Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Ochrona danych osobowych w działach kadr zgodnie z rodo

Ochrona danych osobowych w działach kadr zgodnie z rodo
 

Andrzej Boboli, Mateusz Borkiewicz, Agata Cisowska, Kamila Koszewicz, Grzegorz Leśniewski

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Jak przeżyć kontrolę UODO? Fakty, mity, wskazówki

19-02-2019 Autor: Małgorzata Kurowska, Piotr Kalina
Schemat kontroli...

W 2019 r. powinniśmy spodziewać się rozpoczęcia szeregu kontroli prowadzonych przez Prezesa UODO. W jaki sposób przygotować się do nich, jak weryfikować zgodność formalną, jak brać udział w kontroli bez narażenia się na zarzut utrudniania, jednocześnie broniąc własnych interesów? Zapraszamy do cyklu artykułów, z których pierwszy dotyczy przygotowania i rozpoczęcia kontroli.

 

Mimo że mityczne kary, nakładane przez organ nadzorczy, najbardziej pobudzają wyobraźnię, codziennością przedsiębiorcy są raczej (i w pierwszej kolejności) kontrole działalności gospodarczej. Kontrola prowadzona przez Prezesa UODO może, choć przecież nie musi, prowadzić do wszczęcia postępowania w przedmiocie naruszenia przepisów o ochronie danych osobowych. Dopiero po przeprowadzeniu takiego postępowania organ nadzorczy może nałożyć karę administracyjną, o której mowa w art. 73 rodo (patrz: Schemat kontroli).

Niniejszy tekst rozpoczyna cykl artykułów, w ramach którego przedstawimy przebieg tego procesu, począwszy od kwestii formalnych, poprzez uprawnienia organu nadzorczego podczas przeprowadzanej kontroli i sprzężone z nimi obowiązki przedsiębiorcy, postępowanie administracyjne w sprawie naruszenia przepisów, aż do decyzji kończącej postępowanie i zasad jej zaskarżania. Praktyka prowadzenia kontroli przez nowy organ nadzorczy i na podstawie nowych przepisów dopiero się kształtuje. Poniższe rozważania stanowią próbę wykładni nie zawsze jasnych przepisów prawa oraz sformułowania odpowiedzi na najbardziej palące pytania, jakie zadają sobie przedsiębiorcy w związku z ewentualnością podlegania kontroli organu.

Jakie przepisy regulują przebieg kontroli Prezesa UODO?

Odpowiedź na to pytanie nie jest wbrew pozorom jednoznaczna. Tymczasem to od niej zależy szereg istotnych kwestii, takich jak tryb prowadzenia kontroli, uprawnienia organu kontrolującego czy też obowiązki kontrolowanego przedsiębiorcy. Przepisów regulujących zasady przeprowadzania kontroli w obszarze danych osobowych należy poszukiwać zarówno w rodo, jak i w ustawie z dnia 6 marca 2018 r. – Prawo przedsiębiorców (dalej: pp) oraz ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (dalej: uodo).

Powstaje jednak pytanie o hierarchię tych aktów, a ściślej rzecz ujmując, czy do kontroli przestrzegania przepisów z zakresu ochrony danych osobowych znajduje zastosowanie pp, a jeśli tak to w jakim zakresie. Zgodnie bowiem z art. 45 ust. 2 pp „w zakresie nieuregulowanym w niniejszym rozdziale, stosuje się odrębne przepisy”. Jak wynika z uzasadnienia pp, ustawodawca uznaje za dopuszczalne uregulowanie zasad prowadzenia kontroli w sposób odmienny w przepisach szczególnych, mających charakter lex specialis w stosunku do regulacji pp.

Analiza przepisów uodo prowadzi do wniosku, że większość postanowień dotyczących kontroli stanowi de facto uszczegółowienie zasad zawartych w pp. Jak się zatem wydaje, w razie rozbieżności pomiędzy regulacją pp a przepisami uodo należy przyjąć, że to uodo stanowi regulację szczególną, zaś w zakresie tam nieuregulowanym zastosowanie znajdą zasady ogólne określone w pp.

Co  może być przedmiotem kontroli?

Zgodnie z uodo organ nadzorczy kontroluje przestrzeganie przez przedsiębiorcę przepisów o ochronie danych osobowych. Przepisy te, o czym warto pamiętać, nie ograniczają się wyłącznie do rodo. Prezes UODO może także weryfikować zgodność z przepisami sektorowymi (a więc zawartymi w przepisach szczególnych, np. kodeksie pracy). Weryfikacja zgodności może dotyczyć np. określonego „wycinka” działalności przedsiębiorcy, konkretnego produktu lub usługi, procesu lub przyjętej dokumentacji.

Z uwagi na gwarancyjny charakter regulacji pp należy przyjąć, że zgodnie z zasadą ogólną zakres kontroli nie może wykraczać poza zakres wskazany w upoważnieniu. Zakres ten powinien zostać wskazany w zawiadomieniu o zamiarze jej przeprowadzenia, zgodnie z regulacją pp.

Czy o  kontroli trzeba zawiadomić z  wyprzedzeniem?

Przepisy uodo w kwestiach związanych z okresem prowadzenia kontroli i zasadami ich zapowiadania są dość lakoniczne. Uzasadnione jest zatem odwołanie się w tym zakresie do pp, wyznaczającego minimalny poziom ochrony przedsiębiorcy.

Ustawodawca w przepisach uodo milczy na temat zawiadomienia o zamiarze przeprowadzenia kontroli. Przewiduje jedynie, że można do niej przystąpić „po okazaniu imiennego upoważnienia wraz z legitymacją służbową”. Z uwagi na skromne uregulowanie w tym wypadku zastosowanie znajdzie zasada uprzedniego powiadomienia przedsiębiorcy o kontroli (w terminie nie krótszym niż 7 dni przed kontrolą) wynikająca z pp.

Ta interpretacja znajduje potwierdzenie w dotychczasowej praktyce Prezesa UODO. Co więcej, poza formalnym powiadomieniem organ kontaktował się z podmiotem kontrolowanym także w trybie „roboczym” – drogą telefoniczną.

Czy kontrolę można przesunąć?

Zarówno w przepisach uodo, jak i pp nie przewiduje się możliwości mechanizmu przesunięcia terminu kontroli. Jak jednak wynika z dotychczasowej praktyki (po 25 maja oraz w poprzednim okresie pod rządami GIODO), możliwe jest uzgodnienie przez kontrolującego i kontrolowanego zmiany terminu kontroli i to z inicjatywy przedsiębiorcy oraz samego organu. Ostateczna decyzja o ewentualnym przesunięciu terminu kontroli należy oczywiście do Prezesa UODO. W interesie przedsiębiorcy jest zatem przedstawienie jak najbardziej przekonujących argumentów przemawiających za zasadnością zmiany (np. zaplanowany dużo wcześniej wyjazd służbowy, trwająca inwentaryzacja, audyt wewnętrzny czy też zaplanowany wcześniej urlop kluczowych osób odpowiedzialnych za obszar ochrony danych). Im bardziej rzeczowe uzasadnienie, tym większa szansa, że organ przychyli się do prośby kontrolowanego.

Jak długo może trwać kontrola?

Ustawodawca w przepisach pp nie wskazuje na maksymalny czas trwania kontroli, określa jednak łączne roczne limity wszystkich kontroli u przedsiębiorcy. W zależności od wielkości podmiotu czas ten wynosi od 12 do 48 dni roboczych. Z kolei ustawodawca w przepisach uodo przewiduje, że czas trwania kontroli w obszarze danych osobowych nie może przekraczać 30 dni.

Poglądy na temat wzajemnej relacji dwóch wskazanych przepisów są rozbieżne. W konsekwencji to kluczowe zagadnienie, jakim jest dopuszczalna długość trwania kontroli, pozostaje obecnie niejasne.

Wydaje się, że w praktyce należy liczyć się z możliwością mniej korzystnej dla siebie interpretacji i przyjęciem przez organ sposobu prowadzenia postępowania kontrolnego przez 30 dni (również w przypadku najmniejszych przedsiębiorców). Z uwagi na kontrowersyjny charakter zagadnienia w razie przekroczenia przez organ nadzorczy maksymalnych terminów określonych w pp należałoby jednak sformułować w tym zakresie zarzut naruszenia przepisów proceduralnych.

 

Kontrolujący

Kontrolę, co do zasady, przeprowadzają pracownicy UODO. Kontrolującym może być jednak także osoba niezatrudniona w UODO, która posiada specjalistyczną wiedzę wymaganą do przeprowadzenia czynności kontrolnych. Kontrolowany nie może sprzeciwić się udziałowi po stronie UODO takiego „zewnętrznego” eksperta w kontroli, może jednak żądać jego wyłączenia, podobnie jak w przypadku pracownika urzędu.

 

[...]

 

Autorzy są  radcami prawnymi, pracują jako senior associate w  Kancelarii Maruta Wachta.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

« Powrót

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.