Gdy GIODO zapuka do drzwi…
ostatnia aktualizacja 0

Gdy GIODO zapuka do drzwi…

A zapukać może. Kontroli przeprowadzonych przez GIODO w 2013 r. tylko w obszarze programów lojalnościowych było 7.

Źródło i warunki formalne przepisów o kontroli – niezależnie czy jest to UOKIK, NBP czy PIP – są bardzo zbliżone, choć każda z tych kontroli ma swoje odmienności i szczególne regulacje. Bazą jest ustawa o swobodzie działalności gospodarczej oraz przepisy szczególne z ustawy o ochronie danych osobowych.

Z praktyki uczestniczenia przy kontrolach GIODO – są one najczęściej zapowiadane (telefonicznie oraz faksem lub pisemnie) z kilkudniowym wyprzedzeniem. Zawiadomienie najczęściej jest źródłem informacji o:

  • terminie przeprowadzenia czynności kontrolnych,
  • przedmiocie i zakresie kontroli,
  • dokumentach wymaganych przez inspektorów.

Brak zawiadomienia nie pozwala jednak na niewpuszczenie inspektorów GIODO.

Jak wygląda kontrola GIODO?

Na co inspektorzy mogą zwracać uwagę? Są to w szczególności następujące kwestie:

  • czy przetwarzanie danych osobowych następuje zgodnie z prawem i jaka jest podstawa przetwarzania,
  • jak wygląda kwestia zabezpieczenia przetwarzanych danych – np. czy dane osobowe zabezpieczane są zgodnie z wymogami technicznymi i organizacyjnymi przewidzianymi w ustawie o ochronie danych osobowych i przepisach wykonawczych,
  • jaki jest zakres i cel przetwarzania danych osobowych,
  • jak kontrolowany administrator wypełnia obowiązki informacyjne wobec osób, których dane są przetwarzane,
  • czy zostały pozgłaszane zbiory.

Kontrola jest zazwyczaj przeprowadzana w oparciu o plan kontroli, który jest również przedstawiany kontrolowanemu. Plan kontroli zawiera zazwyczaj m.in.:

  •  cel kontroli,
  • zakres kontroli i jej szczegółową tematykę (np. sposoby zabezpieczania danych osobowych, kompletność wymaganej prawem dokumentacji),
  • termin czynności kontrolnych.

Kiedy może wkroczyć inspektor i czego może żądać?

Inspektorzy mają prawo wstępu w godzinach od 600 do 2200, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych oraz do pomieszczenia, w którym przetwarzane są dane poza zbiorem danych. Mają prawo do przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą o ochronie danych osobowych. Zdarzało mi się uczestniczyć również w kontrolach przeprowadzanych częściowo w siedzibie administratora danych, ale także w serwerowniach, gdzie faktycznie znajdowała się infrastruktura.

W praktyce inspektorzy kontroli umawiają się najczęściej z kontrolowanym administratorem na określone dni i godziny (np. kilka dni pod rząd, między 8.00 a 16.00).

Ponadto inspektorzy mogą żądać:

  • złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego,
  • wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii,
  • przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych.

Kontrole przeprowadzane są zazwyczaj z udziałem wykwalifikowanego informatyka i prawnika, co ma umożliwić inspektorom prawidłową ocenę zabezpieczeń informatycznych oraz ocenę zagadnień prawnych.

Wszystko co się dzieje podczas kontroli powinno się znaleźć w protokole, który na koniec w jednym egzemplarzu pozostawiany jest administratorowi danych osobowych.

photo-1422486578093-18e296095a04

Protokół kontroli

W zakresie protokołu kontroli, kontrolowanemu administratorowi przysługują w szczególności następujące uprawnienia:

  • prawo wniesienia umotywowanych uwag i zastrzeżeń odnośnie jego treści,
  • prawo odmowy podpisania protokołu kontroli (ma to szczególne znaczenie w przypadku nie uwzględnienia przez inspektora uwag i zastrzeżeń kontrolowanego – wykonanie tego uprawnienia wskazuje, że kontrolowany nie zgadza się z wynikami kontroli. W takim wypadku inspektor powinien wskazać w protokole przyczyny odmowy podpisu, a kontrolowany może w terminie 7 dni przedstawić swoje stanowisko na piśmie GIODO).

Całe postępowanie może zakończyć się na etapie protokołu z kontroli. Jednakże jeżeli w oparciu o protokół zostaną stwierdzone nieprawidłowości – zostanie wszczęte postępowanie administracyjne. W wyniku postępowania na administratora może zostać nałożona konkretna decyzja aby np. w ciągu 30 dni spełnił obowiązek informacyjny przez poinformowanie użytkowników o adresie swojej siedziby.

Jeżeli w wyniku kontroli inspektor stwierdzi naruszenie przepisów ustawy o ochronie danych osobowych, występuje do GIODO o wydanie decyzji zobowiązującej ten podmiot do usunięcia naruszeń.

W przypadku decyzji nakazującej usunięcie naruszeń, jako administratorzy danych osobowych, zasadniczo możemy się bronić i złożyć do GIODO wniosek o ponowne rozpatrzenie sprawy, a następnie (w przypadku odmowy zmiany decyzji) wnieść skargę do sądu administracyjnego. Zarówno wnioski jak i skargi mają sens jeżeli tylko uda się nam zebrać odpowiednie argumenty biznesowe, faktyczne i prawne.

Samo ewentualnie postępowanie sądowe prowadzone jest przez Wojewódzki, a potem Naczelny Sąd Administracyjny w Warszawie (zatem sprawy z zakresu danych osobowych z całej Polski koncentrują się w tych dwóch sądach). Obyście jednak takich spraw nie mieli za dużo!

Czy kiedykolwiek spotkaliście się z kontrolą GIODO? Jakie są Wasze doświadczenia z tym związane? A może macie pytania, wątpliwości? Czekamy na nie w komentarzach poniżej!

Subskrybuj, aby otrzymywać top artykuły, wskazówki i porady marketingowe.

GetResponse Sp. z o.o. potrzebuje danych zawartych w tym formularzu w celu dostarczenia Ci materiałów, o które wnioskujesz. Więcej informacji znajdziesz w Polityce Prywatności.

Dziękujemy za rejestrację!

Niedługo wyślemy Ci wiadomość email z potwierdzeniem zapisu.