
Naruszenie ochrony danych osobowych. Polityka ochrony danych osobowych
Gdy w firmie dojdzie do naruszenia ochrony danych osobowych i informacja o tym dotrze do organu nadzorczego, Urząd Ochrony Danych Osobowych może przeprowadzić inspekcję. Jak przebiega kontrola UODO?
Rodzaje kontroli
Kontrola UODO ma trzy warianty:
- kontrola planowa – wynikająca z zatwierdzonego przez Prezesa Urzędu planu kontroli
- kontrola doraźna – na podstawie uzyskanych informacji lub zgłoszeń
- kontrola wyrywkowa – mająca na celu monitorowanie przestrzegania stosowania RODO.
Informacja o kontroli
UODO przekazuje przedsiębiorcy informację o kontroli na 7 dni przed wizytą urzędników. Termin kontroli można negocjować, ale tylko i wyłącznie ze względu na istotne powody leżące po stronie kontrolowanego.
Jak wygląda zespół kontrolujący i co sprawdza?
Kontrola UODO składa się najczęściej z trzech osób, z których jedna jest specjalistą ds. IT.
Zobacz również artykuł o tym, jak wygląda zgłoszenie naruszenia danych osobowych: Incydent RODO
Jakie są obowiązki kontrolowanego?
Polityka ochrony danych osobowych w firmie powinna być rzetelna. Dlatego, jeżeli już dojdzie do wizyty UODO kontrolowany powinien zapewnić środki i warunki służące do sprawnego przeprowadzenia kontroli. To m. in. : wykonywanie kopii lub wydruków żądanych dokumentów oraz informacji przechowywanych w komputerach. Jeżeli pojawi się takie żądanie ze strony urzędników z UODO kompletna dokumentacja RODO również powinna trafić w ich ręce.
Jaki jest początek kontroli?
Zanim rozpocznie kontrolę urzędnik UODO powinien okazać legitymację służbową oraz imienne upoważnienie, gdzie powinny się znaleźć następujące informacje:
- oznaczenie kontrolowanego podmiotu
- data rozpoczęcia i przewidywanego zakończenia kontroli.
Jakie prawa ma urzędnik UODO a polityka ochrony danych osobowych
Kontrola UODO ma prawo do:
- przebywania w godzinach 6 -22 na terenie kontrolowanej firmy
- wglądu do wszelkich dokumentów i wszelkich informacji mających bezpośredni związek z przedmiotem kontroli
- przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych przetwarzających dane osobowe
- żądania pisemnych lub ustnych wyjaśnień związanych z tematem kontroli
- przesłuchiwania pracowników w celu ustalenia faktów
- zlecania ekspertyz i opinii.
Ile może trwać kontrola?
Kontrola UODO nie może trwać dłużej niż 30 dni od okazania upoważnienia. Zazwyczaj trwa około 5 dni. Na długość kontroli wpływa jej zakres (czy jest to kontrola całej firmy, czy tylko wybranego segmentu) oraz złożoność prowadzonej działalności w kontekście przetwarzania danych osobowych.
Protokół z kontroli
Przebieg czynności kontrola z UODO przedstawia w protokole kontroli, który podpisuje. Taki protokół zostaje przekazany do podmiotu kontrolowanego, który ma 7 dni, aby zająć stanowisko wobec jego treści. Kontrolowany może go podpisać lub złożyć pisemne zastrzeżenia do wniosków wynikających z protokołu. Jeżeli nie wykona żadnej z powyższych czynności, to oznacza odmowę podpisania protokołu.
Zakończenie kontroli
Jeżeli kontrolowany nie podpisał protokołu i nie przekazał zastrzeżeń do jego treści, kontrolę kończy uczynienie wzmianki o tym w protokole. Następnie, organ nadzorczy dokonuje oceny zgromadzonego materiału. Jeśli stwierdzi, że mogło dojść do naruszenia przepisów o ochronie danych, wszczyna postępowanie administracyjne.