Odpowiednie przygotowanie organizacji do kontroli UODO jest kluczowe dla uniknięcia konsekwencji prawnych i finansowych związanych z naruszeniem przepisów RODO.
Istotne jest, żeby podejść do tego zadania z odpowiednim zaangażowaniem oraz starannością, tak aby ewentualna kontrola UODO przebiegła bez zarzutów i nie wykazała nieprawidłowości w procesach przetwarzania danych osobowych.
Najlepszym rozwiązaniem jest wdrożenie przez daną organizację wymogów wynikających z przepisów RODO, zanim pojawi się zawiadomienie o zaplanowanej kontroli UODO. Wówczas nie tylko przygotowanie do kontroli będzie dużo prostsze, ale także sama kontrola nie powinna być tak stresująca, jak w sytuacji, w której kontrolowany z góry zdaje sobie sprawę, że może ona wykazać szereg nieprawidłowości. Nawet w sytuacji, gdy RODO nie zostało odpowiednio wdrożone, można jednak postarać się w pewnym stopniu przygotować organizację do zapowiedzianej kontroli. Jakkolwiek trzeba mieć świadomość, że w krótkim czasie nie jest możliwe naprawienie wieloletnich zaniedbań w obszarze ochrony danych osobowych.
Spis Treści:
Kontrola UODO. Kiedy można się jej spodziewać?
Prezes UODO przeprowadza zasadniczo dwa rodzaje kontroli, tj.
- Kontrole planowe zgodne z sektorowym planem kontroli zaplanowanym na dany rok — informacja o planie kontroli na dany rok podawana jest zazwyczaj na początku roku na stronie internetowej urzędu (wyjątkiem był rok 2021, w którym z uwagi na epidemię COVID-19 plan kontroli sektorowych nie został przedstawiony).
- Kontrole doraźne, które są prowadzone na podstawie pozyskanych przez Prezesa UODO informacji (np. w związku ze skargami podmiotów danych kierowanymi do Prezesa UODO lub w następstwie zawiadomienia o naruszeniu ochrony danych osobowych zgłoszonego przez administratora, lub podmiot trzeci). Kontrola doraźna może mieć miejsce także w przypadku toczącego się postępowania administracyjnego, w razie potrzeby uzupełnienia materiału dowodowego (art. 68 ustawy o ochronie danych osobowych).
W niektórych przypadkach kontrolę prowokuje sam administrator danych (np. jeśli nie udziela odpowiedzi na kierowane do niego pytania w ramach prowadzonego postępowania administracyjnego lub udziela odpowiedzi niejasnych czy zdawkowych). Z drugiej strony może być też tak, że nawet w przypadku udzielania wyczerpujących odpowiedzi na pytania kierowane pisemnie w trakcie trwającego postępowania administracyjnego osoba odpowiedzialna za jego prowadzenie dojdzie do wniosku, że przeprowadzenie kontroli jest konieczne w celu zebrania niezbędnego materiału dowodowego.
Niekiedy z uwagi na brzmienie art. 78 ust. 1 ustawy o ochronie danych osobowych jako osobną kategorię kontroli wyróżnia się kontrole wyrywkowe prowadzone w ramach monitorowania przepisów RODO, które teoretycznie nie muszą być prowadzone w oparciu o plan kontroli ani na podstawie uzyskanych przez Prezesa UODO informacji. W praktyce wydaje się, że wyróżnienie takiego rodzaju kontroli nie ma jednak większego sensu (w praktyce każda kontrola UODO i tak ma służyć w szerokim ujęciu monitorowaniu przepisów RODO, a impulsem do przeprowadzenia kontroli jest albo zatwierdzony plan kontroli sektorowych, albo informacje, które w jakiś sposób pozyskał organ nadzorczy).
Na marginesie można wskazać, że kontrola UODO może być także następstwem działań ze strony innych organów nadzorczych z UE (np. zgodnie z art. 60 ust. 2 RODO wiodący organ nadzorczy może w dowolnym momencie zwrócić się do innych organów nadzorczych, których sprawa dotyczy, o wzajemną pomoc zgodnie z art. 61 RODO).
Podsumowując organizacja może spodziewać się kontroli UODO w szczególności w następujących przypadkach:
- obszar działalności danej organizacji został uwzględniony w planie kontroli sektorowych na dany rok;
- do Prezesa UODO wpływają liczne skargi na działalność danej organizacji, zwłaszcza kierowane przez różne osoby fizyczne;
- Prezes UODO został powiadomiony przez inne organy publiczne o wątpliwościach związanych z przetwarzaniem danych osobowych przez daną organizację;
- doszło do naruszenia ochrony danych, które nie zostało zgłoszone przez samą organizację, jednak organ dowiedział się o nim w inny sposób (np. z informacji dostępnych publicznie, od podmiotów danych);
- doszło do naruszenia ochrony danych, o którym organizacja zawiadomiła organ nadzorczy, jednak jego okoliczności budzą wątpliwości (np. z uwagi na jego charakter i skalę) lub zawiadomienie nie zawiera niezbędnych informacji;
- toczy się postępowanie administracyjne z udziałem danej organizacji, a w ocenie osoby prowadzącej postępowania istnieje potrzeby uzupełnienia materiału dowodowego.
Kontrola UODO — Zasady kontroli i skład zespołu kontrolującego
Zasady przeprowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych określają przepisy rozdziału 9 ustawy o ochronie danych osobowych (art. 78-91 ustawy o ochronie danych osobowych).
Kontrole najczęściej przeprowadzane są w składzie trzyosobowym (dwóch prawników oraz jedna osoba odpowiedzialna za zagadnienia związane z IT). Nie jest to jednak reguła, a liczba oraz skład zespołu kontrolującego może się różnić m.in. w zależności od rodzaju kontrolowanej organizacji czy kontrolowanego obszaru.
Kontrolę może prowadzić upoważniony przez Prezesa UODO pracownik UODO lub członek, lub pracownik organu nadzorczego państwa członkowskiego UE w przypadku oprowadzenia wspólnych operacji, w tym wspólnych postępowań organów nadzorczych na podstawie art. 62 RODO.
Do czego mają prawo inspektorzy UODO podczas kontroli?
Zakres uprawnień kontrolujących został wskazany w art. 84 ust. 1 ustawy o ochronie danych osobowych i obejmuje on prawo do:
- wstępu w godzinach od 6:00 do 22:00 na grunt oraz do budynków, lokali lub innych pomieszczeń;
- wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli;
- przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
- żądania złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwania w charakterze świadka osób w zakresie niezbędnym do ustalenia stanu faktycznego;
- zlecania sporządzania ekspertyz i opinii.
W związku z powyższym kontrola UODO teoretycznie może odbywać się w godzinach 6:00-22:00, jednak w praktyce zazwyczaj ma ona miejsce w godzinach pracy danego podmiotu.
Przebieg kontroli lub poszczególne czynność w jej toku, w uzasadnionych przypadkach, mogą być utrwalane przy pomocy urządzeń rejestrujących obraz lub dźwięk. Wymaga to jednak uprzedniego poinformowania o tym kontrolowanego.
Warto także mieć na uwadze, że przepisy, które wskazują na uprawnienia organu nadzorczego w zakresie prowadzonych postępowań kontrolnych, znajdują się już w samym RODO. Obejmują one m.in.:
- nakazanie administratorowi i podmiotowi przetwarzającemu (a w stosownym przypadku ich przedstawicielom), dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań;
- prowadzenie postępowań w formie audytów ochrony danych;
- uzyskiwanie od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań;
- uzyskiwanie dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego.
Czy kontrola UODO musi być zapowiedziana?
Prezes UODO, co do zasady, nie przeprowadza kontroli przestrzegania przepisów o ochronie danych osobowych bez zapowiedzi. Teoretycznie jest to możliwe w przypadku podmiotów niebędących przedsiębiorcami, jednak w praktyce się to nie zdarza. W przypadku przedsiębiorców obowiązek uprzedniego zawiadomienia o kontroli wynika z art. 48 ustawy prawo przedsiębiorców, a odstąpienie od takiego zawiadomienia dopuszczalne jest tylko w określonych sytuacjach w ustawie (np. przedsiębiorca nie ma adresu zamieszkania lub adresu siedziby, lub doręczanie pism na podane adresy było bezskuteczne, lub utrudnione).
Niekiedy pojawiają się wątpliwości czy obowiązek uprzedniego zawiadomienia o kontroli, o którym mowa w art. 48 ust. 1 ustawy prawo przedsiębiorców, powinien znaleźć zastosowanie w przypadku kontroli UODO z uwagi na wyłączenie, o którym mowa w art. 48 ust. 1 pkt 11 ustawy prawo przedsiębiorców. Zgodnie z tym przepisem zawiadomienia o zamiarze wszczęcia kontroli nie dokonuje się, w przypadku gdy kontrola UODO ma zostać przeprowadzona na podstawie ratyfikowanej umowy międzynarodowej albo bezpośrednio stosowanych przepisów prawa UE.
Niewątpliwie przepisy RODO mają charakter bezpośrednio stosowanych przepisów prawa UE, a w art. 58 ust. 1 RODO określono ogólne uprawnienia przysługujące organowi ochrony danych (w tym prowadzenie postępowań w formie audytów ochrony danych). Wydaje się jednak, że bezpośrednią podstawę do przeprowadzenia samej kontroli stanowią przepisy polskiej ustawy o ochronie danych osobowych. W związku z tym ewentualne powołanie się na przesłankę wskazaną w art. 48 ust. 1 pkt 11 ustawy prawo przedsiębiorców ustawy nie wydaje się zasadne.
W praktyce kontrola UODO poprzedzona jest zarówno pisemnym zawiadomieniem, jak i kontaktem telefonicznym ze strony urzędu. Warto także pamiętać, że swego czasu UODO ostrzegał przed fałszywymi kontrolerami, dlatego sytuacja, w której w organizacji pojawiliby się niezapowiedziani kontrolerzy, powinna wzbudzić uzasadnione podejrzenia. W takim przypadku należy niezwłocznie skontaktować się z urzędem telefonicznie w celu potwierdzenia czy faktycznie w danym podmiocie ma zostać przeprowadzona kontrola UODO oraz wyjaśnić wszelkie wątpliwości (w tym brak zawiadomienia). Warto pamiętać, że kontrolujący zgodnie z art. 81 ust. 1 ustawy o ochronie danych osobowych ma obowiązek przedstawić nie tylko legitymację, ale również imienne upoważnienie do przeprowadzenia kontroli przed podjęciem czynności kontrolnych.
Co zawiera imienne upoważnienie do kontroli ochrony danych osobowych?
Imienne poważnienie do przeprowadzenia kontroli powinno zawierać:
- wskazanie podstawy prawnej przeprowadzenia kontroli;
- oznaczenie organu;
- imię i nazwisko, stanowisko służbowe kontrolującego oraz numer legitymacji służbowej,
- określenie zakresu przedmiotowego kontroli;
- oznaczenie kontrolowanego;
- wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności kontrolnych;
- podpis Prezesa UODO;
- pouczenie kontrolowanego o jego prawach i obowiązkach;
- datę i miejsce jego wystawienia.
Ile trwa kontrola UODO?
Na to pytanie nie ma jednoznacznej odpowiedzi. Kontrola UODO, zgodnie z art. 89 ustawy o ochronie danych osobowych może trwać maksymalnie 30 dni. W praktyce kontrole zazwyczaj nie trwają dłużej niż dwa tygodnie, jednak czas ich trwania może zależeć od wielu czynników (w tym zakresu kontroli, stopnia skomplikowania procesów przetwarzania danych osobowych, wielkości kontrolowanego podmiotu, itp.).
Kontrola UODO. Co można zrobić, jeśli otrzymaliśmy już zawiadomienie o kontroli?
Jeśli otrzymaliśmy już zawiadomienie o przeprowadzeniu kontroli, nie mamy dużo czasu na przygotowanie organizacji. W związku z tym należy odpowiednio zaplanować działania, jakie można podjąć w krótkim czasie. W takim przypadku nie ma już niestety czasu na całościowy audyt RODO organizacji i kompleksowe wdrożenie wymogów wynikających z przepisów o ochronie danych osobowych. Jeśli organizacja nie przeprowadziła wcześniej takich działań trudno niestety oczekiwać pozytywnych rezultatów kontroli. W krótkim czasie można zazwyczaj jedynie w niewielkim stopniu poprawić sytuację danej organizacji, dlatego niewątpliwie kluczowe znaczenie ma wcześniejsze odpowiednie przygotowanie organizacji do wymogów RODO.
O tym, dlaczego należy przeprowadzić audyt ochrony danych osobowych, można przeczytać w artykule dostępnym na naszym blogu.
Jak przygotować się na kontrolę UODO w 5 krokach?
Krok 1. Potwierdzenie ostatecznego terminu i zakresu kontroli UODO.
Potwierdź ostatecznie termin i zakres zaplanowanej kontroli. Takie informacje wskazywane są w zawiadomieniu skierowanym do kontrolowanego podmiotu. W zdecydowanej większości przypadków zakres kontroli ogranicza się do określonych obszarów działalności (w praktyce raczej nie zdarzają się sytuacje, w których kontrola UODO obejmowałaby wszystkie procesy związane z przetwarzaniem danych osobowych w ramach danej organizacji). Warto także dodatkowo skontaktować się z urzędem (np. telefonicznie) w celu potwierdzenia zakresu oraz terminu kontroli, a także uzyskania informacji, jakie dokumenty przygotować.
Na marginesie można wskazać, że pierwszy dzień kontroli zazwyczaj ma charakter organizacyjny, a kontrolerzy informują, czego będą oczekiwać, jaki jest przewidywany harmonogram itp. Warto jednak spróbować ustalić więcej szczegółów już wcześniej. Informacje, które znajdują się w samym zawiadomieniu, często są bardzo ogólne (np. znajduje się w nim prośba o przygotowanie dokumentacji dotyczącej przetwarzania danych osobowych, bez wskazania, o jakie dokumenty chodzi). Przy kontakcie telefonicznym czasami udaje się uzyskać trochę więcej szczegółów, co pozwala zaoszczędzić cenny czas. Znając bardziej szczegółowo zakres kontroli, można lepiej przygotować kolejne kroki.
Już na tym etapie warto zapewnić także o pełnej współpracy z kontrolującymi i zadbać o dobrą atmosferę. Jest oczywiste, że raczej nikt nie lubi być kontrolowany, jednak urzędników należy traktować z szacunkiem, unikając przy tym zbędnych uwag. Niepotrzebną i szkodliwą praktyką, która niestety się czasami zdarza, jest jednoznaczne dawanie kontrolerom do zrozumienia, że są oni traktowani jako „zło konieczne”. Warto pamiętać, że kontroler to też człowiek i jego negatywne nastawienie na pewno w żaden sposób nie pomoże kontrolowanemu podmiotowi.
Krok 2. Poinformowanie współpracowników oraz powiązanych podmiotów o planowanej kontroli UODO.
Poinformuj wszystkie osoby w organizacji oraz podmioty współpracujące, które powinny o tym wiedzieć, że zaplanowana jest kontrola UODO oraz o tym, jaki jest jej planowany termin i zakres. Dotyczy to w szczególności:
- inspektora ochrony danych osobowych (jeśli został wyznaczony);
- innych osób odpowiedzialnych za ochronę danych osobowych w organizacji (np. dział IT, security itp.);
- kierowników komórek organizacyjnych/właścicieli procesów biznesowych, które mogą być objęte zakresem kontroli;
- podmioty, które z Tobą współpracują, jeśli zakres kontroli będzie dotyczyć kwestii związanych z tą współpracą (np. powierzenia przetwarzania danych).
Kontrolujący ma prawo m.in. żądać ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego. Dotyczy to w szczególności pracowników kontrolowanego podmiotu. W związku z tym osoby, które potencjalne mogą być w obszarze zainteresowania kontrolerów, powinny być o tym wcześniej odpowiednio poinformowane, aby nie stanowiło to dla nich zaskoczenia.
W ramach tego kroku warto też wyznaczyć osobę upoważnioną do reprezentowania organizacji w trakcie kontroli, do czego kontrolowany jest zobowiązany na podstawie art. 83 ust. 2 ustawy o ochronie danych osobowych.
Krok 3. Weryfikacja dokumentacji objętej kontrolą UODO.
Zweryfikuj (na ile to możliwe) dokumentację obowiązującą w organizacji w obszarze objętym kontrolą, a także stosowane zabezpieczenia techniczne (o ile jest to objęte przedmiotem kontroli). Z uwagi na ograniczenia czasowe trudno wprowadzać „za pięć dwunasta” radykalne zmiany w obowiązującej w danym podmiocie dokumentacji. Warto jednak dokonać przynajmniej szybkiego przeglądu obowiązujących dokumentów, które mogą być w obszarze zainteresowania kontrolerów, a także upewnić się, że zostały one formalnie wprowadzone w przyjęty w danym podmiocie sposób (w praktyce zdarza się czasami, że przygotowano odpowiednie dokumenty, ale „zapomniano” je formalnie wprowadzić).
W najgorszej sytuacji będą te podmioty, które nie zadbały wcześniej w ogóle o wdrożenie wymagań wynikających z RODO. W kilka dni nie da się niestety naprawić tego, co w normalnym toku prac zajmuje kilka lub kilkanaście miesięcy (np. odpowiednio zaprojektować system ochrony danych osobowych, przeprowadzić analizę ryzyka, czy ocenę skutków dla ochrony danych, zapewnić skuteczne procedury rozpatrywania żądań podmiotów danych, etc.). Nie da się także naprawić tego, co miało już miejsce w przeszłości (np. braku terminowego odpowiadania na żądania osób, których dane dotyczą, niedochowania terminów zgłaszania naruszeń itp.)
Niemniej jednak nawet w krótkim czasie można spróbować opracować przynajmniej niektóre dokumenty (np. ogólną politykę ochrony danych osobowych, rejestr czynności przetwarzania danych, podstawowe klauzule informacyjne czy niektóre procedury) lub wprowadzić niektóre zabezpieczenia danych, oczywiście przy założeniu, że będą one najprawdopodobniej niekompletne, przez co będą wymagać dopracowania na późniejszym etapie. Lepiej jednak posiadać jakąkolwiek dokumentację (nawet niekompletną), niż nie mieć jej wcale.
Przed kontrolą można także rozważyć doraźne szkolenie z ochrony danych osobowych dla pracowników, czy nadać brakujące upoważnienia do przetwarzania danych osobowych.
Krok 4. Przygotowanie do ustnych wyjaśnień podczas kontroli UODO.
Przygotuj się na ewentualne pytania ze strony kontrolujących. Warto pamiętać, że kontrolujący mogą prowadzić czynności tylko w zakresie wynikającym z nadanego upoważnienia. W związku z tym, w niektórych przypadkach można przewidzieć prawdopodobne pytania, jakie mogą paść w trakcie kontroli. Warto przygotować się na udzielenie odpowiedzi pamiętając oczywiście, że przekazywane kontrolującym inspektorom informacje muszą być zgodne ze stanem faktycznym. Przesłuchiwanie osoby przez kontrolera zawsze wiążę się z mniejszym lub większym stresem, dlatego w miarę możliwości dobrze jest się do tego przygotować.
Krok 5. Zapewnienie warunków oraz środków niezbędnych do przeprowadzenia kontroli UODO.
Zapewnij kontrolującym warunki i środki niezbędne do sprawnego przeprowadzenia kontroli oraz zapoznaj się szczegółowo z zakresem przysługujących im uprawnień. Oznacza to nie tylko obowiązek przygotowania dokumentacji, w tym sporządzenia kopii lub wydruków dokumentów oraz informacji zgromadzonych na nośnikach w urządzeniach, lub systemach służących do przetwarzania danych, jaką należy przedstawić kontrolującym (o spodziewany zakres tej dokumentacji warto spytać telefonicznie jeszcze przed rozpoczęciem kontroli), ale również zapewnienie w razie potrzeby miejsc, w których przetwarzane są dane osobowe (np. serwerowni, archiwów oraz innych pomieszczeń stanowiących obszar przetwarzania danych osobowych), o ile jest to związane z przedmiotem kontroli.
Kontrolujący powinni mieć przy tym zapewnione miejsce, w którym mogą swobodnie pracować (przeglądać dokumenty, odbierać wyjaśnienia od świadków itp.).
Protokół kontroli UODO
Po przeprowadzonej kontroli kontrolujący zobowiązany jest sporządzić protokół z czynności kontrolnych, który przedstawiany jest kontrolowanemu. Kontrolowany podmiot ma 7 dni na podpisanie protokołu lub zgłoszenie do niego zastrzeżeń. Brak zgłoszenia zastrzeżeń połączony z niepodpisaniem protokołu uznawany jest za odmowę podpisania protokołu, o czym kontrolujący czyni wzmiankę w protokole.
Powyższych kwestii nie należy bagatelizować, ponieważ wystąpienie w protokole nieścisłości lub niezgodności ze stanem faktycznym może mieć negatywny wpływ na kontrolowany podmiot. Protokół stanowi bowiem punkt wyjścia dla wszczęcia ewentualnego postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych. W przypadku złożenia zastrzeżeń, kontrolujący dokonuje ich analizy i w razie potrzeby, podejmuje dodatkowe czynności kontrolne, a w przypadku stwierdzenia zasadności zastrzeżeń zmienia lub uzupełnia odpowiednią część protokołu kontroli w formie aneksu do protokołu kontroli. W razie nieuwzględnienia zastrzeżeń w całości albo części, kontrolujący przekazuje kontrolowanemu informacje o tym wraz z uzasadnieniem.
Jeśli na podstawie informacji zgromadzonych w postępowaniu kontrolnym Prezes Urzędu uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, wszczyna on postępowanie administracyjne w sprawie naruszenia tych przepisów. Jeśli natomiast Prezes UODO oceni, że nie doszło do naruszenia przepisów o ochronie danych osobowych, kontrolowany podmiot otrzymuje stosowną informację w tym zakresie.
Kontrola UODO. Podsumowanie
Kontrola UODO zawsze stanowi wyzwanie dla organizacji i niejednokrotnie może być źródłem dużego stresu dla osób, które w niej uczestniczą. Bardzo istotne jest to, aby podmiot, który jest poddawany kontroli, z jednej strony znał swoje prawa i z nich korzystał, a z drugiej, aby nie utrudniał w sposób nieuzasadniony przeprowadzania czynności kontrolnych.
Jeśli jesteś zainteresowany wsparciem przy przygotowaniu organizacji do kontroli ze strony UODO, zapraszamy do kontaktu. Zachęcamy także do zapoznania się z naszą ofertą obsługi prawnej przy postępowaniach prowadzonych przed Prezesem UODO.
Czytaj także: Dlaczego należy zidentyfikować procesy przetwarzania danych osobowych w organizacji?