Wszystko, co trzeba wiedzieć o Generalnym Inspektorze Ochrony Danych Osobowych

Podobne dokumenty
Kontrola GIODO w firmie

Ustawa. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw

USTAWA z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw 1)

SPRAWOZDANIE KOMISJI SPRAWIEDLIWOŚCI I PRAW CZŁOWIEKA

Zarządzenie 132/2015. Burmistrza Miasta i Gminy Ogrodzieniec z dnia 10 września 2015 r.

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

POJĘCIE, ZAKRES I TRYB SPRAWDZENIA PRZEPROWADZANEGO NA ZLECENIE GIODO

Organami, które najczęściej mogą zainicjować kontrolę w placówce, są:

Uprawnienie do przeprowadzania kontroli mają zarówno organy nadzoru geodezyjnego oraz

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Wydawanie upoważnień do przetwarzania danych osobowych 1

Warszawa, dnia 27 grudnia 2012 r. Poz Rozporządzenie. z dnia 11 grudnia 2012 r.

Warszawa, dnia 12 stycznia 2012 r. Pozycja 34. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji 1) z dnia 7 października 2011 r.

ROZPORZĄDZENIE MINISTRA PRACY I POLITYKI SPOŁECZNEJ 1)

Warszawa, dnia 28 kwietnia 2014 r. Poz. 551 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH 1) z dnia 24 kwietnia 2014 r.

ZARZĄDZENIE NR 1626/2005 PREZYDENTA MIASTA KRAKOWA Z DNIA 9 września 2005 r.

ZARZĄDZENIE NR 69/2016 WÓJTA GMINY WIELISZEW. z dnia 7 czerwca 2016 r.

ROZPORZĄDZENIE MINISTRA NAUKI I INFORMATYZACJI 1) z dnia 13 października 2005 r. w sprawie przeprowadzania kontroli podmiotu publicznego

O potrzebie wzmocnienia kompetencji Generalnego Inspektora Ochrony Danych Osobowych w zakresie bezpieczeństwa państwa

Kontrola przestrzegania przepisów o ochronie danych osobowych. zasady, zakres, przebieg. Piotr Glen Inspektor ochrony danych

Regulamin Komisji Rewizyjnej Rady Gminy Dopiewo. Rozdział I Postanowienia ogólne

1. Regulamin określa szczegółowe warunki i tryb przeprowadzania kontroli przez wyodrębnioną komórkę organizacyjną Urzędu Gminy Polkowice.

4. O zakresie i terminie kontroli organ kontroli zawiadamia pisemnie kontrolowanego. 5. Kontrola jest prowadzona przez co najmniej dwie osoby.

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

Jak przetwarzać dane sensytywne zgodnie z RODO w gabinecie lekarskim 1

Od 1 stycznia 2015 r. zaczęły obowiązywać znowelizowane przepisy ustawy o ochronie danych osobowych

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW. z dnia 27 kwietnia 2011 r.

Działalność kontrolno-nadzorcza inspektora pracy

Zarządzenie nr 02/2010 Pomorskiego Kuratora Oświaty z dnia 12 stycznia 2010 r.

4 wzory oświadczeń pacjenta, których nie może zabraknąć w dokumentacji medycznej

UMOWA nr POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Urząd Miasta Gorzowa Wielkopolskiego Wydział Komunikacji

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

4 wzory oświadczeń pacjenta, których nie może zabraknąć w dokumentacji medycznej

ROZPORZĄDZENIE MINISTRA FINANSÓW 1) z dnia 15 stycznia 2010 r.

Kontrola sposobu gospodarowania odpadami komunalnymi

DBMS Kim jesteśmy?

1. Co należy do najważniejszych zadań Inspekcji Handlowej?

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Zarządzenie Nr 5003/10 Prezydenta Miasta Płocka z dnia 23 sierpnia 2010 roku

Zakres podmiotowy kontroli skarbowej obejmuje: - podatników, - płatników, - inkasentów, - osoby trzecie, - następców prawnych,

ZARZĄDZENIE NR 126/GKM/17 BURMISTRZA MIASTA CHEŁMŻY z dnia 20 listopada 2017 r.

Ewidencja osób upoważnionych do przetwarzania danych wskazówki jak ją prowadzić i gotowy wzór

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Metodyka pracy administratora bezpieczeństwa informacji

Załącznik do Zarządzenia Nr 7/2014 Prezydenta Miasta Konina z dnia 30 stycznia 2014 r.

z dnia 2014 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych

kontroli nad przestrzeganiem art. 155 ustawy z dnia 14 grudnia 2012 r. o odpadach (t.j.dz.u r. poz.21 ).

Jak przygotować się do kontroli. dr inż. Marzena Arndt-Dybko Z-ca Kierownika Oddziału Higieny Pracy

Dz.U Nr 96 poz ROZPORZĄDZENIE PREZESA RADY MINISTRÓW

ST~ft)TA Ja1fwWźak. w sprawie ustalenia Regulaminu przeprowadzania kontroli przedsiębiorców

REGULAMIN organizacji i trybu przeprowadzania kontroli wewnętrznej Starostwa Powiatowego w Raciborzu

Kontrola przedsiębiorców (wybrane zagadnienia)

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

Instrukcja w sprawie szczegółowych zasad przeprowadzania kontroli administracyjnej w Urzędzie Gminy Polkowice

Umowa powierzenia przetwarzania danych osobowych

Warszawa, dnia 26 października 2018 r. Poz. 2054

Warszawa, dnia 27 grudnia 2016 r. Poz ROZPORZĄDZENIE MINISTRA ENERGII 1) z dnia 15 grudnia 2016 r.

Przepisy prawne dot. kontroli indywidualnych palenisk (osoby fizyczne i osoby prawne)

ROZPORZĄDZENIE MINISTRA FINANSÓW. z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego

PROCEDURY ORGANIZACYJNO-ADMINISTRACYJNE KONTROLI

Warszawa, dnia 5 sierpnia 2013 r. Poz. 639

ZARZĄDZENIE NR SO BURMISTRZA MIASTA SANDOMIERZA z dnia 03 kwietnia 2014 roku

ZARZĄDZENIE NR 115/2016 Wójta Gminy Wręczyca Wielka z dnia 24 listopada 2016 roku

Umowa powierzenia przetwarzania danych osobowych

URZĄD MIASTA ŁODZI DEPARTAMENT OBSŁUGI I ADMINISTRACJI WYDZIAŁ PRAW JAZDY I REJESTRACJI POJAZDÓW. Schematy kontroli zewnętrznej

- WZOR UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH - ZADANIE 3. (nazwa podmiotu, z którym zawierana jest umowa)..., reprezentowanym przez :

ZARZĄDZENIE NR RC /2013 PREZYDENTA MIASTA RACIBÓRZ - KIEROWNIKA URZĘDU MIASTA. z dnia 19 sierpnia 2013 r.

OGÓLNY SCHEMAT PROCEDUR KONTROLI PRZEDSIĘBIORCÓW PROWADZĄCYCH OŚRODKI SZKOLENIA KIEROWCÓW

Umowa nr powierzenia przetwarzania danych osobowych w związku z realizacją

ZAWIADOMIENIE O KONTROLI /WZÓR/ ZAWIADOMIENIE O KONTROLI

M I N I S T R A P R A C Y I P O L I T Y K I S P O Ł E C Z N E J 1) z dnia r.

D R U K I I Z A Ł Ą C Z N I K I

projekt Prezydenta Miasta Krakowa UCHWAŁA NR RADY MIASTA KRAKOWA z dnia

ROZPORZĄDZENIE MINISTRA FINANSÓW. z dnia 24 czerwca 2006 r.

ZARZĄDZENIE NR WÓJTA GMINY MIASTKOWO z dnia 7 sierpnia 2015 roku

Umowa powierzenia przetwarzania danych osobowych nr

Umowa powierzenia przetwarzania danych osobowych. zawarta w dniu.. w Drzewicy (dalej zwana także Umową Powierzenia ).

Zarządzenie Nr 12/2015 Burmistrza Suraża z dnia 15 kwietnia 2015 r.

Rozdział I - Przepisy ogólne

ROZPORZĄDZENIE MINISTRA TRANSPORTU I BUDOWNICTWA 1) z dnia 19 stycznia 2006 r.

II Lubelski Konwent Informatyków i Administracji r.

WARSZTATY PRZYGOTOWUJĄCE DO OBJĘCIA FUNKCJI ABI I ASI. NOWE ZADANIA - SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH.

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Wydział Komunikacji Urzędu Miasta Gorzowa Wlkp.

ZARZĄDZENIE NR WÓJTA GMINY GRĘBOCICE. z dnia 1 czerwca 2016 r.

UCHWAŁA NR 50/2014 KRAJOWEJ KOMISJI NADZORU. z dnia 19 listopada 2014 roku. w sprawie procedur organizacyjno-administracyjnych kontroli

Załącznik Nr 1 do Zarządzenia Nr 23/2011 Burmistrza Miasta i Gminy Nowe Miasto nad Pilicą z dnia 23 marca 2011 r.

Program szkolenia - Rejestracja i bezpieczeństwo danych osobowych

Umowa powierzenia przetwarzania danych osobowych

Zarządzenie Nr 64/09 Wójta Gminy Regimin z dnia 15 września 2009 roku

Jak dostosować formularze zgód pacjenta do RODO wraz z gotową checklistą 1

Nowe obowiązki Administratora Bezpieczeństwa Informacji sprawdzenie

OCHRONA DANYCH OSOBOWYCH

Lp. Zgłoszona uwaga do paragrafu rozporządzenia Zgłaszający Stanowisko. Ad. 3. ust. 2 pkt. 1 i 2

Warszawa, dnia 25 września 2015 r. Poz rozporządzenie. z dnia 21 sierpnia 2015 r.

Umowa powierzenia przetwarzania danych osobowych nr

Transkrypt:

Czym zajmuje się Generalny Inspektor Danych?... 2 Jakie uprawnienia ma GIODO?... 2 Kiedy może dojść do kontroli?... 3 Jak długo trwa kontrola GIODO?... 3 Jak wygląda kontrola GIODO?... 4 Czy kontrola GIODO jest wcześniej zapowiadana?... 4 Kto prowadzi kontrole?... 5 Czy w czasie kontroli pracownicy mogą być przesłuchiwani przez inspektorów w charakterze świadków?... 6 Czy z kontroli zostaje sporządzony protokół?... 6 Czy administrator danych osobowych ma wgląd do tego protokołu?... 6 Jakie kary może nakładać GIODO?... 7 Jakie są konsekwencje niewykonania decyzji GIODO?... 7 Kiedy GIODO może zwrócić się do ABI o przeprowadzenie sprawdzenia?... 8 Ile czasu ABI ma na przeprowadzenie takiego sprawdzenia?... 8 Czy sprawdzenie dla GIODO powinno przebiegać tak samo jak sprawdzenie planowe?... 9 Czy ze sprawdzenia dla GIODO trzeba przygotować sprawozdanie?... 10 Czy sprawozdanie z takiego sprawdzenia trzeba przekazać do GIODO?... 10 1

Generalny Inspektor Ochrony Danych (w skrócie GIODO) to organ administracji publicznej, który zajmuje się sprawami ochrony danych osobowych w Polsce. GIODO działa na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922). Generalny Inspektor Ochrony Danych jest powoływany przez Sejm. Obecnie Generalnym Inspektorem Ochrony Danych jest dr Edyta Bielak-Jomaa. Swoją funkcję pełni od 22 kwietnia 2015 r. Kadencja GIODO trwa 4 lata. Zgodnie z ustawą o ochronie danych osobowych do zadań Generalnego Inspektora Ochrony Danych należy: 1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, 3) zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym, wynikających z wydanych decyzji, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji, 4) prowadzenie rejestru zbiorów danych oraz rejestru administratorów bezpieczeństwa informacji, a także udzielanie informacji o zarejestrowanych zbiorach danych i zarejestrowanych administratorach bezpieczeństwa informacji, 5) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych, 6) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, 7) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych. Do podstawowych zadań Generalnego Inspektora Ochrony Danych należy przede wszystkim kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych oraz wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych. Zadania te organ wykonuje przy pomocy Biura GIODO, którego pracownicy ( inspektorzy ) mają m.in. prawo: 1) wstępu, w godzinach od 6.00 do 22.00, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym jest zbiór danych osobowych lub są przetwarzane dane i przeprowadzenia niezbędnych czynności kontrolnych, 2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego, 2

3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii, 4) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych osobowych, 5) zlecać sporządzanie ekspertyz i opinii. Kontrola Generalnego Inspektora Ochrony Danych może być wynikiem zawiadomienia tego organu przez podmiot trzeci o nieprawidłowościach w przetwarzaniu danych osobowych przez konkretnego administratora danych. Generalny inspektor może także wszcząć kontrolę z urzędu, jeśli samodzielnie uzyska informację o takich nieprawidłowościach. Najczęściej jest to wynik innej, uprzednio przeprowadzonej kontroli. Oba te rodzaje kontroli są więc inicjowane w wyniku zaistnienia określonych, nieprzewidzianych wcześniej zdarzeń. Niezależnie od tych dwóch trybów kontroli Generalny Inspektor Ochrony Danych przeprowadza także, przewidziane wcześniej, kontrole zaplanowane. Na każdy rok GIODO przygotowuje listę takich tzw. kontroli sektorowych, zapowiadając, jakie kategorie podmiotów mogą się spodziewać szczególnego zainteresowania tego organu ich działalnością z zakresu przetwarzania danych osobowych. Typując kategorie, Generalny Inspektor Ochrony Danych kieruje się m.in. społecznym zainteresowaniem tego typu problemami. Jeżeli GIODO otrzymał skargi dotyczące konkretnych uchybień w procesie przetwarzania danych osobowych, to kontrola ma charakter kontroli częściowej, tj. dotyczy tylko wybranych zagadnień. Tak było np. w przypadku wypożyczalni sprzętu narciarskiego, które żądały pozostawiania dowodów tożsamości w zamian za wypożyczanie sprzętu. O sprawie szeroko informowały media. Generalny Inspektor Ochrony Danych uznał, że taka praktyka jest niezgodna z prawem i zapowiedział kontrole w całym sektorze. Możliwa jest jednak także kontrola kompleksowa, do której dochodzi najczęściej w wyniku kontroli zaplanowanych. Inspektorzy Biura Generalnego Inspektora Ochrony Danych mogą przeprowadzać kontrolę bez uprzedzenia, w godzinach od 6.00 do 22.00. Generalnie termin kontroli jest ustalany przez GIODO, podobnie jak planowany czas jej trwania. Ustawa o ochronie danych osobowych nie ustanawia limitu czasu, przez jaki organ może kontrolować dany podmiot. Należy jednak pamiętać, że przepisy ustawy o ochronie danych osobowych nie są jedynymi, jakie mają zastosowanie przy kontroli prowadzonej przez ten organ. 3

Zgodnie bowiem z ustawą z 2 lipca 2004 r. o swobodzie działalności gospodarczej istnieją limity czasowe w odniesieniu do kontroli odbywających się u przedsiębiorców. I tak, organ przy ustalaniu terminu i czasu kontroli ma obowiązek uwzględnić takie jej parametry, jak: rodzaj kontroli (kompleksowa, częściowa), zakres przedmiotowy kontroli czy wielkość podmiotu kontrolowanego. Czas trwania czynności kontrolnych może w zależności od okoliczności faktycznych danego przypadku ulegać skróceniu, ale i przedłużeniu. Kontrola jest przeprowadzana przez Generalnego Inspektora Ochrony Danych zasadniczo w głównej siedzibie podmiotu kontrolowanego. Jeżeli jednak podmiot kontrolowany przetwarza dane osobowe również w innych lokalizacjach, to także tam mogą zawitać inspektorzy Biura GIODO. Takim miejscem kontroli może więc być np. miejsce przechowywania kopii zapasowej dokumentacji zawierającej dane osobowe. Przed rozpoczęciem kontroli, tj. przed podjęciem pierwszej czynności kontrolnej, inspektor zamierzający przeprowadzić kontrolę powinien wcześniej zgłosić swoją obecność kontrolowanemu. W toku samej kontroli inspektorzy mogą wejść na teren kontrolowanego podmiotu oraz do pomieszczeń, w których zlokalizowany jest zbiór danych, oraz do pomieszczeń, w których przetwarzane są dane poza zbiorem. Ponadto inspektor może także dokonywać: 1) oględzin budynków, pomieszczeń lub części pomieszczeń, stanowisk pracy tworzących obszar, w którym przetwarzane są dane osobowe, 2) oględzin przebiegu procesu przetwarzania danych osobowych, 3) niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą. Ustawa o ochronie danych osobowych nie nakłada na Generalnego Inspektora Ochrony Danych obowiązku uprzedniego zapowiedzenia kontroli podmiotowi kontrolowanemu. Takie powiadomienie jest jednak wskazane ze względu chociażby na konieczność zapewnienia efektywności tej kontroli. Uprzedzony o kontroli administrator danych ma możliwość przygotowania się do kontroli, w tym sprawdzenia dokumentacji czy poprawy drobnych nieprawidłowości. Podmiot kontrolowany może także przygotować się logistycznie (np. zapewnić pomieszczenie dla inspektorów, obecność osób pomagających w wyjaśnieniu wątpliwości inspektorów). Oczywiście takie 4

podejście jest prawidłowe przy założeniu, że celem kontroli jest rzeczywista poprawa stanu przetwarzania danych osobowych, a nie wpływów do budżetu państwa z tytułu kar. Generalny Inspektor Ochrony Danych ma możliwość przeprowadzenia kontroli bez uprzedzenia zawsze, jeżeli okoliczności sprawy wskazują, że kontrolowany mógłby ukryć dowody, które świadczą o popełnieniu przez niego czynu zabronionego wskazanego w ustawie. W przypadku przedsiębiorców zastosowanie znajdą także regulacje ustawy z 2 lipca 2004 r. o swobodzie działalności gospodarczej, które nakazują wszcząć kontrolę nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli. Kontrolę wykonują inspektorzy Biura Generalnego Inspektora Ochrony Danych. Przed wykonaniem jakiejkolwiek czynności kontrolnej inspektor musi okazać przedstawicielowi podmiotu kontrolowanego dwa dokumenty: 1) legitymację służbową, 2) upoważnienie wystawione przez Generalnego Inspektora Ochrony Danych lub jego zastępcę. Inspektorzy nie mogą więc prowadzić kontroli wyłącznie na podstawie legitymacji służbowej. Upoważnienie jest imienne i zawiera: 1) wskazanie podstawy prawnej przeprowadzenia kontroli, 2) oznaczenie organu kontroli, 3) imię i nazwisko, stanowisko służbowe osoby upoważnionej do przeprowadzenia kontroli oraz numer jej legitymacji służbowej, 4) określenie zakresu przedmiotowego kontroli, 5) oznaczenie podmiotu objętego kontrolą albo zbioru danych, albo miejsca poddawanego kontroli, 6) wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia kontroli, 7) podpis generalnego inspektora, 8) pouczenie kontrolowanego podmiotu o jego prawach, 9) datę i miejsce wystawienia imiennego upoważnienia. 5

Inspektor Biura Generalnego Inspektora Ochrony Danych ma prawo w czasie trwania postępowania kontrolnego wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego. W związku z tym pracownicy kontrolowanego podmiotu mają prawny obowiązek złożyć zeznania na okoliczności istotne dla kontroli prowadzonej przez inspektora Biura GIODO. Inspektor Biura Generalnego Inspektora Ochrony Danych ma obowiązek sporządzić protokół z przeprowadzonych przez niego czynności kontrolnych. Jeden egzemplarz protokołu doręcza kontrolowanemu administratorowi danych. Protokół kontroli powinien zawierać m.in.: 1) oznaczenie podmiotu kontrolowanego, 2) oznaczenie inspektora, 3) datę rozpoczęcia i zakończenia czynności kontrolnych, 4) określenie przedmiotu i zakresu kontroli, 5) opis stanu faktycznego stwierdzonego w toku kontroli, 6) omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień, 7) wzmiankę o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu, 8) datę i miejsce podpisania protokołu przez inspektora oraz przez osobę lub organ reprezentujący podmiot kontrolowany. Protokół podpisują inspektor i kontrolowany administrator danych, który może wnieść do protokołu umotywowane zastrzeżenia i uwagi. Jeżeli kontrolowany administrator danych odmówił podpisania protokołu, inspektor czyni o tym wzmiankę w protokole, a odmawiający podpisu może, w terminie 7 dni, przedstawić swoje stanowisko na piśmie Generalnemu Inspektorowi Ochrony Danych. Tak, administrator danych ma wgląd do protokołu kontrolnego. Wynika to z faktu, że powinien parafować każdą stronę protokołu i podpisać protokół na końcu. 6

Czytając protokół sporządzony przez inspektora Biura GIODO, administrator danych ma prawo zgłaszać na bieżąco swoje zastrzeżenia i uwagi. Powinny zostać one wzmiankowane w protokole przez przeprowadzającego kontrolę inspektora. Często w praktyce zdarza się, że inspektor zgadzając się z poszczególnymi zastrzeżeniami lub uwagami, naniesie je na tekst protokołu, tworząc jego ostateczną wersję do podpisu. Oczywiście także i wówczas, w razie nieuwzględnienia konkretnych zastrzeżeń lub uwag, administrator danych ma prawo żądać wpisania wzmianki o ich wniesieniu. W obecnym stanie prawnym żaden przepis nie daje podstaw do nakładania przez Generalnego Inspektora Ochrony Danych kar finansowych, np. za niezgłoszenie zbioru danych osobowych do rejestracji. Ustawa o ochronie danych osobowych przewiduje za to odpowiedzialność karną, ale o niej rozstrzyga sąd, a nie GIODO. Sąd może w konsekwencji uznania administratora danych za winnego m.in. nałożyć na niego karę grzywny. Natomiast art. 12 pkt 3 ustawy o ochronie danych osobowych pozwala Generalnemu Inspektorowi Ochrony Danych na nakładanie tzw. grzywny w celu przymuszenia na podmioty, które nie wykonują jego decyzji administracyjnych. Stosowanie tego rodzaju grzywny reguluje ustawa o postępowaniu egzekucyjnym w administracji. Po rozpoczęciu stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE kary będą dotkliwsze. GIODO będzie mógł na przykład nałożyć grzywnę do wysokości 10 mln euro lub w przypadku przedsiębiorstwa do 2% jego rocznego światowego obrotu jeśli podmiot działa umyślnie lub lekkomyślnie i przetwarza dane osobowe bez żadnej lub wystarczającej podstawy prawnej przetwarzania. W przypadku poważniejszych naruszeń kary wyniosą do 20 mln euro lub w przypadku przedsiębiorstwa do 4% jego rocznego światowego obrotu. Na podmiot, który nie wykonuje decyzji administracyjnej Generalnego Inspektora Ochrony Danych może nałożyć grzywnę w celu przymuszenia, przy czym: 1) każdorazowo nałożona grzywna nie może być wyższa niż 10 tys. złotych, a w stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej nie może być wyższa niż 50 tys. złotych. 7

2) grzywny nakładane wielokrotnie nie mogą łącznie przekroczyć kwoty 50 tys. złotych, a w stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej kwoty 200 tys. złotych. Obowiązek uiszczenia nałożonej grzywny nie przechodzi na spadkobierców osoby ukaranej grzywną. Podmiot, który wykonał w końcu decyzję, może wnioskować o zwrot uiszczonej lub ściągniętej grzywny w wysokości 75 lub 100%. Innymi środkami przymusu, jakimi może się posłużyć Generalny Inspektor Ochrony Danych, są: wykonanie zastępcze, odebranie rzeczy ruchomej oraz przymus bezpośredni. Możliwości te w praktyce są rzadko wykorzystywane przez Generalnego Inspektora Ochrony Danych. Ustawa o ochronie danych osobowych zezwala Generalnemu Inspektorowi Ochrony Danych na zwrócenie się do administratora bezpieczeństwa informacji wpisanego do rejestru o dokonanie tzw. sprawdzenia u administratora danych, który go powołał. Chodzi tu o sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Zwrócenie się przez Generalnego Inspektora Ochrony Danych do ABI następuje w formie pisemnej. Organ wskazuje zakres sprawdzenia, który może być różnie określony, np. jako konkretne zagadnienie czy jakaś kategoria przetwarzanych danych osobowych. Przepisy nie ograniczają Generalnemu Inspektorowi Ochrony Danych możliwości zwrócenia się o dokonanie sprawdzenia. Organ może to więc zrobić w każdym czasie. Jak wynika z ostatniego sprawozdania z działalności GIODO, w 2015 roku organ zwrócił się do 13 administratorów bezpieczeństwa informacji o przeprowadzenie sprawdzenia u administratora danych, który go powołał. 8

Generalny Inspektor Ochrony Danych powinien w swoim piśmie wskazać zakres i termin sprawdzenia. Gdy administrator bezpieczeństwa informacji dokona sprawdzenia, wówczas opracowuje w tym zakresie sprawozdanie dla administratora danych. Administrator danych przekazuje zaś sprawozdanie z przeprowadzonego sprawdzenia do GIODO. Sprawozdanie powinno zawierać m.in. określenie daty rozpoczęcia i zakończenia sprawdzenia przez administratora bezpieczeństwa informacji. Generalny Inspektor Ochrony Danych kieruje do administratora bezpieczeństwa informacji także pouczenie dotyczące sposobu dokonania sprawdzenia, które może zawierać wytyczne co do kolejności czynności lub np. możliwości przedłużenia czasu dokonywania sprawdzenia w przypadku konieczności wykonania dodatkowych czynności. Istnieją dwa rodzaje sprawdzeń dokonywane przez administratora bezpieczeństwa informacji: 1) na zlecenie Generalnego Inspektora Ochrony Danych, 2) dla administratora danych. Sprawdzenia dla administratora danych jest przeprowadzane przez administratora bezpieczeństwa informacji w trybie sprawdzenia planowego. ABI ma plan określający przedmiot, zakres i termin przeprowadzenia poszczególnych sprawdzeń oraz sposób i zakres ich dokumentowania. W przypadku sprawdzeń dokonywanych na zlecenie Generalnego Inspektora Ochrony Danych takiego planu nie ma. Zlecenie dokonania sprawdzenia przez GIODO może przyjść w każdym czasie, ale będzie ono zawierało praktycznie te same elementy sprawdzenia, które są zapisane w planie sprawdzenia dla administratora danych. Można więc powiedzieć, że sprawdzenie dla GIODO będzie przebiegało tak samo jak sprawdzenie planowe. Wynika to przede wszystkim z faktu, że efekt finalny tego sprawdzenia sprawozdanie ma zawierać takie same informacje niezależnie od tego, czy jest sporządzane dla ADO, czy też GIODO (art. 19b ust. 2 ustawy o ochronie danych osobowych). Należy pamiętać, że dokonanie przez administratora bezpieczeństwa informacji sprawdzenia nie wyłącza prawa Generalnego Inspektora Ochrony Danych do przeprowadzenia kontroli zgodności przetwarzania danych osobowych z przepisami prawa. 9

Tak. Po dokonaniu sprawdzenia, na żądanie Generalnego Inspektora Ochrony Danych administrator bezpieczeństwa informacji, za pośrednictwem administratora danych, przedstawia GIODO sprawozdanie. Sprawozdanie to ma zawierać takie same informacje jak sprawozdanie dokonywane na rzecz administratora danych osobowych, a więc: 1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, 2) imię i nazwisko administratora bezpieczeństwa informacji, 3) wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach, 4) datę rozpoczęcia i zakończenia sprawdzenia, 5) określenie przedmiotu i zakresu sprawdzenia, 6) opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 7) stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem, 8) wyszczególnienie załączników stanowiących składową część sprawozdania, 9) podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania, 10) datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji. Tak. Po dokonaniu sprawdzenia przez administratora bezpieczeństwa informacji opracowuje on sprawozdanie, które za pośrednictwem administratora danych jest przekazywane Generalnemu Inspektorowi Ochrony Danych. Wynika to bezpośrednio z przepisu prawa, a GIODO poucza o tym obowiązku w swoim żądaniu przeprowadzenia sprawdzenia. Gdy GIODO otrzyma i przeanalizuje sprawozdanie, może uznać sprawę objętą sprawozdaniem za zakończoną poprzez jej dostateczne wyjaśnienie. Wówczas nie zostaną podjęte przez organ żadne dalsze czynności kontrolne. Jednak w razie niewystarczającej zawartości sprawozdania lub jego niepokojących rezultatów Generalny Inspektor Ochrony Danych ma prawo wszcząć kontrolę doraźną. 10

Zakres tej kontroli nie jest przy tym zdeterminowany zakresem dokonywanego wcześniej sprawdzenia. Oznacza to, że kontrola może być przekrojowa (ogólna). Dzieje się tak na przykład, gdy sprawozdanie dotyczące konkretnego zbioru danych osobowych ujawniło jakieś nieprawidłowości, które w ocenie Generalnego Inspektora Ochrony Danych mogą być powielane także przy przetwarzaniu danych osobowych w innych zbiorach. Autor: Marcin Sarna 11

Redaktor: Wioleta Szczygielska ISBN: 978-83-269-6320-9 E-book nr: Wydawnictwo: Adres: Kontakt: 2HH0567 Wydawnictwo Wiedza i Praktyka sp. z o.o. 03-918 Warszawa, ul. Łotewska 9a Telefon 22 518 29 29, faks 22 617 60 10, e-mail: cok@wip.pl NIP: 526-19-92-256 Numer KRS: 0000098264 Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy XIII Wydział Gospodarczy Rejestrowy. Wysokość kapitału zakładowego: 200.000 zł Copyright by: Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2017 12

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres