Kontrola z UODO – cel i przebieg

9 miesięcy temu

Kontrola UODO związana jest z przestrzeganiem przepisów o ochronie danych osobowych, w szczególności RODO. Są one nieodłącznym elementem działań organów nadzorczych. Pozwalają one nie tylko na weryfikację zgodności działania administratorów z przepisami prawa, ale też mają walor prewencyjny. Wdrażamy system ochrony danych, aby zapewnić zgodność przetwarzania danych z przepisami prawa oraz zabezpieczyć się na wypadek potencjalnej kontroli. Ponieważ kontroli spodziewać może się zasadniczo każdy administrator, warto zrozumieć, kiedy takie działania organu nadzorczego mogą mieć miejsce i jak należy się do nich przygotować, aby zapewnić prawidłowy przebieg i uniknąć ewentualnych nieprzyjemności.

Kiedy można spodziewać się kontroli?

Zasady prowadzenia kontroli przez Prezesa Urzędu Ochrony Danych Osobowych określono w ustawie z 10.05.2018 r. o ochronie danych osobowych. W oparciu o przepisu tej ustawy wyróżnić możemy dwa rodzaje kontroli, tzn.:

  • kontrole planowe, a także
  • kontrole doraźne.

Kontrole planowe jak sama nazwa wskazuje, realizowane są według pewnego z góry określonego planu. Planem takim jest corocznie przyjmowany przez Prezesa UODO oraz publikowany na jego stronie internetowej plan kontroli sektorowych. Wskazuje on na sektory, które będą cieszyły się szczególnym zainteresowaniem ze strony organu. Aktualny plan kontroli na 2024 oku znajduje się na stronie UODO.

Innym powodem podjęcia kontroli mogą być informacje, które docierają do Prezesa UODO i prowadzony przez niego monitoring przestrzegania RODO. Takie kontrole nazywane są mianem kontroli doraźnych, co wynika przede wszystkim z faktu, iż podejmowane są one przez Prezesa UODO w odpowiedzi na otrzymane przez niego informacje o nieprawidłowościach, do których może dochodzić u danego administratora. Źródłem tych informacji mogą być skargi od podmiotów danych, ale też doniesienia medialne, czy choćby zgłoszenia od samych administratorów danych, którzy mają prawny obowiązek zawiadamiania organu o naruszeniach ochrony danych, chyba iż nie występuje ryzyko naruszenia praw lub wolności. Przykładem takiej doraźnej kontroli, o której w ostatnim czasie było głośno jest kontrola doraźna przeprowadzona przez organ nadzorczy po wycieku z laboratorium ALAB.

Nie każde zgłoszenie podlega kontroli

Trzeba jednak stanowczo podkreślić i uspokoić administratorów. Nie każde zgłoszenie naruszenia ochrony danych osobowych do Prezesa UODO i nie każda skarga na administratora ze strony podmiotu danych, powodować będzie wszczęcie kontroli przez ten organ. Kontrola to tylko jedno z szeregu narzędzi, którymi dysponuje ten organ i to narzędzie, które jest stosunkowo rzadko wykorzystywane. Bardzo dobrze ilustruje to sprawozdanie Prezesa UODO za rok 2022 (ostatnie z dostępnych w tej chwili sprawozdań), w którym wskazano, iż kontrole w zakresie przestrzegania przepisów dotyczących ochrony danych osobowych w 2022 roku przeprowadzono zaledwie w 40 podmiotach, w tym jedynie 8 z takich kontroli związanych było ze zgłoszonym przez administratora naruszeniem ochrony danych. Żeby dobrze pokazać jak niewielka jest skala tych kontroli wypada wspomnieć, iż w 2022 r. do Urzędu Ochrony Danych Osobowych wpłynęło 12 772 zgłoszeń naruszeń.

Kiedy zatem można spodziewać się kontroli doraźnej? Przede wszystkim wówczas, gdy skala powstałego u nas naruszenia jest duża i dotyczy znacznej liczby osób. Niewątpliwie szczególnemu zainteresowaniu ze strony Prezesa UODO sprzyjać będzie też brak współpracy z naszej strony. W tym brak wyczerpujących wyjaśnień lub ewidentne zatajanie pewnych informacji przed organem.

Przygotowania do kontroli

Kontrola UODO nigdy nie jest łatwym doświadczeniem. Towarzyszy jej zwykle olbrzymi stres i niepewność, czy na pewno wszystko w naszej organizacji działa prawidłowo. Warto jednak zdawać sobie sprawę, iż prowadzenie takich kontroli nie jest też najprzyjemniejszą rzeczą dla pracowników Urzędu, którzy tak jak my są ludźmi. Powinniśmy zatem przede wszystkim postawić na rzeczową współpracę z kontrolującymi i nie traktować ich jak naszych wrogów.

Z naszej dotychczasowej praktyki wynika, iż Prezes Urzędu Ochrony Danych Osobowych każdorazowo uprzedza podmiot kontrolowany o zamiarze kontroli. Jest to standardowa praktyka, ale wątpliwości budzi ocena czy zawiadomienie takie jest obowiązkiem Prezesa UODO, czy też jedynie przejawem jego dobrej woli. Zawiadomienie takie trafia zwykle do podmiotu kontrolowanego co najmniej na 7 dni przed kontrolą i wskazuje jej zakres.

Po otrzymaniu takiego dokumentu warto opracować swój wewnętrzny plan kontroli, a mianowicie przygotować dokumenty, którymi będzie zainteresowany organ nadzorczy. o ile np. kontrola ma obejmować realizację obowiązku informacyjnego warto przygotować treści takich obowiązków, procedurę ich opracowywania i realizowania, tak aby w dniu kontroli móc ją spokojnie przekazać kontrolującemu. Istotnym ułatwieniem w przebiegu kontroli będzie też wyznaczenie przez administratora osoby w organizacji, która będzie koordynowała cały ten proces. Oczywiście o kontroli powiadamia się inspektora ochrony danych, o ile go wyznaczono.

Ważne! Zawiadomienie o planowanej kontroli to dobry sposób, aby ww. dokumenty zgromadzić w jednym miejscu. Nie jest to jednak najlepszy okres na to, aby dopiero tworzyć niezbędne dokumenty. Kontrolujący zwykle bez trudu zorientują się, iż określone procedury i dokumenty powstały na kolanie, chwilę przed kontrolą. Dlatego tak ważne jest, aby myśleć o ochronie danych jako o procesie ciągłym i dbać o aktualność i kompletność dokumentacji.

Przebieg kontroli

W okresie wskazanym w zawiadomieniu o planowanej kontroli najczęściej do naszej siedziby zgłoszą się kontrolerzy. Czyli co do zasady wyznaczeni pracownicy UODO. Kontrolerzy powinni dysponować pisemnym upoważnieniem Prezesa Urzędu Ochrony Danych Osobowych do przeprowadzenia kontroli, które powinni przekazać kontrolowanemu przed rozpoczęciem kontroli wraz z okazaniem legitymacji służbowej. Warto zweryfikować zakres przedmiotowy kontroli, czyli opis obszarów, które pozostają w zainteresowaniu organu, a także okres, w którym czynności kontrolne powinny się zakończyć. Kontrolerzy nie powinni bowiem wykraczać poza określony w upoważnieniu zakres kontroli.

Kontrola przeprowadzana jest przez kontrolerów w obecności kontrolowanego lub osoby przez niego upoważnionej. Trzeba jednak pamiętać, iż brak takich osób nie uniemożliwi kontrolującym przeprowadzenia kontroli. Zarówno administrator, jak też jego pracownicy powinni mieć wiedzę, iż kontrolującym przysługuje cały szereg uprawnień, a w szczególności:

  • Prawo wstępu na grunt oraz do budynków, lokalu lub innych pomieszczeń w godzinach od 6:00 do 22:00 – w praktyce jednak kontrolujący przeprowadzają czynności w godzinach pracy przedsiębiorstwa,
  • Prawo do wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli – w tym aspekcie daje o sobie znać weryfikacja zakresu kontroli określona w imiennym upoważnieniu przekazanym przed rozpoczęciem kontroli. Dzięki temu dokumentowi wiemy jaki jest zakres kontroli i możemy ustalić, do jakich dokumentów, danych i informacji kontrolujący powinni mieć nieskrępowany dostęp,
  • Prawo do przeprowadzenia oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych,
  • Prawo żądania złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwania w charakterze świadka osób (np. Pracowników administratora) w zakresie niezbędnym do ustalenia stanu faktycznego.

O powyższych uprawnieniach administrator powinien pamiętać, a także uprzedzić o nich swój personel. Warto podkreślić, iż utrudnianie przeprowadzenia kontroli stanowi podstawę do nałożenia na administratora sankcji administracyjnych, ale też podstawę odpowiedzialności karnej, którą ponieść może osoba, która przeprowadzenie takich czynności utrudnia.

Istotnym uprawnieniem kontrolujących jest też prawo żądania, aby kontrolowany sporządził dla nich we własnym zakresie kopie lub wydruki dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub systemach, a także potwierdził za zgodność z oryginałem sporządzone kopie lub wydruki.

Ważne! o ile w toku kontroli przekazywane są kontrolującym dokumenty zawierające tajemnicę przedsiębiorstwa, trzeba pamiętać, iż znajdą się one co do zasady w aktach postępowania administracyjnego. Aby zatem uniknąć ujawnienia takiej tajemnicy nieuprawnionym osobom, administrator powinien podjąć czynności zmierzające do jej ochrony. W tym celu sporządzamy dwie kopie lub dwa wydruki dokumentu – przy czym jeden z tych wydruków powinien być wiernym odzwierciedleniem dokumentu. W drugim zaś powinny być zanonimizowane informacje objęte tajemnicą przedsiębiorstwa. Poza dołączeniem takich dwóch egzemplarzy dokumentu administrator powinien wyraźnie zastrzec, iż obejmują one tajemnicę przedsiębiorstwa.

Przebieg czynności kontrolnych kontrolujący przedstawia w protokole. Wskazuje w nim m.in. dane uczestników kontroli, a także datę jej rozpoczęcia i zakończenia, zakres przedmiotowy kontroli, opis stanu faktycznego ustalonego w jej toku i inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych. W protokole znajduje się też wyszczególnienie załączników, a także omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień. Dokument ten podpisywany jest przez kontrolującego, a następnie przekazywany jest do podpisania przez kontrolowanego.

Ważne! W protokole zasadniczo nie odnajdziemy informacji co do oceny zastanego u nas stanu faktycznego przez organ nadzorczy. Nie znajdziemy w nim również zaleceń, co należałoby poprawić. Właśnie z tego powodu bardzo ważne jest drobiazgowe zapoznanie się z protokołem z kontroli. Kontrolowany ma na to 7 dni. W tym czasie powinien on podpisać protokół albo złożyć do niego pisemne zastrzeżenia. Mogą one obejmować żądanie uzupełnienia protokołu o określone informacje czy żądanie dołączenia do protokołu załączników, które nie zostały dołączone przez kontrolujących, a które mają w naszej ocenie istotne znaczenie ze względu na zakres kontroli

Co po kontroli?

Wbrew obawom wielu administratorów, nie każda kontrola kończy się dalej idącymi krokami ze strony organu nadzorczego. o ile w toku kontroli nie ujawni się informacji wskazującej na możliwość naruszenia przepisów o ochronie danych osobowych, nie będzie ona miała dalszych konsekwencji.

Jeżeli jednak na podstawie informacji uzyskanych w toku kontroli Prezesa UODO – analizując m.in. protokołów kontroli i zgromadzone w jej trakcie dokumenty i informacje, dojdzie do wniosku, iż występuje ryzyko naruszenia przepisów o ochronie danych osobowych, ma on obowiązek wszczęcia postępowania w sprawie takiego naruszenia. I znowu – samo wszczęcie takiego postępowania nie jest równoznaczne z potwierdzeniem naruszenia i nałożeniem kary na administratora. Warto jednak być przygotowanym na takie postępowanie.

Podsumowanie

Ryzyko kontroli ze strony Prezesa UODO wpisano w działalność każdego administratora. Nie warto jednak wpadać w panikę, a lepiej podejść do sprawy. Wyprzedzająco i od początku dbać o to, aby być gotowym na ewentualną kontrolę. W tym celu warto dbać o:

  • Dokumentację: Upewnij się, iż wszystkie dokumenty dotyczące przetwarzania danych osobowych są aktualne i łatwo dostępne. Przeprowadź audyt dokumentacji, aby upewnić się, iż spełnia ona wymagania RODO,
  • Szkolenie pracowników: Upewnij się, iż wszyscy pracownicy są odpowiednio przeszkoleni w zakresie ochrony danych osobowych i świadomi swoich obowiązków. Prowadź regularne szkolenia w tym zakresie, aby zapewnić świadomość pracowników i zgodność ze wszystkimi obowiązującymi u Ciebie procedurami.
  • Procedury i polityki: Sprawdź i zaktualizuj istniejące procedury i polityki dotyczące ochrony danych osobowych. Upewnij się, iż wszystkie procedury i polityki są zgodne z przepisami RODO.
  • Testowanie i ocena ryzyka: Przeprowadź testy i ocenę ryzyka związanych z przetwarzaniem danych osobowych, aby zidentyfikować i zminimalizować ewentualne ryzyka naruszenia danych.
  • Gotowość na incydenty: Przygotuj plan reakcji na incydenty związane z danymi osobowymi, w tym procedury powiadamiania organu nadzorczego w przypadku wycieku danych.

Gdy już dojdzie do kontroli pamiętaj o tym, aby być człowiekiem. Współpracuj z kontrolującymi i zadbaj o to, aby również Twój personel był gotów na taką współpracę. Bądź cierpliwy i nie traktuj kontrolujących jak swoich wrogów. Pytaj – o ile coś jest dla Ciebie niezrozumiałe. Masz prawo do zadawania im pytań, a oni powinni udzielić na nie odpowiedzi.

Jak już wskazaliśmy – kontrolę zawsze są stresujące. Warto zatem korzystać w ich trakcie z pomocy doświadczonych ekspertów z zakresu ochrony danych osobowych czy profesjonalnych pełnomocników.

Idź do oryginalnego materiału