Kontrola GIODO – krótki poradnik kontrolowanego część 2

kontrola GIODO

Kontrola GIODO, nawet gdy zapowiedziana, budzi niepokój. W ubiegłym roku opublikowaliśmy pierwszą część „Krótkiego poradnika dla kontrolowanego przez GIODO”. Zawierała ona informacje o tym, jak przygotować się do kontroli, czego nie robić, co może GIODO, co będzie interesowało inspektorów i jak rozpoczyna się kontrola.  Druga część poradnika ma na celu przedstawienie co się dzieje, gdy inspektorzy rozpoczną kontrolę i jakie możliwości działania ma podmiot kontrolowany.

Czynności kontrolne

Wzorując się na pewnym polskim, osiemnastowiecznym encyklopedyście, można stwierdzić, że kontrola jaka jest każdy widzi[1]. Kontrolujący żądają czegoś od kontrolowanego, a kontrolowany spełnia te żądania. Oczywiście, to co mogą kontrolujący, jak i to, do czego obowiązany jest kontrolowany określają w przepisy prawa. Dla porządku zasadne jest powtórzenie za pierwszą częścią niniejszego poradnika, że uprawnienia inspektorów przeprowadzających kontrolę określa w art. 14 UODO. Wynika z niego, że kontrolujący mają prawo:

  1. wstępu, w godzinach od 600 do 2200 – za okazaniem imiennego upoważnienia i legitymacji służbowej – do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z UODO;
  2. żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
  3. wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;
  4. przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych;
  5. zlecać sporządzanie ekspertyz i opinii.

Z powyższymi uprawnieniami kontrolujących koresponduje wynikający z art. 15 ust. 1 UODO, a ciążący na kierowniku kontrolowanej jednostki organizacyjnej oraz kontrolowanej osobie fizycznej będącej ADO, obowiązek umożliwienia inspektorowi przeprowadzenia kontroli, a w szczególności umożliwienia przeprowadzenia czynności oraz spełnienia żądań, o których mowa w art. 14 pkt 1–4 UODO.

Kontrola GIODO kończy się sporządzeniem przez inspektora protokołu z kontroli. Do protokołu kontroli załączane są protokoły z poszczególnych czynności kontrolnych (np. protokół przyjęcia ustnych wyjaśnień, protokół przesłuchania świadka, protokół oględzin) i inne dowody. Protokół podpisywany jest przez inspektora i reprezentanta kontrolowanego podmiotu, który może wnieść do protokołu umotywowane zastrzeżenia i uwagi. Odmowa podpisania protokołu przez kontrolowanego nie jest przeszkodą w podejmowaniu dalszych działań przez GIODO. Skutkuje jedynie koniecznością zamieszczenia przez inspektora w protokole wzmianki o odmowie podpisania oraz uprawnieniem dla odmawiającego podpisu do przedstawienia GIODO swojego stanowiska na piśmie w terminie 7 dni. Podmiot kontrolowany otrzymuje jeden egzemplarz protokołu.

Co po kontroli?

Jeżeli inspektorzy stwierdzą naruszenie przepisów o ochronie danych osobowych, podmiot kontrolowany otrzymuje pismo zawiadamiające o wszczęciu postępowania administracyjnego. Pismo takie zawiera informację o:

  • stwierdzonych uchybieniach,
  • terminie, w jakim kontrolowany może zgłosić wnioski dowodowe, złożyć wyjaśnienia lub zapoznać się z aktami sprawy (można się spodziewać, że będzie to 14 dni od dnia otrzymania pisma),
  • wydaniu decyzji administracyjnej po upływie terminu wyznaczonego kontrolowanemu.

Zawiadomienie o wszczęciu postępowania administracyjnego jest sygnałem, że GIODO ma zamiar nakazać podmiotowi kontrolowanemu przywrócenie stanu zgodnego z prawem. W tym momencie podmiot kontrolowany powinien zastanowić się czy podjąć jakieś działania w sprawie, a jeżeli tak, to jakie. W przypadku, gdy podmiot kontrolowany kwestionuje zawarte w zawiadomieniu ustalenia dotyczące stwierdzonych uchybień, może przesłać GIODO wyjaśnienia wskazujące, że stwierdzone uchybienia nie zaistniały (np. wyjaśnić, że dyski, płyty lub inne nośniki danych znajdujące się na jednostce centralnej komputera – wbrew temu co wskazano w zawiadomieniu – nie zawierają kopii zapasowych danych przechowywanych na twardym dysku tego komputera lecz są to puste nośniki, przeznaczone do wykorzystania w celu tworzenia kopii zapasowych).

Jeżeli podmiot kontrolowany nie kwestionuje stwierdzonych uchybień może je usunąć we wskazanym w zawiadomieniu terminie oraz poinformować GIODO o tym fakcie, przesyłając mu jednocześnie dowody potwierdzające usunięcie uchybień. Gdy wskazany w zawiadomieniu o wszczęciu postępowania termin jest zbyt krótki, aby usunąć uchybienia, kontrolowany może poinformować o tym GIODO i wnieść o przedłużenie tego terminu. Usunięcie uchybień i przesłanie GIODO dowodów to potwierdzających będzie skutkowało wydaniem decyzji administracyjnej umarzającej postępowanie administracyjne w zakresie, w jakim uchybienia zostały usunięte. Jeżeli uchybienia w całości lub części nie zostały usunięte należy liczyć się z wydaniem przez GIODO decyzji nakazującej przywrócenie stanu zgodnego z prawem. W takiej decyzji GIODO wskaże co i w jakim terminie (zazwyczaj od 30 dni do trzech miesięcy) ma zrobić podmiot będący jej adresatem.

Nakazali i co dalej?

Odpowiedź na to pytanie znajdzie się w kolejnej części naszego poradnika. Wskazane zostaną w niej m.in. środki zaskarżenia decyzji GIODO oraz konsekwencje niewykonania takiej decyzji.

Dowiedz się więcej o kontroli GIODO na szkoleniach Omni Modo.

Przypisy:

[1]     W ten sposób Benedykt Chmielowski w encyklopedii „Nowe Ateny” zdefiniował konia. B. Chmielowski. Nowe Ateny albo Akademia Wszelkiey Scyencyi  Pełna, Na Rożne Tytuły, iák ná Classes Podzielona, Mądrym dla Memoryału, Idiotom dla Náuki, Politykom dla práktyki, Melancholikom dla rozrywki Erigowana Alias O Bogu, Bożkow Mnostwie, Słow Pięknych Wyborze,  Kwestyi Cudnych Wiele, o Sybillow zbiorze, O Zwierzu, Rybách, Ptakách, ô Mátemátyce, O Cudách Swiátá, Ludźi Rządách, Polityce, O Językách y Drzewách, ô Zywiołách, Wierze, Hieroglifikách, Gadkách, Národow mánierze; Co Kray ktory ma w sobie dźiwnych Ciekáwośći, Cáły Swiát opisany z gruntu, w Słow krotkośći. Drukarnia Pawła Iozefa Golczewskiego. Lwów 1745, http://polona.pl/item/3515164/245/, czerwiec 2017, str. 475.

About Redakcja 244 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.