Kontrola stosowania przepisów RODO

Serdecznie zapraszamy na kolejny artykuł cyklu współtworzonego przez ekspertów SK&S i redakcję dziennika Rzeczpospolita dotyczącego kontroli u przedsiębiorców.  

Prezes Urzędu Ochrony Danych Osobowych na początku każdego roku publikuje plan kontroli, gdzie wskazuje obszary, na które zwróci szczególną uwagę. Kontrolę może wszcząć również na podstawie uzyskiwanych przez urząd informacji lub monitorowania przestrzegania RODO.

W Polsce organem monitorującym oraz egzekwującym stosowanie przepisów RODO jest Prezes Urzędu Ochrony Danych Osobowych („PUODO”). Jednym z uprawnień PUODO jest kontrola przestrzegania przepisów o ochronie danych osobowych.

Rodzaje kontroli
PUODO może przeprowadzać kontrole:

• na podstawie publikowanego przez PUODO na początku każdego roku tzw. planu sektorowych kontroli na dany rok (kontrola planowana), w którym PUODO wskazuje obszary / sektory, na które chce zwrócić szczególną uwagę w danym roku. Takie kontrole prowadzone są zazwyczaj w siedzibie administratora;
• na podstawie uzyskanych przez PUODO informacji (kontrola doraźna). Kontrola taka może być wynikiem złożonej na administratora skargi o naruszenie przepisów ochrony danych osobowych, ale również zawiadomienia złożonego przez podmiot trzeci czy zgłoszenia naruszenia przez samego administratora. W takim przypadku kontrola najczęściej odbywa się w formie wymiany pism pomiędzy organem a podmiotem kontrolowanym;
• w ramach monitorowania przestrzegania stosowania przepisów RODO. Wyróżnienie przez ustawodawcę tego rodzaju kontroli nie jest jasne, ze względu na fakt, że PUODO, przeprowadzając kontrole planowane oraz doraźne, powinien również monitorować przestrzeganie stosowania przepisów RODO.

PUODO może również przeprowadzić kontrolę w ramach toczącego się postępowania administracyjnego, gdy zachodzi potrzeba uzupełnienia materiału dowodowego (art. 68 ustawy o ochronie danych osobowych). Dodatkowo, PUODO może przeprowadzić kontrolę w przypadku, gdy inny organ nadzorczy zwróci się do niego o przeprowadzenie takiej kontroli w ramach wzajemnej pomocy (art. 61 RODO).

Plan kontroli sektorowych na 2023 rok
18 stycznia 2023 r. Urząd Ochrony Danych Osobowych („UODO”) opublikował plan kontroli sektorowych na 2023 rok. Zgodnie z planem, PUODO zamierza w tym roku kontrolować:

• organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym (SIS i VIS) na podstawie przepisów ustawy z 24 sierpnia 2007 r. o udziale Rzeczpospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym, a także na podstawie aktów wykonawczych oraz przepisów Unii Europejskiej;
• podmioty przetwarzające dane osobowe przy użyciu aplikacji mobilnych co do sposobów zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji;
• podmioty przetwarzające dane osobowe przy użyciu aplikacji internetowych (webowych) w takim samym zakresie, jak kontrola aplikacji mobilnych.

Podmioty prowadzące działalność gospodarczą we wskazanych powyżej obszarach/ sektorach muszą liczyć się z objęciem ich kontrolą przez PUODO w tym roku.

Kontrolujący oraz inni uczestnicy postępowania
UODO zawiadamiania (pisemnie oraz telefonicznie) o przeprowadzeniu kontroli.

Czynności kontrolne w imieniu PUODO przeprowadzają imiennie upoważnieni pracownicy UODO oraz członkowie lub pracownicy organów nadzorczych państw członkowskich Unii Europejskiej, w przypadku gdy organy te prowadzą wspólne operacje, o których mowa w art. 62 RODO („kontrolujący”). Kontrolujący zobowiązani są do zachowaniu w tajemnicy informacji, które pozyskali w toku kontroli (obowiązek ten trwa również po zakończeniu stosunku prawnego).

W kontroli może brać udział również osoba posiadająca wiedzę specjalistyczną, jeżeli przeprowadzenie czynności kontrolnych wymaga takiej wiedzy (np. specjalista IT). Co ważne, osoba taka może brać udział tylko w tych czynnościach, w przeprowadzeniu których niezbędna jest wiedza specjalistyczna. Osoba taka zobowiązana jest, tak jak kontrolujący, do zachowaniu poufności informacji, o których dowiedziała się w toku kontroli.

W toku kontroli kontrolujący mogą również korzystać z pomocy funkcjonariuszy Policji, gdy istnieje potrzeba zapewnienia bezpieczeństwa kontrolującym oraz innym osobom uczestniczącym przy wykonywaniu czynności kontrolnych, ale także zapewnienia dostępu do miejsca wykonywania kontroli czy porządku w tym miejscu.

Upoważnienie oraz legitymacja służbowa
Kontrolujący mogą rozpocząć kontrolę po okazaniu imiennego upoważnienia udzielonego przez PUODO oraz legitymacji służbowej, natomiast w przypadku kontrolującego pochodzącego z innego państwa członkowskiego Unii Europejskiej – po okazaniu imiennego upoważnienia i dokumentu potwierdzającego tożsamość.

Imienne upoważnienie do kontroli zawiera m.in. imię i nazwisko kontrolującego, jego stanowisko służbowe oraz numer legitymacji służbowej, wskazanie daty rozpoczęcia kontroli oraz przewidywanej daty jej zakończenia, oraz podpis PUODO. Upoważnienie zawiera również inne cenne informacje dla podmiotu kontrolowanego, takie jak cel i zakres kontroli oraz prawa i obowiązki kontrolowanego. Należy pamiętać, że kontrolujący mogą prowadzić czynności kontrolne tylko w zakresie wynikającym z upoważnienia. Zadaniem podmiotu kontrolowanego jest bieżące weryfikowanie, czy kontrolujący nie wykracza poza zakres wynikający z upoważnienia. Istotne jest zatem, aby na samym początku kontroli kontrolowany wnikliwie zapoznał się z okazanym przez kontrolującego upoważnieniem.

W związku z coraz częstszymi przypadkami pojawiania się u kontrolowanych osób podających się za kontrolujących, warto wiedzieć, jak powinna wyglądać legitymacja służbowa kontrolującego. Wzór legitymacji określa rozporządzenie Rady Ministrów z 20 marca 2019 r. w sprawie wzoru legitymacji służbowej pracownika UODO (patrz ilustracja niżej).

WAŻNE!
Kontrolowany zawsze ma prawo – w przypadku powzięcia wątpliwości co do tożsamości kontrolujących czy okazanych przez nich dokumentów – skontaktować się telefonicznie z UODO w celu weryfikacji tych danych lub zawiadomić organy ścigania (Policja).

Przebieg kontroli
Czynności kontrolne dokonywane są w obecności kontrolowanego lub osoby przez niego upoważnionej (upoważnienie pisemne). Z pespektywy podmiotu kontrolowanego warto, aby osobą upoważnioną do jego reprezentowania była osoba, która posiada wiedzę z zakresu ochrony danych osobowych (np. inspektor ochrony danych, jeżeli został wyznaczony w organizacji).

Co ważne, nieobecność kontrolowanego lub osoby przez niego upoważnionej nie wstrzymuje kontroli. W takim przypadku, kontrolujący mogą okazać upoważnienie oraz legitymację służbową (tzw. okazanie zastępcze) osobie czynnej w lokalu przedsiębiorstwa (w rozumieniu kodeksu cywilnego) lub świadkowi (niebędącemu pracownikiem UODO), jeżeli jest funkcjonariuszem publicznym w rozumieniu kodeksu karnego. Podmiot kontrolowany zobowiązany jest zapewnić kontrolującemu oraz osobom upoważnionym do kontroli warunki i środki niezbędne do sprawnego przeprowadzenia kontroli.

W ubiegłym roku UODO opublikował listę zagadnień / pytań dotyczących instytucji inspektora ochrony danych, które otrzymują podmioty kontrolowane. Dzięki temu, podmioty kontrolowane mają szansę przygotować się do kontroli w zakresie zagadnień związanych z inspektorem ochrony danych. Pytania dostępne są pod poniższym linkiem: https://uodo.gov.pl/ pl/138/2438.

Długość trwania kontroli
Kontrola nie powinna trwać dłużej niż 30 dni od okazania kontrolowanemu upoważnienia i legitymacji służbowej lub innego dokumentu potwierdzającego tożsamość. W praktyce, długość trwania kontroli będzie zależała od wielu czynników, w tym wielkości podmiotu kontrolowanego czy zakresu przedmiotowego kontroli. Z reguły, czynności kontrolne nie trwają dłużej niż kilka dni.

Uprawnienia kontrolujących
W toku kontroli kontrolujący są uprawnieni do:

• wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń kontrolowanego, które są związane z zakresem i przedmiotem kontroli, w godzinach od 6:00 do 22:00. Kontrolowany może wskazać dni i godziny, w jakich funkcjonuje kontrolowany podmiot. Informacja taka nie jest wiążąca dla kontrolujących, w praktyce jednak, kontrolujący starają się przeprowadzać kontrole w miarę możliwości w godzinach pracy kontrolowanego;
• wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli. W praktyce nie chodzi tylko o dokumentację określającą zasady ochrony danych w organizacji, ale również o dokumenty powiązane z procesem przetwarzania danych, np. umowy z kontrahentami (kontrolowany sporządza we własnym zakresie kopie i wydruki dokumentów, o jakie poprosi kontrolujący, i potwierdza za zgodność z oryginałem; na własny koszt sporządza również tłumaczenia dokumentów, o jakie poprosi kontrolujący);
• przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych (kontrolujący ma zatem prawo dostępu do pomieszczeń, gdzie są przetwarzane dane osobowe; sprawdzać czy pomieszczenia / szafy są zamykane na klucz; jakie kontrolowany stosuje zabezpieczenia; czy jest monitoring wizyjny, monitoring elektroniczny, itp.);
• żądania złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwania w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego, np. kontrolujący może przesłuchać pracownika podmiotu kontrolowanego, któremu jednak przysługuje prawo odmowy zeznań lub, w określonych przypadkach, prawo odmowy odpowiedzi na konkretne pytanie;
• zlecania sporządzenia ekspertyz i opinii;
• w uzasadnionych przypadkach przebieg kontroli lub poszczególne czynności w jej toku, po uprzednim poinformowaniu kontrolowanego, mogą być utrwalane przy pomocy urządzeń rejestrujących obraz lub dźwięk. Informatyczne nośniki danych, na których zarejestrowano przebieg kontroli lub poszczególne czynności w jej toku, stanowią załącznik do protokołu kontroli.

Protokół z kontroli oraz zastrzeżenia
Kontrolujący jest zobowiązany sporządzić z czynności kontrolnych protokół kontroli (w formie elektronicznej lub papierowej, w dwóch egzemplarzach). Podpisany przez kontrolującego protokół przedstawia się do podpisu kontrolowanemu. Kontrolowany na 7 dni na podpisanie protokołu lub zgłoszenie zastrzeżeń do protokołu.

Podmiot kontrolowany powinien wnikliwie zapoznać się z treścią protokołu kontroli, szczególnie z opisem stanu faktycznego ustalonego przez kontrolującego w toku kontroli. Stanowi on bowiem punkt wyjścia do dalszych działań organu w ramach postępowania kontrolnego, ale również w ramach ewentualnego postępowania w sprawie naruszenia ochrony danych.

W przypadku złożenia zastrzeżeń, kontrolujący dokonuje ich analizy i, w razie potrzeby, podejmuje dodatkowe czynności kontrolne, a w przypadku stwierdzenia zasadności zastrzeżeń, zmienia lub uzupełnia odpowiednią część protokołu kontroli w formie aneksu do protokołu kontroli. W przypadku nieuwzględnienia zastrzeżeń kontrolowanego (w całości lub w części), kontrolujący informuje o tym kontrolowanego i podaje uzasadnienie. Brak działania ze strony podmiotu kontrolowanego (niedoręczenie kontrolującemu podpisanego protokołu kontroli lub niezgłoszenie w terminie zastrzeżeń do protokołu) uznaje się za odmowę podpisania protokołu kontroli (o odmowie podpisania protokołu kontroli kontrolujący czyni wzmiankę w protokole)

Źródło: Rzeczpospolita, autor: Sylwia Macura-Targosz

W cyklu „Poradnik przedsiębiorcy” opublikowaliśmy:

• „Kontrola w firmie – jak długo trwa i kiedy wnieść sprzeciw”
• „Co i jak kontroluje Państwowa Inspekcja Pracy?”
• „Kontrola środowiskowa – uprawnienia inspektora, prawa kontrolowanego”
• „Promocje kryptoinwestycji pod lupą UOKiK. Konsekwencje kontroli”
• „Kontrole budowlane – prawa i obowiązki przedsiębiorców”
• „Kontrola projektów współfinansowanych ze środków Unii Europejskiej”