Krótki poradnik dla kontrolowanego przez GIODO – część I

Gdy nadchodzi kontrola GIODO przyszli kontrolowani zadają sobie to samo pytanie. Co robić? Niniejszy poradnik ma na celu udzielenie odpowiedzi na to, oraz na inne pytania nurtujące podmioty kontrolowane.

Jak przygotować się do kontroli GIODO?

W przypadku, gdy kontrolowanemu znany jest przedmiot kontroli, warto jest przeprowadzić analizę obszarów, które będą kontrolowane, aby odnaleźć i zweryfikować dokumenty, które będą wymagane podczas kontroli, wiedzieć jakie uchybienia mogą zostać stwierdzone podczas kontroli i – w miarę możliwości – usunąć te uchybienia jeszcze przed kontrolą. Pozwoli to przede wszystkim na szybsze przeprowadzenie kontroli. Usunięcie uchybień przed kontrolą pozwala na uniknięcie biurokratycznych, potencjalnie uciążliwych dla kontrolowanego procedur po kontroli. Podkreślenia wymaga, że inspektorzy nie dążą do znalezienia uchybień „za wszelką cenę”.  W wykazach kontroli przeprowadzonych przez GIODO, stanowiących załączniki do sprawozdań z działalności tego organu, znajdują się informacje o wielu kontrolach, w których nie stwierdzono uchybień.

Jeżeli kontrola będzie miała charakter kompleksowy, tj. jej zakresem będzie objęta całość działalności podmiotu kontrolowanego, inspektorzy poproszą podmiot kontrolowany o przedstawienie dokumentacji, której sporządzenie jest obowiązkowe, tj. o:

  • politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych wraz z aktami wdrażającymi tę dokumentację (np. uchwałami lub zarządzeniami),
  • ewidencję osób upoważnionych do przetwarzania danych,
  • rejestr zbiorów danych osobowych prowadzony przez ABI (o ile taka osoba została powołana i zgłoszona GIODO do rejestracji).

Niezależnie od powyższego należy pamiętać, aby w trakcie kontroli była do dyspozycji osoba lub osoby mogące udzielić inspektorom wyjaśnień w kwestiach dotyczących przetwarzania danych osobowych w podmiocie kontrolowanym.

Czego nie robić?

Nie mniej istotne jak to, co robić w przypadku kontroli GIODO, jest zagadnienie, czego nie należy robić. Przede wszystkim, nie należy bać się kontroli GIODO. Obecnie kompleksowa kontrola GIODO jest właściwie bezpłatnym audytem wskazującym obszary, w których działalność organizacji nie jest zgodna z przepisami o ochronie danych osobowych. Z punktu widzenia kontrolowanego podmiotu najbardziej dolegliwym skutkiem kontroli jest  konieczność usunięcia stwierdzonych podczas niej uchybień w terminie wskazanym w decyzji GIODO wydanej po kontroli. Termin ten wynosi zazwyczaj od miesiąca do trzech miesięcy. Jest on zatem na tyle krótki, że w przypadku stwierdzenia licznych uchybień lub też uchybień wymagających realizacji przez podmiot kontrolowany działań na szeroką skalę, jego dotrzymanie może okazać się trudne lub wręcz niewykonalne.

Zdecydowanie złym rozwiązaniem jest uchylanie się przed kontrolą GIODO. Działania kontrolowanego polegające na braku współpracy z inspektorami dokonującymi czynności kontrolnych (np. nie wpuszczenie inspektorów do obiektu, w którym ma odbyć się kontrola, zwlekanie w umówieniu spotkania inspektorów z osobami reprezentującymi podmiot kontrolowany lub przedstawieniu żądanych przez inspektorów dokumentów, jak również utrudnianie inspektorom kontaktu z osobami dysponującymi wiedzą o procesie przetwarzania danych osobowych) nie przyniosą  oczekiwanych rezultatów, ponieważ GIODO nie odstąpi od kontroli. Mało tego, w takim przypadku należy się liczyć z działaniami ze strony organów ścigania i odpowiedzialnością karną. Art. 54a UODO przewiduje bowiem, że udaremnianie lub utrudnianie wykonania czynności kontrolnej podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. W sprawozdaniu z działalności GIODO w roku 2015 znajduje się informacja, że w związku z utrudnianiem wykonania czynności kontrolnych złożył on 4 zawiadomienia o podejrzeniu popełnienia przestępstwa[i].  Zatem, uchylanie się przed kontrolą GIODO jest „grą nie wartą świeczki”.

Co może GIODO?

Uprawnienia inspektorów przeprowadzających kontrolę zostały określone w art. 14 UODO. Przewiduje on, że GIODO, zastępca GIODO lub upoważnieni przez niego pracownicy Biura GIODO (inspektorzy), mają prawo:

1) wstępu, w godzinach od 600 do 2200 – za okazaniem imiennego upoważnienia i legitymacji służbowej – do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą;

2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego;

3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;

4) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych;

5) zlecać sporządzanie ekspertyz i opinii.

Z powyższymi uprawnieniami koresponduje wynikający z art. 15 UODO obowiązek kierownika kontrolowanej jednostki organizacyjnej oraz kontrolowanej osoby fizycznej będącej administratorem danych osobowych umożliwienia inspektorowi przeprowadzenie kontroli, a w szczególności umożliwienia przeprowadzenia czynności oraz spełnienia żądań, o których mowa w art. 14 pkt 1-4 UODO.

Co będzie interesowało inspektorów podczas kontroli?

Celem kontroli przeprowadzanej przez GIODO jest sprawdzenie zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Zatem, inspektorzy podczas kontroli będą badali czy w działalności prowadzonej przez podmiot kontrolowany spełnione są wymogi wskazane w przepisach UODO i przepisach wykonawczych do tej ustawy (rozporządzenia w sprawie dokumentacji i warunków jakie powinny spełniać systemy informatyczne i rozporządzenia w sprawie trybu i sposobu realizacji zadań w przypadku powołania ABI w podmiocie kontrolowanym). W świetle informacji zawartych w publikacji GIODO zatytułowanej „ABC zasad kontroli przetwarzania danych osobowych”[ii], przedmiotem zainteresowania inspektorów jest:

  • istnienie przesłanki legalności przetwarzania danych osobowych określonej w art. 23 ust. 1 UODO (w przypadku danych tzw. „zwykłych”) lub w art. 27 ust. 2 UODO (w przypadku danych szczególnie chronionych);
  • merytoryczna poprawność danych i ich adekwatność do celu przetwarzania, tj. czy treść danych jest zgodna np. z poprawną pisownią kwestionowanego nazwiska danej osoby, oraz czy zakres przetwarzanych danych nie jest zbyt szeroki w stosunku do potrzeb wyznaczanych przez cel, któremu przetwarzanie danych ma służyć;
  • sposób realizacji obowiązku informacyjnego w przypadku zbierania danych od osoby, której dane dotyczą oraz z innych źródeł, tj. czy informacja zawiera wymagane przez UODO elementy, czy ma indywidualny charakter oraz czy została przedstawiona w sposób zrozumiały dla odbiorcy;
  • realizacja obowiązku zgłoszenia zbiorów do rejestracji tj. czy posiadane przez podmiot kontrolowany zbiory danych zostały zgłoszone GIODO do rejestracji (w przypadkach, gdy taka rejestracja jest wymagana), czy stan faktyczny zgadza się z informacjami zawartymi w zgłoszeniach zbiorów do rejestracji oraz czy realizowany jest obowiązek zgłaszania zmian w zgłoszeniach;
  • realizacja obowiązków związanych z przekazywaniem danych do państwa trzeciego tj. istnienie przesłanek zezwalających na legalne przekazanie danych poza obszar Europejskiego Obszaru Gospodarczego;
  • powierzanie przetwarzania danych osobowych (czy umowy powierzenia zostały zawarte, a jeżeli tak, to czy w formie pisemnej; czy określono w nich zakres danych powierzonych do przetwarzania oraz cel przetwarzania tych danych);
  • zgodność zastosowanych zabezpieczeń danych z wymogami wynikającymi z przepisów rozdziału V UODO oraz przepisów rozporządzenia w sprawie dokumentacji i warunków jakie powinny spełniać systemy informatyczne.

ABC zasad kontroli przetwarzania danych osobowych” wskazuje, że podczas kontrolowania zastosowanych zabezpieczeń w trakcie kompleksowej kontroli GIODO przedmiotem zainteresowania inspektorów będzie:

  • czy osoby biorące udział w procesie przetwarzania danych, posiadają upoważnienia nadane przez ADO;
  • czy kontrolowany podmiot prowadzi ewidencję osób upoważnionych do przetwarzania danych zawierającą elementy wymagane przez art. 39 UODO;
  • czy administrator danych zapewnił kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane;
  • czy zapewnione jest bezpieczeństwo systemów informatycznych (w tym bezpieczeństwo fizyczne) – sprawdzany jest sposób zabezpieczenia obiektów i pomieszczeń, gdzie znajdują się systemy informatyczne i nośniki informacji, na których przechowywane są kopie zapasowe lub archiwalne danych, oraz pomieszczeń, gdzie zlokalizowane są urządzenia sieciowe, serwery i stacje robocze. Sprawdzana jest forma realizacji ochrony fizycznej z udziałem czynnika ludzkiego, oraz czy stosowane są budowlane urządzenia zabezpieczające (np. drzwi stalowe, kraty stalowe, rolety przeciwwłamaniowe), urządzenia fizycznej kontroli dostępu do pomieszczeń (np. zamki, kłódki), elektroniczne urządzania zabezpieczające przed włamaniem i pożarem (np. sygnalizacja włamania, czujniki dymu, system wideonadzoru), elektroniczny system kontroli dostępu;
  • polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, oraz inne ewentualne istniejące dokumenty określające zasady ochrony fizycznej obiektów, kontroli dostępu do systemów informatycznych i usług sieciowych oraz ochrony zasobów informatycznych przed nieuprawnionym dostępem, przejęciem lub zniszczeniem przy użyciu szkodliwego programowania i narzędzi, w tym zgodność tych dokumentów z wymogami wskazanymi w przepisach rozporządzenia w sprawie dokumentacji i warunków jakie powinny spełniać systemy informatyczne, oraz czy deklarowane procedury oraz środki ochrony są rzeczywiście stosowane,
  • mechanizm logowania i uwierzytelnienia się użytkownika do każdego systemu informatycznego i programu oraz system kontroli uprawnień;
  • zastosowane mechanizmy ochrony podczas przesyłu danych przez sieć (środki ochrony kryptograficznej oraz sposób zarządzania kluczami kryptograficznymi i hasłami);
  • sposób kryptograficznego zabezpieczenia komputerów przenośnych lub elektronicznych nośników informacji;
  • czy systemy informatyczne posiadają funkcje wymagane przez § 7 rozporządzenia w sprawie dokumentacji i warunków jakie powinny spełniać systemy informatyczne.

Niezależnie od powyższego, należy się spodziewać, że kompleksowa kontrola GIODO obejmie również badanie sposobu realizacji obowiązków nałożonych przez nowelizację UODO, która weszła w życie w 2015 r., tj.:

  • sprawdzania przez ADO lub ABI (w przypadku jego powołania) zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
  • nadzorowania przez ADO lub ABI (w przypadku jego powołania) opracowania i aktualizowania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym oraz przestrzegania zasad w niej określonych;
  • zapewniania zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
  • prowadzenie przez ABI (w przypadku jego powołania) rejestru zbiorów danych przetwarzanych przez ADO.

new-piktochart-_16950305_129ed5f629c1cd2200193de6c4ca6ba63de9e1e5

Jak rozpoczyna się kontrola GIODO?

Kontrole są zazwyczaj zapowiadane. Podmiot kontrolowany jest zwykle najpierw telefonicznie informowany o kontroli, ale zdarzają się również sytuacje, gdy taka informacja dociera do niego innym kanałem komunikacji (np. faksem). Zazwyczaj szczegóły odnośnie terminu i miejsca wykonywania czynności kontrolnych ustalane są telefonicznie, a następnie podmiot kontrolowany na piśmie otrzymuje informacje o przedmiocie kontroli i jej terminie wraz z prośbą o przygotowanie dokumentacji. Regułą jest, że inspektorzy umawiają się na wykonywanie czynności kontrolnych w godzinach pracy kontrolowanego.  Inspektorzy przeprowadzający kontrolę działają w zespołach. W skład takiego zespołu wchodzą prawnik oraz informatyk. Inspektorzy przed przystąpieniem do czynności kontrolnych zobowiązani są do okazania osobie reprezentującej kontrolowanego legitymacji służbowych oraz imiennego upoważnienia do przeprowadzenia kontroli. Osoba reprezentująca kontrolowanego składa swój podpis na upoważnieniu do przeprowadzenia kontroli, pod częścią zawierającą pouczenie kontrolowanego o jego prawach i obowiązkach.

Przyszli, przywitali się i co dalej?

Odpowiedź na to pytanie znajdzie się w kolejnej części poradnika. Osobom pragnącym zapoznać się z kompleksowym opracowaniem na temat kontroli przeprowadzanych przez GIODO polecamy przygotowane przez Biuro GIODO „ABC zasad kontroli przetwarzania danych osobowych. Przy korzystaniu z tej publikacji należy pamiętać, że nie uwzględnia ona zmian w przepisach prawa, które weszły w życie po 2011 r.

Autor: Marcin Cwener

[i] Sprawozdanie z działalności Generalnego Inspektora Ochrony Danych Osobowych w roku 2015, str. 75, http://www.giodo.gov.pl/data/filemanager_pl/sprawozdaniaroczne/2015.pdf

[ii] ABC zasad kontroli przetwarzania danych osobowych, Wydanie drugie poprawione, Warszawa, grudzień 2011, str. 9-15, http://www.giodo.gov.pl/plik/id_p/1053/j/pl/

 

About Redakcja 320 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.