Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Uprawnienia inspektorów UODO i ograniczenia tych uprawnień

21-05-2019 Autor: Milena Wilkowska, Sławomir Kowalski

W kolejnej części naszego cyklu dotyczącego kontroli UODO omówimy uprawnienia kontrolującego podczas przeprowadzanej kontroli, sprzężone z nimi prawa i obowiązki kontrolowanego, a także konsekwencje utrudniania lub uniemożliwiania przeprowadzenia kontroli. Wiedza w tym zakresie pozwoli kontrolowanym lepiej przygotować się do współpracy z kontrolującymi.

 

Zakres uprawnień kontrolujących w trakcie kontroli przestrzegania przez przedsiębiorcę przepisów o ochronie danych osobowych jest uzależniony od przedmiotowego zakresu samej kontroli. O ile ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: uodo) zawiera katalog uprawnień kontrolujących, o tyle nie mogą oni realizować ich w zakresie nieobjętym kontrolą. W przypadku gdy zakres kontroli obejmuje np. jedynie procesy przetwarzania danych dotyczące zatrudnienia pracowników, kontrolujący nie mogą żądać wglądu do dokumentów dotyczących procesów marketingowych lub sprzedażowych.

Zakres kontroli powinien wynikać z zawiadomienia o wszczęciu kontroli, przy czym praktyka wskazuje, że na etapie zawiadomienia organ jedynie w ogólny sposób określa planowany zakres kontroli. Następnie jest on precyzowany w imiennych upoważnieniach do kontroli, które powinien otrzymać każdy kontrolujący.

Biorąc pod uwagę, że uodo należy traktować jako lex specialis wobec regulacji ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców, uzasadnione wydaje się stwierdzenie, iż w przypadku ewentualnych rozbieżności między zakresem kontroli określonym w zawiadomieniu a zakresem wskazanym w imiennym upoważnieniu rozstrzygające znaczenie powinien mieć zakres określony w imiennym upoważnieniu.

Zakres uprawnień

W praktyce zakres wskazany w imiennym upoważnieniu dla kontrolerów może obejmować np.:

  • zbadanie zgodności przetwarzania wszystkich lub wybranych procesów (operacji) przetwarzania danych z przepisami rodo i uodo;
  • weryfikację stosowanych podstaw prawnych przetwarzania danych;
  • zbadanie źródeł pozyskania danych;
  • zbadanie zakresu, celów i sposobów przetwarzania danych osobowych;
  • prawidłowość i kompletność wykonania obowiązków informacyjnych;
  • ocenę sposobu realizacji praw podmiotów danych;
  • ocenę sposobu zbierania i udostępniania danych;
  • ocenę ustalenia, czy kontrolowany wdrożył środki techniczne i organizacyjne ochrony danych oraz czy są one adekwatne do ryzyka przetwarzania dla praw i wolności osób fizycznych;
  • weryfikację, czy czynności przetwarzania są wykonywane przez osoby posiadające upoważnienie administratora do przetwarzania danych;
  • ustalenie, czy kontrolowany prowadzi rejestr czynności przetwarzania;
  • ocenę, czy współpraca z podmiotami przetwarzającymi odbywa się zgodnie z zasadami wynikającymi z art. 28 rodo.

Z punktu widzenia kontrolujących ważne jest, aby zakres kontroli nie był zbyt wąski i nie krępował możliwości działania. Jednak zbyt szeroki zakres kontroli może spowodować, że nie będzie ona mogła zostać w całości przeprowadzona w założonym czasie lub że ustalenia będą miały charakter ogólny. Może to wpływać na ograniczenie przydatności zebranego materiału z punktu widzenia oceny naruszenia przepisów o ochronie danych osobowych. Wysoki poziom sformalizowania poszczególnych czynności przeprowadzanych w ramach kontroli powoduje, że wszechstronna ocena wszystkich aspektów przetwarzania danych osobowych przez kontrolowanego nie jest możliwa do przeprowadzenia w ograniczonym (często tylko do kilku dni) czasie kontroli oraz przy ograniczonej liczbie kontrolujących biorących udział w czynnościach. W sposób szczególny dotyczy to dużych organizacji, które prowadzą wiele często skomplikowanych procesów przetwarzania danych osobowych. Doświadczenia dotychczas przeprowadzonych kontroli wskazują jednak, że faktyczny zakres kontroli jest ograniczony do wybranych aspektów działania podmiotu kontrolowanego, które kontrolujący uznają za najistotniejsze lub które budzą wątpliwości organu.

Jakie uprawnienia przysługują kontrolującym?

Celem kontroli jest ustalenie, czy w wyniku przetwarzania danych osobowych mogło dojść do naruszenia przepisów o ochronie danych osobowych. Aby zapewnić kontrolującym odpowiednie narzędzia do odtworzenia faktycznych okoliczności przetwarzania danych osobowych przez kontrolowanego, ustawodawca przyznał im szereg uprawnień.

Zgodnie z przepisami w godzinach od 6:00 do 22:00 kontrolującym przysługuje prawo wstępu na grunt oraz do budynków, lokali lub innych pomieszczeń kontrolowanego. W praktyce kontrolerzy starają się ustalić harmonogram kontroli w taki sposób, aby kontrola przebiegła sprawnie i nie zakłócała ponad niezbędną miarę rytmu funkcjonowania organizacji. Oznacza to, że czynności kontrolne wykonywane będą w miarę możliwości w czasie pracy danej organizacji czy też działu uczestniczącego w czynnościach kontrolnych.

Kluczowym uprawnieniem kontrolerów jest możliwość wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowej kontroli. Dotychczasowa praktyka wskazuje, że kontrolujący pytają zwykle o takie dokumenty, jak: rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania, rejestr naruszeń, treść stosowanych klauzul informacyjnych i klauzul zgody oraz zawarte umowy powierzenia przetwarzania danych. Kopie przekazywanych dokumentów powinny być wykonane we własnym zakresie przez podmiot kontrolowany i na jego koszt, a także potwierdzone za zgodność z oryginałem. W przypadku odmowy potwierdzenia za zgodność z oryginałem przez podmiot kontrolowany kontrolujący powinien odnotować odmowę w formie wzmianki w protokole kontroli.

Obok analizy dokumentacji drugim podstawowym źródłem pozyskiwania informacji przez kontrolujących są przedstawiciele kontrolowanego. Ustawa wyposaża kontrolerów w uprawnienie do żądania od nich pisemnych lub ustnych wyjaśnień oraz przesłuchiwania ich w charakterze świadków (w zakresie niezbędnym do ustalenia stanu faktycznego). Praktyka dotychczasowych kontroli wskazuje, że podmiot kontrolowany ma pewną swobodę w decydowaniu, kto będzie udzielał wyjaśnień na dany temat. Kontrolerzy z reguły wskazują interesujący ich obszar i proszą o wskazanie osoby, która ma odpowiednią wiedzę. Nie można jednak wykluczyć, że kontrolerzy zażądają rozmowy z konkretną osobą. Może to mieć miejsce np. w sytuacji, w której impulsem do przeprowadzenia kontroli był incydent w obszarze ochrony danych osobowych, w którym szczególną rolę odegrała konkretna osoba. Przy udzielaniu wyjaśnień należy pamiętać, że kontrola służy ustaleniu stanu faktycznego dotyczącego przetwarzania danych osobowych. Osoby składające wyjaśnienia powinny zatem koncentrować się na faktach i nie formułować ocen prawnych. W celu udzielania wyjaśnień dotyczących przyjętych przez kontrolowanego założeń prawnych można natomiast wyznaczyć osobę mającą odpowiednie kompetencje, np. IOD lub prawnika.

W zakresie, w jakim istotne znaczenie dla kontroli ma infrastruktura służąca do przetwarzania danych osobowych, kontrolujący są uprawnieni do przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych. Uprawnienie to nie oznacza jednak konieczności udzielenia kontrolującym dostępu, w szczególności samodzielnego, do tych zasobów. Oględziny powinny być przeprowadzone przy udziale osób wyznaczonych przez kontrolowanego. Kontrolujący mogą żądać sporządzenia wydruków przedstawiających m.in. widoki poszczególnych interfejsów, strukturę baz i plików, sekwencję następujących po sobie widoków obejmujących checkboxy, klauzule zgody lub informacyjne, komunikaty pojawiające się w systemie w następstwie podejmowanych aktywności, np. poszczególnych kliknięć lub wprowadzanych danych.

Wszystkie czynności podejmowane w toku kontroli są protokołowane. Protokoły wraz z załączonymi do nich kopiami dokumentów (potwierdzonymi przez kontrolowanego) będą stanowiły podstawę do oceny przez organ nadzorczy możliwości naruszenia przepisów o ochronie danych osobowych. W tym kontekście kluczowe znaczenie ma weryfikowanie, czy protokoły wiernie oddają treść złożonych wyjaśnień oraz okoliczności wynikające z oględzin.

 

[...]

 

Milena Wilkowska jest radcą prawnym, senior associate w  Kancelarii Maruta Wachta.

Sławomir Kowalski jest adwokatem, partnerem w  Kancelarii Maruta Wachta.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.