Czekając na kontrolę PUODO

Kontrola PUODO

 

puodo_kontrola

Ostatnie sprawozdanie GIODO

W połowie maja 2018 r. GIODO opublikował na swojej stronie internetowej sprawozdanie z działalności w roku 2017. Wynika z niego, iż w okresie, którego dotyczy sprawozdanie przeprowadził 212 kontroli i sprawdzeń. Samych kontroli pracownicy biura przeprowadzili 145, z których z kolei 69 zakończyło się wydaniem decyzji. Powody i przyczyny kontroli były różne: w związku z rozpatrywaniem skarg, sygnalizacjami obywateli, rejestracją zbiorów danych osobowych, sygnalizacjami innych organów, ale i sprawdzenia dokonywane na podstawie opracowanego harmonogramu kontroli sektorowych.

Patrząc na harmonogram kontroli oraz załącznik nr 1 do przywołanego sprawozdania, w którym znalazł się wykaz przeprowadzonych kontroli można dojść do wniosku, że pracownicy GIODO nie faworyzowali, ani też nie pominęli żadnej kategorii administratorów danych. Odwiedzili zarówno sektor prywatny jak i publiczny, małe i duże podmioty. Ale to było już ostatnie sprawozdanie GIODO, po 20 latach funkcjonowania ustawy ustąpi on miejsca „nowemu-staremu” organowi. Zmieni się nazwa, urząd się rozrośnie, co jasno wynika z publikowanej wraz z projektami ustaw „oceny skutków regulacji”. Nie zmieni się natomiast jedno z podstawowych zadań organu.

Prezes Urzędu Ochrony Danych Osobowych (PUODO) będzie miał obowiązek monitorowanie i  egzekwowania stosowania RODO.

Jak może wyglądać kontrola?

Jednym z podstawowych uprawnień  PUODO będzie prowadzenie postępowań w formie audytów ochrony danych (art. 51 ust. 1 b ogólnego rozporządzenia o ochronie danych). O środkach nacisku i sankcjach jakie organ będzie mógł zastosować i  nałożyć pisałem w poprzednim wątku i nie czas na ich powtarzanie. Rozwinięciem tego uprawnienia będzie niewątpliwie możliwość:

uzyskiwania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań” jak również „uzyskiwanie dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych.

Tyle, jeśli chodzi o „precyzyjność” RODO.  Na wysokości zadania stanął  jednak ustawodawca i znaczną część ustawy poświęcił temu jak działać powinien PUODO. Po pierwsze wyraźnie rozgraniczono postępowanie kontrolne od postępowania w sprawie naruszenia. Poświęcając im dwa oddzielne rozdziały: odpowiednio rozdz. 9 i 7. Dziś o tym pierwszym.

Podobnie jak do tej pory przeprowadzenie kontroli możliwe będzie na podstawie zatwierdzonego planu kontroli lub na podstawie pozyskanych przez Prezesa informacji. Zasad prowadzenia kontroli nie dotknęła rewolucja w porównaniu
z dotychczas obowiązującymi. Czego zatem może spodziewać się przedsiębiorca, do którego drzwi zapuka upoważniona przez Prezesa osoba?

Po pierwsze….

nie zapuka z zaskoczenia, bo akurat przechodziła obok. Będzie musiała się wcześniej zapowiedzieć. Dlaczego? Ponieważ zastosowanie znajdą tu przepisy ustawy o swobodzie działalności gospodarczej. Jej art. 79 ust. 4:

Kontrolę wszczyna się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli.

Owszem był moment, gdy na przedsiębiorców mógł paść blady strach, bo w procesie legislacyjnym, jeszcze w projekcie z 8 lutego 2018 r. był zapis (art. 87), który odnosił się do kontroli działalności gospodarczej przedsiębiorcy i wyłączał stosowanie art.. 79 cytowanej powyżej ustawy. Gdyby przywołany zapis przetrwał, to wtedy tak, wtedy kontrola mogłaby wejść „z ulicy”. Tego jednak nie będzie mogła zrobić.

Po drugie…

będzie natomiast musiała okazać upoważnienie. W nim znajdą się najważniejsze informacje – zakres kontroli oraz wskazanie osób uprawnionych do jej przeprowadzenia. I nie jest to zazwyczaj jedna osoba. Częściej minimum 2 tj. prawnik i informatyk. Nie ma co się denerwować – kontroler też człowiek. Pouczy nas – pokazując właściwy punkt upoważnienia jakie są nasze obowiązki
i przewidywany termin zakończenia czynności kontrolnych. A kontrola nie powinna trwać dłużej niż 30 dni od okazania upoważnienia.

Czego nie powinniśmy kontrolerowi odmawiać? Na pewno musimy umożliwić wstęp od 6 do 22 do budynków, lokali i pomieszczeń oraz dokumentów i informacji związanych z zakresem kontroli. Podstawowym narzędziem kontroli jest zapoznanie się z dokumentami oraz oględziny miejsc i środków wykorzystywanych do przetwarzania danych, a więc również narzędzi i systemów informatycznych. Dlatego też możemy zostać poproszenie o sporządzenie kopii lub wydruków, które kontrolera zainteresują. Jeśli kontrolerzy uznają to za uzasadnione będą mogli wykorzystywać narzędzia rejestrujące przebieg kontroli a więc nagrywać dźwięk lub obraz. O tym jednak będą musieli wcześniej poinformować. Oprócz tego
w ustawie przewidziano nową sytuację – możliwość zwrócenia się przez kontrolerów o pomoc do policji, aby ta zapewniła „usprawniła” działania kontrolne w przypadku wystąpienia oporu.

Jeśli mamy IODę to pewnie weźmie on na siebie znaczną część pytań, które w trakcie kontroli mogą się pojawić. Pamiętać jednak trzeba o tym, że kontrolerzy mogą również przesłuchać pracownika kontrolowanego podmiotu jako świadka.

Ważne to, co w protokole

protokół puodoEfektem każdej kontroli będzie protokół kontrolny, w którym oprócz technicznych informacji co do zakresu i czasu jej przeprowadzenia, kluczowe znaczenie będą miały poczynione przez kontrolerów ustalenia stanu faktycznego i ich opis. To one będą podstawą do oceny zgodności przetwarzania z przepisami o ochronie danych osobowych. Jak w przypadku prawie każdej kontroli, podmiot, u którego ona „gościła” może nie zgodzić się przedstawionymi mu ustaleniami.  Dlatego też w art. 88 (4) ustawy wskazano czas (7 dni) w trakcie którego kontrolowany powinien protokół podpisać lub przedstawić pisemne zastrzeżenia co do jego treści.  Do ewentualnych zastrzeżeń kontrolujący będzie musiał się odnieść. Jeżeli jednak, pomimo przeanalizowania zastrzeżeń organ uzna, iż mogło dojść do naruszenia przepisów o ochronie danych osobowych, zobowiązany będzie do niezwłocznego wszczęcia postępowania w sprawie naruszenia. A postępowanie w sprawie naruszenia może być „bolesne w skutkach” dla Administratora Danych i wiązać się z nałożeniem kar administracyjnych lub zastosowaniem innych środków nacisku.

Jak przygotować się na kontrolę?

Po pierwsze…

jeśli jesteś IODą przygotuj szefa na to co może znaleźć się w protokole 🙂

Nie ma pewnie 100 % zgodnych z przepisami postępowań i nadzoru nad procesami.

Po drugie…

dokonaj przeglądu posiadanej dokumentacji, rejestrów czynności przetwarzania oraz aktualności upoważnień, umów powierzenia, uzyskanych zgód na przetwarzanie danych. Nie staraj się jednak „na siłę”, tuż przed wizytą kontrolerów udoskonalać systemu i procesów w sposób nieprzemyślany, nie poparty analizą. Może się okazać, że takie pośpieszne modyfikacje wpłyną negatywnie na dokonaną w trakcie kontroli ocenę.

Po trzecie…

przygotuj pracowników na pytania, które mogą się pojawić. Warto uczulić ich na to, aby na ewentualne pytania odpowiadali krótko i tylko w tym zakresie, czego dotyczyło pytanie. W przypadku wątpliwości, jeśli będzie to możliwe, muszą wiedzieć do kogo ewentualnie przekierować pytanie, (w domyśle do IODy). Nie warto dopowiadać „co mi się wydaje”, bez wyraźnej sugestii nie rozwijać wypowiedzi ponad miarę. Każde bowiem sugestie dodatkowe mogą być „punktem zaczepienia” prowadzącym do następnego pytania. Generalnie nie warto również utrudniać kontroli – to da się wyczuć i raczej nie działa jako okoliczność łagodząca, która przy indywidualnym podejściu do sprawy, jakie w procedowaniu ma stosować przyszły PUODO, będzie przemawiać na korzyść Administratora danych.

Polecamy również inne artykuły  z serii #KierunekRODO .

Może Ci się również spodoba