Kontrola GIODO w firmie Ochrona danych osobowych to zagadnienie, z którym powinna zmierzyć się każda firma. W praktyce bowiem każda ma z nimi do czynienia. Przepisy ustawy o ochronie danych osobowych nakładają na wszystkich administratorów danych obowiązek ich przetwarzania zgodnie z prawem. ADO (administrator danych osobowych) w związku z tym musi liczyć się z ewentualną kontrolą Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Jak wygląda kontrola GIODO w firmie? Co obejmuje? Czy ADO jest o niej uprzedzany? Wyjaśniamy poniżej. Kontrola jako jeden z obowiązków GIODO Jak wynika z art. 12 pkt 1 ustawy o ochronie danych osobowych jednym z podstawowych obowiązków GIODO jest kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Głównym celem kontroli jest ustalenie stanu faktycznego w zakresie przestrzegania przez podmiot kontrolowany przepisów o ochronie danych osobowych oraz udokumentowanie dokonanych ustaleń. Kto dokonuje kontroli firmy w zakresie ochrony danych osobowych? Zgodnie z obowiązującymi przepisami kontroli dokonuje sam Generalny Inspektor Ochrony Danych Osobowych lub zastępca GIODO (gdy taki został powołany) albo upoważnieni przez GIODO pracownicy, określani inspektorami (art. 14 ustawy). Jednak w praktyce w skład zespołu kontrolnego wchodzą trzy osoby: dwóch prawników będących pracownikami Departamentu Inspekcji Biura GIODO; jeden informatyk będący pracownikiem Departamentu Informatyki Biura GIODO. W grudniu 2014 r. Państwowa Inspekcja Pracy podpisała porozumienie z Biurem GIODO, w ramach którego zobowiązuje się do zawiadamiania GIODO o stwierdzonych w czasie kontroli nieprawidłowościach w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych. GIODO z kolei ma informować PIP o wynikach postępowania w sprawie wskazanych nieprawidłowości.
GIODO lub jego inspektorzy przeprowadzają kontrolę w zakresie ochrony danych osobowych w siedzibie podmiotu kontrolowanego. Ponadto kontrola może być przeprowadzana w innych miejscach wykonywania przez ADO zadań w procesie przetwarzania danych. Rodzaje kontroli GIODO Można wyróżnić 5 rodzajów kontroli GIODO i jego inspektorów w firmie: Kontrola z urzędu - wykonywana z własnej inicjatywy GIODO w ramach wykonywania zadań kontrolnych nałożonych przez ustawę. Kontrola na wniosek - wykonywana przez GIODO na wniosek podmiotu zewnętrznego np. PIP, NIK, związki zawodowe, pracodawcy, osoba fizyczna itd. Kontrola częściowa - dotyczy zwykle poszczególnych zagadnień w procesie przetwarzania danych będących przedmiotem skargi. Kontrola kompleksowa - dotyczy wszystkich zbiorów danych osobowych prowadzonych przez kontrolowanego ADO oraz obejmuje swoim zakresem wszystkie wymogi określone w przepisach o ochronie danych osobowych, mające zastosowanie w działalności danego podmiotu. Kontrola sektorowa - może być częściowa lub kompleksowa. Jest wskazana przez GIODO w rocznym harmonogramie kontroli i dotyczy wybranej kategorii podmiotów lub zagadnień. Zapowiedź kontroli przez GIODO Ustawa o ochronie danych osobowych nie odnosi się wprost do obowiązku zapowiadania kontroli przez GIODO. Jednak w praktyce podmiot, który będzie podlegał kontroli powinien zostać o niej poinformowany, tak by mógł się do niej przygotować. Jedynie w wyjątkowych sytuacjach, wskazujących na to że podmiot lub osoba podlegająca kontroli mogłaby ukryć dowody świadczące o popełnieniu czynu zabronionego, inspektor może wszcząć kontrolę bez zapowiedzi. W przypadku podmiotów prowadzących działalnością gospodarczą zastosowanie znajdą przepisy ustawy o swobodzie działalności gospodarczej. Bowiem jak stanowi jej art. 79 ust. 4: Kontrolę wszczyna się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli. Jeżeli kontrola nie zostanie wszczęta w terminie 30 dni od dnia doręczenia zawiadomienia, wszczęcie kontroli wymaga ponownego zawiadomienia. Kontrola GIODO w firmie - zakres uprawnień Zakres uprawnień przysługujących kontrolerom został określony w art. 14 ustawy o ochronie danych osobowych. Zgodnie z jego treścią mają oni prawo: wstępu, w godzinach od 600 do 2200, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu 27-12-2016 2 / 5
oceny zgodności przetwarzania danych z ustawą; żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego; wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii; przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych. Administrator danych osobowych jest zobligowany do umożliwienia inspektorowi przeprowadzenia kontroli i wykonania czynności, o których mowa powyżej. Co podlega kontroli? Podczas kontroli inspektor zwraca szczególną uwagę na osiem aspektów: 1. przesłanki legalności przetwarzania danych osobowych (w tym danych wrażliwych); 2. zakres oraz cel przetwarzania danych; 3. merytoryczną poprawność oraz ich adekwatność do celu przetwarzania; 4. obowiązek informacyjny; 5. zgłoszenie zbioru do rejestracji; 6. przekazywanie danych do państwa trzeciego; 7. powierzenie przetwarzania danych osobowych; 8. zabezpieczenie danych. Kontrola GIODO w firmie - protokół z kontroli Kontrola GIODO w firmie musi zakończyć się protokołem. Co ważne protokół powinien zostać sporządzony w dwóch egzemplarzach. Jeden z nich powinien trafić do rąk administratora danych (ADO). Jakie dane powinien zawierać protokół pokontrolny GIODO? Zakres danych jaki powinien zostać uwzględniony w protokole pokontrolnym określa art. 15 ust. 1 ustawy o ochronie danych osobowych. Wśród obowiązkowych elementów wymienia: nazwę podmiotu kontrolowanego w pełnym brzmieniu i jego adres; 27-12-2016 3 / 5
Powered by TCPDF (www.tcpdf.org) Data: 1. W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień; 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych; 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe; 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego; 5) zabezpieczenie danych lub przekazanie ich innym podmiotom; 6) usunięcie danych osobowych. 2. Decyzje Generalnego Inspektora, o których mowa w ust. 1, nie mogą ograniczać swobody działania podmiotów zgłaszających kandydatów lub listy kandydatów w wyborach na urząd Prezydenta Rzeczypospolitej Polskiej, do Sejmu, do Senatu i do organów samorządu terytorialnego, a także w wyborach do Parlamentu Europejskiego, pomiędzy dniem zarządzenia wyborów a dniem głosowania. 2a. Decyzje Generalnego Inspektora, o których mowa w ust. 1, w odniesieniu do zbiorów określonych w art. 43 ust. 1 pkt 1a, nie mogą nakazywać usunięcia danych osobowych zebranych w toku czynności operacyjno-rozpoznawczych prowadzonych na podstawie przepisów prawa. 3. W przypadku gdy przepisy innych ustaw regulują odrębnie wykonywanie czynności, o których mowa w ust. 1, stosuje się przepisy tych ustaw. Copyright Wszystkie prawa zastrzeżone 2006-2016 Web INnovative Software Sp. z o.o., Bolesława Krzywoustego 105/21 51-166 Wrocław, biuro@wfirma.pl KRS 0000342082, NIP 8982167294, Kapitał 60 000zł 27-12-2016 5 / 5