Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Jak wygląda kontrola UODO w firmie?

10 marzec 2024

Jak wygląda kontrola UODO w firmie?
Redakcja

Redakcja

Przedsiębiorcy nie lubią być kontrolowani — nie jest to żadna tajemnica. Wizyty kontrolne różnego rodzaju organów zaburzają codzienny rytm pracy, stresują pracowników, kończą się zazwyczaj zaleceniami albo wręcz sankcjami. Niemniej na taką ewentualność każdy powinien być gotowy. Dotyczy to również kontroli Urzędu Ochrony Danych Osobowych. Kiedy organ rozpoczyna takie postępowanie? Jak wygląda kontrola UODO?

Kto i kiedy może złożyć skargę?

Skargę składa się do prezesa urzędu — może to zrobić osoba fizyczna, jeżeli nieprawidłowe przetwarzanie dotyczy jej danych osobowych. W przypadku, gdy skarga dotyczy przetwarzania danych osobowych innej osoby, konieczne jest pełnomocnictwo udzielone przez tę osobę do jej reprezentowania w postępowaniu przed prezesem UODO. 

Pełnomocnikiem może być zarówno osoba fizyczna, jak i podmiot, organizacja lub zrzeszenie — które nie mają charakteru zarobkowego, mają cele statutowe leżące w interesie publicznym i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą. Skargę można złożyć pisemnie lub elektronicznie. UODO doradza, by osoby, których naruszenie dotyczy, najpierw kontaktowały się z administratorem danych — jest to dużo szybsza droga, jeśli jednak administrator zaniedbuje swoje obowiązki, po złożonej skardze do urzędu rozpoczyna się kontrola.

Przed kontrolą

Kontrole UODO są przeprowadzane zgodnie z ich planem albo na podstawie sygnałów, jakie urząd otrzymuje od osób fizycznych czy ich reprezentantów. Informacje o naruszeniu mogą zgłaszać też inne instytucje lub inne organy kontrolujące, np. Komisja Nadzoru Finansowego, Państwowa Inspekcja Pracy czy urząd skarbowy.

Nim przedstawiciele UODO pojawią się u przedsiębiorcy, wysyłana jest mu informacja o kontroli. Musi ona trafić do zainteresowanego na 7 dni przed wizytą. Oczywiście, termin kontroli podlega negocjacjom, natomiast jedynie w przypadku, gdy firma jako administrator danych ma ku temu ważne powody, np. nieobecność inspektora ochrony danych osobowych. Nie są powodami zmian terminu np. inne kontrole mające miejsce na terenie przedsiębiorstwa.

Kiedy kontrolerzy pojawią się w firmie, mają obowiązek okazania legitymacji służbowych i upoważnień. Przedsiębiorca ma z kolei prawo do sprawdzenia, czy ci kontrolerzy skierowani zostali przez UODO. Zwykle zespół kontrolujący tworzą trzy osoby, w tym jedna to specjalista ds. IT. Kontrola może odbyć się między godziną 6 a 22.

Współpraca UODO — przedsiębiorca

Kontrolerzy informują, co będzie przedmiotem kontroli, choć sam przedsiębiorca może skontaktować się wcześniej z UODO, by zapytać, jakie dokumenty przygotować dla kontrolerów. Podczas samej kontroli sprawdzane są zasady przetwarzania danych i podstawy prawne do przetwarzania danych, a także czy spełniony został obowiązek informacyjny. 

Dla kontrolujących istotne jest też, jak realizowane są prawa osób, których dane dotyczą. Urząd kontroluje dokumentację i zabezpieczenia. Kontroli podlegają też dokumenty incydentów oraz informacje o danych do państw trzecich. Kontrolujący mają prawo zbierać wyjaśnienia od pracowników, a także poruszać się po przedsiębiorstwie, którego kontrola dotyczy. Jednak najczęściej wygląda to tak, że weryfikowana jest ta część działalności podmiotu związana z przetwarzaniem danych osobowych w konkretnym postępowaniu.

Do sprawnej kontroli UODO potrzebuje pomieszczenia do pracy, zamykanej szafki na dokumenty, drukarki czy kserokopiarki. Mogą zdarzyć się przesłuchania pracowników, rejestrowanie prowadzonej kontroli za pomocą obrazu lub dźwięku, czasem — gdy przedsiębiorca utrudnia kontrolę — UODO wzywa policję. Warto wiedzieć, że utrudnianie przeprowadzenia kontroli kwalifikuje się też jako wykroczenie podlegające karze.

Efektem kontroli są protokoły częściowe, które przedsiębiorca ma prawo skopiować. Kontrolę kończy protokół z przebiegu kontroli. Przedsiębiorca w ciągu 7 dni musi go podpisać, odmówić podpisania lub wnieść swoje uwagi. W przypadku uwag urząd może się do tego ustosunkować przez uwzględnienie lub odrzucenie zastrzeżeń, przeprowadzenie kontroli uzupełniającej albo od razu ocenić zgromadzony w czasie kontroli materiał.

Co po kontroli?

Kontrola może trwać do 30 dni, zwykle trwa ona około 5 dni. Czas jej trwania zależy od tego, jakiej wielkości jest przedsiębiorstwo oraz jak przebiega współpraca na linii UODO — podmiot kontrolowany. W sytuacji stwierdzenia, że wszystko jest w porządku, kontrola zostaje zakończona. Jeśli przepisy RODO zostały jednak naruszone, UODO wszczyna postępowanie.

Przedsiębiorca może się zgodzić ze stwierdzonymi uchybieniami i od razu poddać się decyzji urzędu. Ten, kończąc sprawę, decyduje albo o umorzeniu postępowania, wydaniu nakazu albo nałożeniu kary. Karą jest ograniczenie lub zakaz przetwarzania danych, nakazanie dostosowania procedur przetwarzania danych do wymogów RODO, cofnięcie certyfikacji, czy nałożenie kary pieniężnej. Natomiast, gdy przedsiębiorca nie zgadza się z decyzją UODO, w ciągu 30 dni może odwołać się do sądu w trybie sądowo-administracyjnym. Nie ma innej możliwości, bo nie przewidziano zaskarżenia decyzji urzędu w innym trybie.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności