A zapukać może. Kontroli przeprowadzonych przez GIODO w 2013 r. tylko w obszarze programów lojalnościowych było 7.
Źródło i warunki formalne przepisów o kontroli – niezależnie czy jest to UOKIK, NBP czy PIP – są bardzo zbliżone, choć każda z tych kontroli ma swoje odmienności i szczególne regulacje. Bazą jest ustawa o swobodzie działalności gospodarczej oraz przepisy szczególne z ustawy o ochronie danych osobowych.
Z praktyki uczestniczenia przy kontrolach GIODO – są one najczęściej zapowiadane (telefonicznie oraz faksem lub pisemnie) z kilkudniowym wyprzedzeniem. Zawiadomienie najczęściej jest źródłem informacji o:
- terminie przeprowadzenia czynności kontrolnych,
- przedmiocie i zakresie kontroli,
- dokumentach wymaganych przez inspektorów.
Brak zawiadomienia nie pozwala jednak na niewpuszczenie inspektorów GIODO.
Jak wygląda kontrola GIODO?
Na co inspektorzy mogą zwracać uwagę? Są to w szczególności następujące kwestie:
- czy przetwarzanie danych osobowych następuje zgodnie z prawem i jaka jest podstawa przetwarzania,
- jak wygląda kwestia zabezpieczenia przetwarzanych danych – np. czy dane osobowe zabezpieczane są zgodnie z wymogami technicznymi i organizacyjnymi przewidzianymi w ustawie o ochronie danych osobowych i przepisach wykonawczych,
- jaki jest zakres i cel przetwarzania danych osobowych,
- jak kontrolowany administrator wypełnia obowiązki informacyjne wobec osób, których dane są przetwarzane,
- czy zostały pozgłaszane zbiory.
Kontrola jest zazwyczaj przeprowadzana w oparciu o plan kontroli, który jest również przedstawiany kontrolowanemu. Plan kontroli zawiera zazwyczaj m.in.:
- cel kontroli,
- zakres kontroli i jej szczegółową tematykę (np. sposoby zabezpieczania danych osobowych, kompletność wymaganej prawem dokumentacji),
- termin czynności kontrolnych.
Kiedy może wkroczyć inspektor i czego może żądać?
Inspektorzy mają prawo wstępu w godzinach od 600 do 2200, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych oraz do pomieszczenia, w którym przetwarzane są dane poza zbiorem danych. Mają prawo do przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą o ochronie danych osobowych. Zdarzało mi się uczestniczyć również w kontrolach przeprowadzanych częściowo w siedzibie administratora danych, ale także w serwerowniach, gdzie faktycznie znajdowała się infrastruktura.
W praktyce inspektorzy kontroli umawiają się najczęściej z kontrolowanym administratorem na określone dni i godziny (np. kilka dni pod rząd, między 8.00 a 16.00).
Ponadto inspektorzy mogą żądać:
- złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego,
- wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii,
- przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych.
Kontrole przeprowadzane są zazwyczaj z udziałem wykwalifikowanego informatyka i prawnika, co ma umożliwić inspektorom prawidłową ocenę zabezpieczeń informatycznych oraz ocenę zagadnień prawnych.
Wszystko co się dzieje podczas kontroli powinno się znaleźć w protokole, który na koniec w jednym egzemplarzu pozostawiany jest administratorowi danych osobowych.

Protokół kontroli
W zakresie protokołu kontroli, kontrolowanemu administratorowi przysługują w szczególności następujące uprawnienia:
- prawo wniesienia umotywowanych uwag i zastrzeżeń odnośnie jego treści,
- prawo odmowy podpisania protokołu kontroli (ma to szczególne znaczenie w przypadku nie uwzględnienia przez inspektora uwag i zastrzeżeń kontrolowanego – wykonanie tego uprawnienia wskazuje, że kontrolowany nie zgadza się z wynikami kontroli. W takim wypadku inspektor powinien wskazać w protokole przyczyny odmowy podpisu, a kontrolowany może w terminie 7 dni przedstawić swoje stanowisko na piśmie GIODO).
Całe postępowanie może zakończyć się na etapie protokołu z kontroli. Jednakże jeżeli w oparciu o protokół zostaną stwierdzone nieprawidłowości – zostanie wszczęte postępowanie administracyjne. W wyniku postępowania na administratora może zostać nałożona konkretna decyzja aby np. w ciągu 30 dni spełnił obowiązek informacyjny przez poinformowanie użytkowników o adresie swojej siedziby.
Jeżeli w wyniku kontroli inspektor stwierdzi naruszenie przepisów ustawy o ochronie danych osobowych, występuje do GIODO o wydanie decyzji zobowiązującej ten podmiot do usunięcia naruszeń.
W przypadku decyzji nakazującej usunięcie naruszeń, jako administratorzy danych osobowych, zasadniczo możemy się bronić i złożyć do GIODO wniosek o ponowne rozpatrzenie sprawy, a następnie (w przypadku odmowy zmiany decyzji) wnieść skargę do sądu administracyjnego. Zarówno wnioski jak i skargi mają sens jeżeli tylko uda się nam zebrać odpowiednie argumenty biznesowe, faktyczne i prawne.
Samo ewentualnie postępowanie sądowe prowadzone jest przez Wojewódzki, a potem Naczelny Sąd Administracyjny w Warszawie (zatem sprawy z zakresu danych osobowych z całej Polski koncentrują się w tych dwóch sądach). Obyście jednak takich spraw nie mieli za dużo!
Czy kiedykolwiek spotkaliście się z kontrolą GIODO? Jakie są Wasze doświadczenia z tym związane? A może macie pytania, wątpliwości? Czekamy na nie w komentarzach poniżej!