenia ochrony danych osobowych i informacja o tym dotrze do organu nadzorczego, Urząd Ochrony Danych Osobowych może przeprowadzić inspekcję. Jak przebiega kontrola UODO?

Rodzaje kontroli

Kontrola UODO ma trzy warianty:

  • kontrola planowa – wynikająca z zatwierdzonego przez Prezesa Urzędu planu kontroli
  • kontrola doraźna – na podstawie uzyskanych informacji lub zgłoszeń
  • kontrola wyrywkowa – mająca na celu monitorowanie przestrzegania stosowania RODO.

Informacja o kontroli

UODO przekazuje przedsiębiorcy informację o kontroli na 7 dni przed wizytą urzędników. Termin kontroli można negocjować, ale tylko i wyłącznie ze względu na istotne powody leżące po stronie kontrolowanego.
Jak wygląda zespół kontrolujący i co sprawdza?
Kontrola UODO składa się najczęściej z trzech osób, z których jedna jest specjalistą ds. IT.

Zobacz również artykuł o tym, jak wygląda zgłoszenie naruszenia danych osobowych: Incydent RODO

Jakie są obowiązki kontrolowanego?

Polityka ochrony danych osobowych w firmie powinna być rzetelna. Dlatego, jeżeli już dojdzie do wizyty UODO kontrolowany powinien zapewnić środki i warunki służące do sprawnego przeprowadzenia kontroli. To m. in. : wykonywanie kopii lub wydruków żądanych dokumentów oraz informacji przechowywanych w komputerach. Jeżeli pojawi się takie żądanie ze strony urzędników z UODO kompletna dokumentacja RODO również powinna trafić w ich ręce.

Jaki jest początek kontroli?

Zanim rozpocznie kontrolę urzędnik UODO powinien okazać legitymację służbową oraz imienne upoważnienie, gdzie powinny się znaleźć następujące informacje:

  • oznaczenie kontrolowanego podmiotu
  • data rozpoczęcia i przewidywanego zakończenia kontroli.

Jakie prawa ma urzędnik UODO?

Kontrola UODO ma prawo do:

  • przebywania w godzinach 6 -22 na terenie kontrolowanej firmy
  • wglądu do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek z przedmiotem kontroli
  • przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych przetwarzających dane osobowe
  • żądania pisemnych lub ustnych wyjaśnień związanych z tematem kontroli
  • przesłuchiwania pracowników w celu ustalenia faktów
  • zlecania ekspertyz i opinii.

Ile może trwać kontrola?

Kontrola UODO nie może trwać dłużej niż 30 dni od okazania upoważnienia. Zazwyczaj trwa około 5 dni. Na długość kontroli wpływa jej zakres (czy jest to kontrola całej firmy, czy tylko wybranego segmentu) oraz złożoność prowadzonej działalności w kontekście przetwarzania danych osobowych.

Protokół z kontroli

Przebieg czynności kontrola z UODO przedstawia w protokole kontroli, który podpisuje. Taki protokół zostaje przekazany do podmiotu kontrolowanego, który ma 7 dni, aby zająć stanowisko wobec jego treści. Kontrolowany może go podpisać lub złożyć pisemne zastrzeżenia do wniosków wynikających z protokołu. Jeżeli nie wykona żadnej z powyższych czynności, to oznacza odmowę podpisania protokołu.

Zakończenie kontroli

Jeżeli kontrolowany nie podpisał protokołu i nie przekazał zastrzeżeń do jego treści, kontrolę kończy uczynienie wzmianki o tym w protokole. Następnie, organ nadzorczy dokonuje oceny zgromadzonego materiału. Jeśli stwierdzi, że mogło dojść do naruszenia przepisów o ochronie danych, wszczyna postępowanie administracyjne.