Kontrola GIODO – jak ją przeżyć

Zgodnie z ustawą o ochronie danych osobowych (art. 12, pkt 1) do zadań Generalnego Inspektora Ochrony Danych Osobowych należy kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych.

Słowo kontrola zawsze budzi pewien niepokój. Nie ważne czy w życiu prywatnym, czy też służbowym – nikt nie lubi być kontrolowany. Nawet w sytuacji, gdy staramy się wypełniać wszystkie obowiązki należycie, kontrola wzbudza strach: “czy aby na pewno o czymś nie zapomniałem/am”…

Czym tak naprawdę jest kontrola? Kontrola – najogólniej mówiąc –  to porównywanie stanu faktycznego ze stanem założonym. Czyli porównanie tego co jest, z tym, jak powinno być. Ja osobiście kontrolę odbieram jako swego rodzaju potwierdzenie, że to co robię jest prawidłowe lub jako podpowiedź, co powinienem jeszcze zrobić, aby to co robię było lepsze. Dlatego też kontrolę polecam traktować jako element, który ma nam pomóc, a nie jak czepialstwo i złośliwość kontrolujących. Lepiej, jeśli jakieś niezgodności wyjdą w czasie kontroli, niż jeśli miałoby to zweryfikować samo życie (np. włamanie do systemu).

Jeśli chodzi o dane osobowe, kontrola ma na celu ustalenie stanu faktycznego w zakresie przestrzegania przez podmiot kontrolowany przepisów o ochronie danych osobowych oraz udokumentowanie dokonanych ustaleń. Kontrole przeprowadzają inspektorzy w zespołach kontrolnych, składających się najczęściej z trzech osób – dwóch pracowników (prawników) Departamentu Inspekcji Biura GIODO oraz jednego pracownika (informatyka) Departamentu Informatyki Biura GIODO. Czynności kontrolne „na miejscu” są dokonywane w siedzibie kontrolowanego podmiotu oraz w innym miejscu (np. jednostkach organizacyjnych), wskazanym jako obszar przetwarzania danych osobowych.

Generalny Inspektor Danych Osobowych może kontrolować każdy podmiot przetwarzający dane osobowe, nie ważne czy podlegają one rejestracji czy też nie. Należy w tym miejscu nadmienić, iż inspektorzy GIODO tak naprawdę mają możliwość skontrolowania każdego podmiotu, nawet gdy dany podmiot nie przetwarza danych osobowych, np. po to aby ustalić czy faktycznie tak jest.

W powyższym akapicie użyłem sformułowania iż GIODO może kontrolować każdy podmiot. To znaczy kogo?

  • podmioty publiczne:
    • Zgodnie z art. 3 ust. 1 ustawa ma zastosowanie do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. Podmioty te, jako należące do sektora publicznego, mogą decydować o celu i środkach przetwarzania danych w ramach zadań przyznanych im przepisami prawa. Kontrolą mogą być objęte np. Kancelaria Prezydenta RP, Kancelaria Sejmu, Kancelaria Senatu, Kancelaria Prezesa Rady Ministrów, ministerstwa, sądy, prokuratury, jednostki policji, urzędy skarbowe, publiczne zakłady opieki zdrowotnej, Zakład Ubezpieczeń Społecznych, gminy, powiaty, województwa i inne.
  • podmioty prywatne:
    • podmioty niepubliczne realizujące zadania publiczne (np. prywatne zakłady opieki zdrowotnej, prywatne szkoły i przedszkola),
    • osoby fizyczne i osoby prawne (np. spółki z o.o., spółki akcyjne, stowarzyszenia, fundacje, spółdzielnie) oraz jednostki organizacyjne nie będące osobami prawnymi (np. nie mające osobowości prawnej spółki prawa handlowego); objęte są one zakresem stosowania ustawy, jeżeli przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych (art. 3 ust. 2 pkt 2 ustawy).

Rodzaje kontroli GIODO:

  • Kontrola z urzędu – wykonywana jest z inicjatywy własnej Generalnego Inspektora. Stanowi ona konsekwencję obowiązku zrealizowania zadań kontrolnych, nałożonych przez ustawę, w szczególności w toku postępowań rejestracyjnych, prowadzonych przez Departament Rejestracji Zbiorów Danych Osobowych oraz w toku rozpatrywania skarg przez Departament Legislacji, Orzecznictwa i Skarg.
  • Kontrola na wniosek – pozostaje również w sferze wykonywania zadań kontrolnych przez Generalnego Inspektora, natomiast inspiracja do podjęcia i prowadzenia określonej kontroli pochodzi z zewnątrz, od innego podmiotu (np. Najwyższej Izby Kontroli, Państwowej Inspekcji Pracy, prokuratury, związków zawodowych, pracodawców, osoby fizycznej).
  • Kontrola kompleksowa – dotyczy wszystkich zbiorów danych osobowych, prowadzonych przez kontrolowanego administratora danych oraz obejmuje swoim zakresem wszystkie wymogi, określone w przepisach o ochronie danych osobowych, mające zastosowanie w działalności danego podmiotu.
  • Kontrola częściowa – dotyczy zwykle poszczególnych zagadnień w procesie przetwarzania danych będących przedmiotem skargi, np. legalności pozyskiwania danych skarżącego bądź sposobu dopełnienia obowiązku informacyjnego wobec skarżącego, czy też problemów pojawiających się w toku postępowań rejestracyjnych, np. podstawy prawnej, zakresu danych, celu przetwarzania danych – czyli zgodności informacji podanych w zgłoszeniu zbioru ze stanem faktycznym. Przedmiotem kontroli może też być wyłącznie kwestia zabezpieczenia danych osobowych, dopełnienie obowiązku rejestracyjnego lub tym podobne.

Inspektorzy GIODO odwiedzają co roku ok 200 podmiotów. Są to różne kontrole, jednak najczęstszymi są te z urzędu.

Podczas kontroli przestrzegania przepisów o ochronie danych osobowych, inspektor zwraca szczególną uwagę na następujące kwestie:

  • Przesłanki legalności przetwarzania danych osobowych;
  • Przesłanki legalności przetwarzania danych szczególnie chronionych;
  • Zakres i cel przetwarzania danych;
  • Merytoryczna poprawność danych i ich adekwatność do celu przetwarzania;
  • Obowiązek informacyjny;
  • Zgłoszenie zbioru do rejestracji;
  • Przekazywanie danych do państwa trzeciego;
  • Powierzenie przetwarzania danych osobowych;
  • Zabezpieczenie danych.

Należy pamiętać, iż każdy inspektor przystępujący do kontroli powinien posiadać aktualną legitymację służbową inspektora Biura GIODO oraz upoważnienie imienne, których wzór określony został w załącznikach do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 22 kwietnia 2004 r. (Dz. U. nr 94, poz. 923).

Zgodnie z ustawą o swobodzie działalności gospodarczej (rozdział 5), podmiot powinien zostać powiadomiony o kontroli (art. 79 pkt 1), przy czym kontrola nie powinna odbyć się wcześniej niż po 7 dniach od zawiadomienia i nie później niż po 30 dniach (art. 79 pkt 4). Do wyjątków należy sytuacja, w której przeprowadzenie kontroli jest nie zbędne dla przeciwdziałania popełnieniu przestępstwa lub wykroczenia, wtedy o planowanej kontroli podmiot nie będzie powiadamiany.

Co jeśli inspektorzy GIODO znaleźli jakieś uchybienia?

Ustawa o ochronie danych osobowych wyraźnie określa, jakie środki przysługują Generalnemu Inspektorowi, gdy naruszone zostaną przepisy o ochronie danych osobowych.

Na podstawie wyników kontroli następuje wszczęcie postępowania administracyjnego (art. 61 § 4 k.p.a.). Zawiadomienie o wszczęciu postępowania przesyłane jest kontrolowanemu podmiotowi; zawiera ono m.in. wyszczególnienie stwierdzonych w toku kontroli uchybień, dotyczących przedmiotu postępowania. W zawiadomieniu wymienione są przepisy o ochronie danych osobowych, które zostały naruszone (uzasadnienie prawne) oraz opis stanu faktycznego ze wskazaniem dowodów, na podstawie których został on ustalony (uzasadnienie faktyczne). Ponadto kontrolowany podmiot jest informowany o prawie złożenia dodatkowych wyjaśnień i o prawie przesłania uzupełniających dowodów (np. dokumentów lub wydruków z systemu informatycznego), potwierdzających usunięcie stwierdzonych uchybień. Jednocześnie zostaje określony termin, w jakim może nastąpić realizacja tego prawa. W sytuacji gdy kontrolowany nie skorzysta z przysługującego mu uprawnienia, decyzja kończąca postępowanie zostanie wydana na podstawie materiału dowodowego zebranego w toku kontroli, o czym również kontrolowany podmiot jest informowany.

W wyniku przeprowadzonej kontroli, Generalny Inspektor wydaje decyzje:

  • nakazujące przywrócenie stanu zgodnego z prawem, jeżeli zostały naruszone przepisy o ochronie danych osobowych (treść nakazu wynika z art. 18 ustawy);
  • umarzające postępowanie jako bezprzedmiotowe, jeżeli postępowanie administracyjne zostało wszczęte w wyniku stwierdzonych w toku kontroli uchybień, a w trakcie postępowania kontrolowany podmiot je usunął i przywrócił stan zgodny z prawem.

Jeżeli kontrolowany podmiot kwestionuje skierowaną do niego decyzję, może zwrócić się do Generalnego Inspektora z wnioskiem o ponowne rozpatrzenie sprawy (art. 21 ust. 1 ustawy). Na decyzję Generalnego Inspektora wydaną w przedmiocie wniosku o ponowne rozpatrzenie sprawy, przysługuje kontrolowanemu skarga do sądu administracyjnego (art. 21 ust. 2 ustawy). W pozostałym zakresie obowiązują przepisy kodeksu postępowania administracyjnego.

Na podstawie ustaleń kontroli, inspektor może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień. Kontrolowany podmiot jest obowiązany do poinformowania Generalnego Inspektora w określonym terminie o wynikach tego postępowania i podjętych działaniach (art. 17 ust. 2 ustawy). W praktyce Generalny Inspektor kieruje do wskazanego podmiotu wniosek, zawierający m.in. wskazanie osób, wobec których żądanie wszczęcia postępowania jest kierowane. Jednocześnie przedstawia zebrane w trakcie kontroli dowody świadczące o winie tych osób i żąda w oznaczonym terminie przedstawienia rozstrzygnięcia.

Jeżeli wyniki kontroli będą wskazywać, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej wyczerpuje znamiona przestępstwa określonego w art. 49, art. 50, art. 51, art. 52, art. 53 lub art. 54 ustawy, wówczas Generalny Inspektor jest obowiązany skierować zawiadomienie o popełnieniu przestępstwa do organu powołanego do ścigania przestępstw. Do zawiadomienia dołącza zgromadzone w toku czynności kontrolnych dowody dokumentujące podejrzenie popełnienia wskazanego czynu zabronionego. Materiał dowodowy, będący podstawą skierowania zawiadomienia, jest zatem pozyskiwany przez inspektorów w wyniku bezpośredniej i szczegółowej kontroli podmiotu przetwarzającego dane osobowe.

Źródło informacji: www.giodo.gov.pl

Zobacz również:

Leave a Comment

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.