Mateusz Rolka www.kryptos.co
Temat: Mateusz Rolka - Kontrola GIODO
„Dzień dobry, z tej strony Biuro Generalnego Inspektora Ochrony Danych Osobowych, chcieliśmy umówić się z Państwem na kontrolę…”Czy pamiętasz drogi przedsiębiorco swoją pierwszą kontrolę z Urzędu Skarbowego?
W najbliższym czasie możemy spodziewać się rozmowy telefonicznej, której przykład zacytowałem w tytule. Zapraszam, do krótkiej lektury, dzięki której możesz przygotować się do kontroli już dzisiaj…
Mechanizm kontroli GIODO
Działając na podstawie art. 14 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. Zm.) oraz wg rozporządzenia Ministra Spraw Wewnętrznych I Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych I organizacyjnych, jakim powinny odpowiadać urządzenia I systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zostaną przeprowadzone czynności kontrole, których podstawowym celem jest kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Kontrola GIODO najczęściej zapowiadana jest pisemnie, telefonicznie bądź faksem z kilkudniowym wyprzedzeniem.
W zawiadomieniu zostaniemy poinformowani o:
• terminie przeprowadzenia czynności kontrolnych,
• przedmiocie i zakresie kontroli,
• wstępnym zakresie dokumentów wymaganych do przedstawienia Inspektorom,
Najczęściej przedstawiony jest nam również plan kontroli, w którym szczegółowo przedstawiony jest jej zakres np “sposoby zabezpieczenia przetwarzanych danych osobowych w przedsiębiorstwie XXX z uwzględnieniem mechanizmów zabezpieczeń podczas ich przenoszenia i archiwizacji”. Pamiętajmy, że plan kontroli to jakby GRATIS dla nas, dzięki któremu wiemy dokładnie czego kontrola dotyczy. Nie możemy jednak ani odmówić wstępu, ani złożyć skargi jeśli inspektorzy nie posiadają ów planu.
Mateusz Rolka przypomina! Brak wcześniejszego zawiadomienia co do zasady NIE JEST WYSTARCZAJĄCĄ PRZYCZYNĄ ODMOWY WSTĘPU INSPEKTOROM DO SIEDZIBY KONTROLOWANEGO. Jest to natomiast podstawa do wniesienia do GODO sprzeciwu.
Na co Inspektorzy Biura Generalnego Inspektora zwrócą szczególną uwagę?
• Czy przetwarzanie danych osobowych odbywa się zgodnie z prawem? W szczególności, czy podmiot gromadzi (przetwarza) dane osobowe na podstawie wskazanej w art. 23 ustawy o ochronie danych osobowych,
• Jak zabezpieczenia posiada firma, która przetwarza dane oraz jak ów zbiory chronione są bezpośrednio – czy dane osobowe zabezpieczane są zgodnie z wymogami technicznymi i organizacyjnymi przewidzianymi w ustawie o ochronie danych osobowych i przepisach wykonawczych,
• Jaki jest zakres i cel przetwarzania danych osobowych?,
• Czy kontrolowany podmiot wypełnia obowiązek informacyjny wobec osób, których dane są przetwarzane (w szczególności: poinformowanie tych osób o celu przetwarzania danych, o prawie dostępu do ich treści i dokonywania zmian, o dobrowolności wyrażenia zgody na przetwarzanie, czy usunięcie),
• Czy podmiot gospodarczy wypełnia należycie obowiązki w zakresie rejestracji zbioru danych w bazie GIODO oraz je aktualizuje? Czy posiada odpowiednią liczbę zbiorów?
• Sprawdzenie kompetencji oraz skuteczności realizowanych zadań przez Administratora Bezpieczeństwa Informacji
Prawa Inspektorów Biura Ochrony Danych Osobowych, w toku czynności kontrolnych:
• wstępu, w godzinach od 600 do 2200, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą o ochronie danych osobowych,
Administrator nie ma obowiązku wpuszczenia inspektora, który nie przedstawi obydwu powyższych dokumentów.
W praktyce inspektorzy kontroli umawiają się najczęściej z kontrolowanym podmiotem na określone godziny (np. kilka dni pod rząd, między 8.00 a 16.00).
• żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego,
• wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii,
• przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych,
Kontrole przeprowadzane są zazwyczaj z udziałem dwóch biegłych. Informatyk ma za zadanie umożliwić inspektorom prawidłową ocenę zabezpieczeń informatycznych, a prawnik ocenę zagadnień prawnych.
• zlecać sporządzanie ekspertyz i opinii,
• żądać okazania książki kontroli oraz dokonywania w niej wpisów.
Co do zasady, czynności kontrolnych dokonuje się w obecności osoby wskazanej przez kontrolowanego.
Po zakończeniu czynności kontrolnych, inspektor sporządza protokół kontroli. Jeden egzemplarz tego protokołu doręczany jest kontrolowanemu.
Uprawnienie Kontrolowanego w zakresie sporządzonego protokołu kontroli:
• prawo wniesienia umotywowanych uwag i zastrzeżeń odnośnie jego treści,
• prawo odmowy podpisania protokołu kontroli (ma to szczególne znaczenie w przypadku nie uwzględnienia przez inspektora uwag i zastrzeżeń kontrolowanego – wykonanie tego uprawnienia wskazuje, że kontrolowany nie zgadza się z wynikami kontroli. W takim wypadku inspektor powinien wskazać w protokole przyczyny odmowy podpisu, a kontrolowany może w terminie 7 dni przedstawić swoje stanowisko na piśmie GIODO).
Jeżeli w wyniku kontroli inspektor stwierdzi naruszenie przepisów ustawy o ochronie danych osobowych, występuje do GIODO o wydanie decyzji zobowiązującej ten podmiot do usunięcia naruszeń.
Procedura w przypadku naruszenia przepisów o ochronie danych osobowych:
• wniosek inspektora do GIODO o wydanie decyzji nakazującej usunięcie wskazanych naruszeń,
• wszczęcie postępowania administracyjnego przez GIODO (postępowanie niezależne od samej kontroli) – w jego toku organ ocenia zasadność ww. wniosku, a administrator jako strona jest uprawniona prezentować swoje stanowisko,
• wydanie przez GIODO decyzji administracyjnej: nakazującej usunięcie naruszeń albo umarzającej postępowania z uwagi na jego bezprzedmiotowość – w sytuacji, gdy GIODO nie podziela zdania inspektora,
• w przypadku decyzji nakazującej usunięcie naruszeń, administrator zasadniczo może złożyć do GIODO wniosek o ponowne rozpatrzenie sprawy, a następnie (w przypadku odmowy zmiany decyzji);
• wnieść skargę do sądu administracyjnego.
Mateusz Rolka przypomina!
W przypadku utrudniania lub umożliwiania przeprowadzenia czynności kontrolnych popełniamy przestępstwo. Nie łamiemy prawa gdy np. pracownik odmawia wpuszczenia do budynku osoby, o której nie wie, że jest Inspektorem (wymóg wylegitymowania + okazanie upoważnienia do przeprowadzenia kontroli).
Autor:
Mateusz Rolka
Szef Agencji Bezpieczeństwa Komunikacji