Kto i na jakiej podstawie może wszcząć kontrolę w zakresie ochrony danych osobowych?
Organem nadzorczym, który monitoruje przestrzeganie przepisów dotyczących ochrony danych osobowych w Polsce, jest Prezes Urzędu Ochrony Danych działający w imieniu Urzędu Ochrony Danych Osobowych (postępowanie przed PUODO). Może on wszcząć postępowanie na jeden z dwóch sposobów:
- z urzędu na podstawie sporządzonego planu kontroli – w praktyce zdarza się to rzadko;
- na wniosek – na przykład w związku ze skargą klienta złożoną do UODO spowodowany naruszeniem jego danych osobowych lub na skutek informacji z rynku (np. od konkurencji – zarzucane naruszenie przepisów).
Warto zwrócić uwagę, że – choć sam Urząd Ochrony Danych Osobowych reprezentuje administracyjno-prawną część funkcjonowania państwa – ustawę kodeks postępowania administracyjnego stosuje się jedynie pomocniczo. Kluczowe znaczenie odgrywa natomiast ustawa o ochronie danych osobowych.
Kto działa w imieniu podmiotu przetwarzającego dane osobowe?
W imieniu podmiotu przetwarzającego dane osobowe działa Inspektor Ochrony Danych (IOD). Do jego obowiązków należy przede wszystkim:
- zagwarantowanie dostępu do dokumentów i informacji związanych z wykonywaniem przez kontrolującego zadań ustawowych;
- realizacja zadań z zakresu ochrony danych.
W literaturze wspomina się niekiedy, że IOD pełni funkcję „punktu kontaktowego”, zapewniając płynną współpracę z Urzędem Ochrony Danych. Często to właśnie IOD jest wybierany jako osoba reprezentująca firmę w razie kontroli, ponieważ to on wie najlepiej jakie procesy prowadzące do przetwarzania danych są realizowane w firmie i w jaki sposób są one zabezpieczone.
Zobacz również: Wyznaczenie inspektora ochrony danych w praktyce
Jak wygląda postępowanie przed Urzędem Ochrony Danych Osobowych?
Dokładny przebieg postępowania przed UODO został opisany w art. 78 do 91 ustawy o ochronie danych osobowych. Przyjrzyjmy się, jak wygląda ramowy przebieg takiej procedury.
Kto przeprowadza kontrolę w zakresie podejrzenia naruszenia danych osobowych?
Kontrole mogą być realizowane przez upoważnionych pracowników Urzędu Ochrony Danych Osobowych albo upoważnionych członków lub pracowników organu nadzorczego państwa członkowskiego. Prezes UODO może uprawnić do przeprowadzenia kontroli także osobę posiadającą wiedzę specjalistyczną (np. informatyka). Ustawa o ochronie danych przewiduje możliwość wyłączenia kontrolującego z przebiegu kontroli na wniosek lub z urzędu, jeżeli:
- wyniki kontroli mogłyby oddziaływać na sytuację tej osoby lub osoby dla niej najbliższej;
- zachodzą uzasadnione wątpliwości co do bezstronności kontrolującego.
Zastrzeżenia w tym zakresie może zgłosić także podmiot kontrolowany, raportując je bezpośrednio do Prezesa Urzędu, który rozstrzyga w zakresie wyłączenia. Pomiędzy zgłoszeniem żądania wyłączenia a wydaniem postanowienia kontrolujący może wykonywać wyłącznie działania niecierpiące zwłoki.
Należy zaznaczyć, że przeprowadzenie kontroli jest możliwe wyłącznie po okazaniu imiennego upoważnienia, które zawiera cały szereg elementów wymienionych w art. 81 ust. 2 ustawy o ochronie danych osobowych. Co w takim razie powinno znaleźć się w upoważnieniu? Są to:
- wskazanie podstawy prawnej przeprowadzanej kontroli;
- oznaczenie organu;
- dane pozwalające na identyfikację osoby kontrolującej (w tym numer dokumentu potwierdzającego tożsamość);
- określenie zakresu przedmiotowego kontroli;
- oznaczenie kontrolowanego;
- wskazanie terminu rozpoczęcia oraz przewidywanego terminu zakończenia kontroli;
- podpis Prezesa UODO;
- pouczenie kontrolowanego o jego prawach i obowiązkach;
- data i miejsce wystawienia upoważnienia.
Warto o tym pamiętać, ponieważ wystarczy niewielki brak w treści upoważnienia (np. niewskazanie numeru i serii dowodu osobistego kontrolera), aby podmiot objęty kontrolą mógł zgodnie z prawem odmówić wstępu pracownikom UODO na teren firmy, bez konieczności interwencji wojewódzkiego sądu administracyjnego i administracyjną karę pieniężną za dalsze ich przetwarzanie zobowiązać podmiot do całkowitego rocznego światowego obrotu.
Zobacz również: Szacowanie ryzyka w zakresie RODO i DPIA. Jak do nich podejść?
Czy osoba kontrolowana ma prawo uczestniczyć w kontroli UODO?
Firma, względem której wszczęto postępowanie kontrolne w zakresie podejrzenia naruszenia danych osobowych, ma prawo wytypować osobę, która będzie reprezentowała ją w trakcie czynności kontrolera. Takie upoważnienie powinno być wyrażone na piśmie. Osobą desygnowaną może być np. Inspektor Ochrony Danych. Jeżeli zaniedbano wytypowania reprezentanta podmiotu kontrolowanego, kontrolę nadal można przeprowadzić, z tym zastrzeżeniem, że upoważnienie do kontroli może zostać przedłożone:
- osobie czynnej w lokalu przedsiębiorstwa, czyli pracownikowi do obowiązków którego należy obsługiwanie osób korzystających z usług tego przedsiębiorstwa;
- powołanemu świadkowi, jeżeli przysługuje mu status funkcjonariusza publicznego w rozumieniu przepisów kodeksu karnego. Będzie nim np.:
- kurator sądowy;
- syndyk;
- nadzorca;
- zarządca;
- funkcjonariusz organu powołany do ochrony bezpieczeństwa publicznego.
Zakres uprawnień kontrolującego
Osoby działające w imieniu UODO mogą realizować czynności niezbędne do realizacji ich kompetencji ustawowych, które zostały wymienione w art. 84 ust. 1 ustawy o ochronie danych osobowych. Należy przy tym pamiętać, że zakres tych uprawnień jest zamknięty co oznacza, że podejmowanie jakichkolwiek innych działań, które nie mieszczą się w ustawowym katalogu, będzie równoznaczne z przekroczeniem dopuszczalnego prawem zakresu kontroli. Zgodnie z powołaną podstawą, osoby kontrolujące mają prawo:
- wstępu w godzinach od 6:00 do 22:00 na grunt oraz do budynków, lokali i innych pomieszczeń;
- wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli;
- przeprowadzenia oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych i teleinformatycznych służących do przetwarzania danych;
- żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
- zlecać sporządzanie ekspertyz i opinii (np. w zakresie zastosowanych w firmie zabezpieczeń chmury, w której gromadzone są dane osobowe);
- w uzasadnionych przypadkach oraz po uprzednim poinformowaniu kontrolowanego rejestrować dźwięk albo obraz i dźwięk z miejsca objętego kontrolą. Takie nośniki stanowią załącznik do protokołu kontroli.
Zakres uprawnień kontrolera idzie w parze z obowiązkami podmiotu kontrolowanego, który powinien współpracować,
m.in. poprzez stworzenie warunków do sprawnego przeprowadzenia kontroli. Czas kontroli nie może przekraczać 30 dni od dnia okazania legitymacji przez kontrolerów, przy czym do tego terminu nie wlicza się czasu na zgłoszenie zastrzeżeń do protokołu kontrolnego oraz odniesienie się do nich przez osoby przeprowadzające kontrolę.
W jaki sposób ustalane jest naruszenie przepisów o ochronie danych osobowych?
Fakt i stopień naruszenia przepisów o ochronie danych osobowych jest ustalany na podstawie całokształtu materiału dowodowego zebranego w postępowaniu, w tym z uwzględnieniem wyniku oględzin, przesłuchania świadków, ustnych i pisemnych wyjaśnień oraz oświadczeń.
Ustawa o ochronie danych osobowych w art. 87 posługuje się zwrotem „w szczególności” co oznacza, że dopuszczalne jest również uwzględnienie w toku postępowania innych dowodów, które nie zostały wymienione w tym przepisie, ale mają znaczenie dla wydania decyzji administracyjnej.
Jako część materiału dowodowego mogą służyć też zeznania złożone przez osobę współpracującą z podmiotem kontrolowanym na innej podstawie, niż stosunek pracy (np. umowa cywilnoprawna, kontrakt B2B).
Zobacz również: AML a RODO – jak wygląda ochrona danych osobowych przy wypełnianiu obowiązków instytucji obowiązanej?
W jaki sposób kończy się kontrola UODO?
Przebieg całej kontroli należy ująć w protokole sporządzonym na piśmie lub w formie elektronicznej, zawsze w dwóch egzemplarzach. Jego elementy zostały wymienione w art. 88 ust. 2 ustawy o ochronie danych osobowych i obejmują m.in.:
- dokładne oznaczenie podmiotu kontrolowanego oraz osób przeprowadzających kontrolę;
- czas i zakres przedmiotowy kontroli;
- opis ustalonego stanu faktycznego.
Kontrolowany dysponuje 7-dniowym terminem na to, aby protokół podpisać lub zgłosić do niego zastrzeżenia. Osoby kontrolujące mają obowiązek odnieść się do zastrzeżeń, a w razie potrzeby podjąć dodatkowe czynności kontrolne mające na celu wyjaśnienie wątpliwości.
Sankcje za utrudnianie kontroli UODO
Kontrolujący, który utrudnia przeprowadzenie kontroli, musi liczyć się z tym, że Prezes UODO zwróci się o pomoc do lokalnej jednostki Policji, która ma obowiązek udzielenia wsparcia w niezbędnym zakresie. W szczególnie uzasadnionych przypadkach pomoc może być udzielona doraźnie już na ustne wezwanie, bez konieczności składania odpowiedniego wniosku na drodze administracyjnej. Interwencja Policji ma na celu:
- zapewnienie kontrolującemu bezpieczeństwa osobistego;
- zapewnienie dostępu do miejsca wykonywania kontroli i porządku w tym miejscu.
Za utrudnianie lub udaremnianie kontroli grozi także odpowiedzialność karna. Na podstawie art. 108 ustawy o ochronie danych osobowych sankcja obejmuje grzywnę, karę ograniczenia wolności albo karę pozbawienia wolności do 2 lat.
Kiedy Prezes UODO może „zatrzymać” działanie firmy?
Organ kontrolujący może dojść do wniosku, że dalsze przetwarzanie danych przez podmiot kontrolowany narusza przepisy o ochronie danych osobowych na tyle drastycznie, że potencjalnie spowoduje to poważne i trudne do usunięcia skutki. W takiej sytuacji organ nadzorczy ma prawo wydać postanowienie, na mocy którego zobowiąże kontrolowaną firmę, której zarzuca się naruszenie przepisów, do ograniczenia przetwarzania danych osobowych, wskazując dopuszczalny zakres przetwarzania.
Wydanie takiego postanowienia może znacząco wpłynąć na swobodę działania firmy, która np. nie będzie mogła wysyłać zamówień do klientów z uwagi na prawdopodobieństwo wycieku danych z profili użytkowników serwisu.
Takie ograniczenie zawsze jest ograniczone czasowo i nie może trwać dłużej, niż do wydania decyzji kończącej postępowanie w sprawie. Co więcej, przedsiębiorca, który nie zgadza się z rozstrzygnięciem, ma prawo wystąpić ze skargą do wojewódzkiego sądu administracyjnego.
Warto zwrócić uwagę, że uprawnienie, o którym mowa w art. 70 ust. 1 ustawy o ochronie danych osobowych zawiera klauzulę generalną w postaci „poważnych i trudnych do usunięcia skutków.” Aby uniknąć naruszenia swoich interesów, przedsiębiorca zawsze powinien rozważyć zasadność zaskarżenia postanowienia. Co więcej mechanizm może zostać wykorzystany wyłącznie w postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych, ale nie na etapie postępowania kontrolnego.
Dobrym przykładem decyzji, która niejako „wymusza” podjęcie odpowiedniego działania było nałożenie przez irlandzki organ nadzorczy w zakresie danych osobowych w grudniu 2022 r. dwóch kar pieniężnych na spółkę Meta Platforms Ireland w wysokości odpowiednio 210 oraz 180 milionów euro. Jednocześnie organ administracyjny zobowiązał podmiot do zmiany sposobu prowadzenia kampanii marketingowej poprzez zaprzestanie stosowania reklam behawioralnych.
Zobacz również: Jak legalnie stosować profilowanie z RODO?
Jak przygotować się do kontroli UODO?
Zawiadomienie firmy o planowanej kontroli w zakresie przestrzegania przepisów RODO to najwyższy czas, aby przygotować niezbędną dokumentację RODO. Kluczowe znaczenie dla uniknięcia odpowiedzialności ma wykazanie, że przedsiębiorstwo realizuje zasadę rozliczalności, czyli podejmuje wszelkie uzasadnione działania, ale wyeliminować lub ograniczyć do minimum ryzyko naruszenie obowiązujących przepisów. Jakie dokumenty mogą okazać się przydatne przy wykazywaniu zasady rozliczalności? Przede wszystkim będą to:
- umowy powierzenia przetwarzania danych;
- upoważnienia do przetwarzania danych osobowych;
- klauzule RODO;
- rejestr czynności przetwarzanych oraz rejestr kategorii czynności przetwarzania;
- ewentualne raporty potwierdzające zgłoszenia incydentów naruszenia RODO.
Warto także przygotować z wyprzedzeniem politykę dotyczącą przetwarzania danych osobowych oraz analizy DPIA (ang. Data Privacy Impact Assessment). W szerszej perspektywie można rozważyć wdrożenie np. ISO27017 czy ISO27001. Zaświadczają one, że firma dba o ochronę danych osobowych zarówno fizycznych, jak w środowisku chmurowym. Kancelaria Prawna RPMS oferuje kompleksowe usługi w zakresie audytu RODO. Nasi prawnicy przeanalizują procesy biznesowe w firmie oraz wykorzystywaną dokumentację i doradzą, w jaki sposób można przygotować się do kontroli UODO. W razie potrzeby wspieramy naszych klientów również na etapie samej kontroli oraz składamy zastrzeżenia do protokołu.
Zobacz również: Szkolenie z RODO
Pytania i odpowiedzi
Tak, choć zgodnie z art. 65 ust. 1 ustawy o ochronie danych osobowych, strona może zastrzec informacje stanowiące tajemnicę przedsiębiorstwa. W takiej sytuacji przedkłada Prezesowi UODO dwie wersje dokumentów – zawierające tajemnicę przedsiębiorstwa oraz taką, która jej nie zawiera. W wyjątkowych okolicznościach Prezes UODO może uchylić zastrzeżenie strony postępowania, jeżeli stwierdzi, że informacje nie wypełniają przesłanek uznania ich za tajemnicę przedsiębiorstwa.
Nie ma takiej potrzeby. Podmiot kontrolowany ma obowiązek przedstawić tłumaczenie dokumentów, ale może je przygotować na dzień wskazany jako początek kontroli.
Zaufali nam: