Ikona Adresu Mailowego
Ikona Adresu Mailowego

28 sierpnia 2019

Anna Domin

Kontrole RODO? Co powinieneś widzieć, jako przedsiębiorca o zasadach przeprowadzania kontroli RODO zanim pojawi się w Twojej firmie inspektor urzędu ochrony danych osobowych.

Blog
Działalność gospodarcza
RODO

Parafrazując nieco zagadnienie można stwierdzić że, żarty się skończyły, a upłynęło już tyle czasu na wdrożenie RODO, że Urząd Ochrony Danych Osobowych może zapukać do Twojej firmy i powiedzieć „sprawdzam”. Ogólna prerogatywa organu nadzorczego, w naszym przypadku Prezesa Urzędu Ochrony Danych Osobowych (dalej Prezes Urzędu) do monitorowania (czytaj kontrolowania przestrzegania przepisów o ochronie danych osobowych) […]

Parafrazując nieco zagadnienie można stwierdzić że, żarty się skończyły, a upłynęło już tyle czasu na wdrożenie RODO, że Urząd Ochrony Danych Osobowych może zapukać do Twojej firmy i powiedzieć „sprawdzam”. Ogólna prerogatywa organu nadzorczego, w naszym przypadku Prezesa Urzędu Ochrony Danych Osobowych (dalej Prezes Urzędu) do monitorowania (czytaj kontrolowania przestrzegania przepisów o ochronie danych osobowych) wynika z art. 51 ust.1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/697 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO). Uzupełnieniem  tych regulacji są przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej Ustawa), która w rozdziale 9 reguluje kwestie kontroli przestrzegania przepisów o ochronie danych osobowych. Przeprowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych zarządza i przeprowadza Prezes Urzędu, co do zasady zgodnie z zatwierdzonym planem kontroli. Kontrolę przeprowadza pracownik urzędu który został upoważniony  przez Prezesa Urzędy– po okazaniu imiennego upoważnienia do przeprowadzenia kontroli wraz z legitymacją służbową, są to podstawowe dokumenty, których masz prawo zażądać od kontrolującego zanim udostępnisz mu jakiekolwiek dokumenty czy informacje.

Warto też zapoznać się bardziej szczegółowo z treścią imiennego upoważnienia do kontroli. Powinno ono zawierać następujące informacje :

  • (i)                 Wykazanie podstawy prawnej przeprowadzania kontroli,
  • (ii)               Oznaczenie organu,
  • (iii)             Imię i nazwisko, stanowisk służbowe oraz numer legitymacji służbowej,
  • (iv)             Określenie zakresu przedmiotowego kontroli,
  • (v)               Oznaczenie kontrolowanego,
  • (vi)             Wskazanie daty rozpoczęcia kontroli i przewidywanego terminu zakończenia czynności kontrolnych, ( co do zasady nie dłużej niż 30 dni),
  • (vii)           Podpis Prezesa Urzędu,
  • (viii)         Pouczenie kontrolowanego o jego prawach i obowiązkach,
  • (ix)             Data i miejsce jego wystawienia.

Jeżeli zauważysz jakieś braki lub nieścisłości w okazanych dokumentach możesz do czasu ich usunięcia odmówić wstępu osobom kontrolującym. Kontrola, co do zasady przeprowadzana jest w obecności kontrolowanego lub osoby przez nią upoważnionej. Należy pamiętać, że podmiot kontrolowany ma obowiązek zapewnienia kontrolującym warunków i środków niezbędnych do sprawnego przeprowadzenia kontroli oraz sporządzania we własnym zakresie kopii lub wydruków z badanych dokumentów. Za wystarczające uznać, zatem należy udostępnienie kontrolującym samodzielnego pokoju lub sali konferencyjnej, jeśli taką dysponujemy wraz z dostępem do kserokopiarki i źródła energii. Powinieneś pamiętać, że kontrolujący mają prawo wstępu do Twojej firmy od 600 do 2200 , co prawda z ustawy nie wynika czy chodzi o dni robocze ale należy przyjąć, że kontrole mogą odbywać się wyłącznie w dni robocze. Ponadto kontrolerzy mają prawo wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli (warto jest, zatem zwracać uwagę czy kontrolerzy tego przestrzegają a jeśli uznasz, że żądane dokumenty nie mają bezpośredniego w związku ze sprawą możesz po prostu odmówić ich okazania), przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych. Jeśli Twoim zdaniem dokumenty, które udostępniasz kontrolującym zawierają tajemnicę przedsiębiorstwa powinieneś to wyraźnie zastrzec. W uzasadnionych przypadkach przebieg kontroli lub poszczególnych czynności, po uprzednim powiadomieniu kontrolowanego może być utrwalane za pomocą urządzeń rejestrujących obraz lub dźwięku. Musisz mieć świadomość, że gdybyś w sposób nieuzasadniony odmówił możliwości przeprowadzenia kontroli (np. nie wpuścisz kontrolujących do swojej firmy) mogą on zwrócić się do Policji o pomoc w wykonaniu czynności kontrolnych. Musisz też pamiętać, że w ten sposób narażasz się nie tylko na odpowiedzialność karną, (Kto udaremnia lub utrudnia kontrolującym prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch). Niezależnie od tego twoja firma może zostać obciążona poniesionymi przez Policję kosztami z tytułu udzielenia pomocy przy wykonywaniu czynności. Warto też wiedzieć, że kontrolujący mogą przesłuchiwać twoich pracowników lub osoby wykonujące prace na podstawie umowy cywilnoprawnej w charakterze świadków, a odmowa współpracy w tym zakresie może narazić taką osobę na grzywnę. To, co z pewnością interesuje każdego właściciela czy szefa firmy to to jak długo taka kontrola może trwać i czym się ona może skończyć. Co do zasady kontrolę prowadzi się nie dłużej niż 30 dni, z tym, że do tego terminu nie wlicza się czasu przewidzianego na zgłoszenie zastrzeżeń do protokołu kontroli lub podpisanie o doręczenie protokołu kontroli.

Jak każda kontrola, również i ta z zakresu RODO, kończy się sporządzeniem protokołu kontroli, który przekazywany jest kontrolowanemu do podpisu. Jeśli nie zgadzasz się z jego treścią, masz prawo w terminie 7 dni od przedstawienia protokołu wnieść zastrzeżenia do jego treści. Kontrolujący może uwzględnić zgłoszone zastrzeżenia i dokonać zmiany lub uzupełnienia protokołu albo nie uwzględnić zastrzeżeń, z tym że wtedy wymaga to uzasadniania. Protokół kontroli sporządzany jest w formie elektronicznej albo w postaci papierowej w dwóch egzemplarzach. Brak zgłoszenia kontrolującemu podpisanego protokołu kontroli i niezgłoszenie zastrzeżeń do jego treści w terminie, 7 dni, uznaje się za odmowę podpisania protokołu kontroli. O odmowie podpisania protokołu kontroli, kontrolujący czynią wzmiankę w protokole kontroli. Podpisanie protokołu kontroli w zasadzie kończy postępowanie w tym zakresie chyba, że na podstawie informacji zgromadzonych w postępowaniu kontrolnym Prezes Urzędu uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, a wówczas zobowiązany jest do niezwłocznego wszczęcia postępowania w sprawie naruszenia przepisów o ochronie danych osobowych, o którym mowa w art. 60 Ustawy. Wtedy jednak toczy się już inne postępowanie.

 

Radca prawny

Wojciech Ostrowski

Rachelski i Wspólnicy Kancelaria Prawna Spółka komandytowa

Wszystkie artykuły