W Polsce ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych został stworzony organ nadzorczy o nazwie Urząd Ochrony Danych Osobowych (UODO), na czele którego stoi Prezes Urzędu Ochrony Danych Osobowych (dalej PUODO), który kontynuuje działania dawnego Generalnego Inspektora Ochrony Danych Osobowych. PUODO jest organem nadzorczym, uprawnionym do wypełniania zadań i wykonywania uprawnień w sposób niezależny. Jak przygotować się do kontroli PUODO? O czym należy pamiętać w jej trakcie?
Kontrola prowadzona przez PUODO jest czymś w rodzaju audytu. W związku z rozległością zagadnienia dotyczącego ochrony danych osobowych kontrola jest często prowadzona przez więcej niż jedną osobę. Obecnie zakres zagadnienia dotyczy nie tylko kwestii prawnych wymagających wdrożenia odpowiednich procedur, ale również zabezpieczeń w sferze IT. Stąd często wśród kontrolujących są osoby, które dokonują audytu z obszaru prawnego, ale również z obszaru IT.
Rodzaje kontroli
Ustawa o ochronie danych osobowych wyróżnia trzy rodzaje kontroli:
- kontrola na podstawie zatwierdzonego planu kontroli (kontrola planowa),
- kontrola na podstawie uzyskanych przez Prezesa UODO informacji (kontrola doraźna),
- kontrola w ramach monitorowania przestrzegania stosowania RODO (kontrola wyrywkowa).
Kontrola planowana
Kontrola planowa jest to kontrola, która była również stosowana na gruncie starych przepisów dotyczących ochrony danych osobowych. Jest ona przeprowadzana zgodnie z planem kontroli, który zazwyczaj obejmuje plan na jeden rok, a zakresem może dotyczyć wybranej kategorii podmiotów lub zagadnień. Plan na 2019 r. obejmuje m.in. takie podmioty jak: Telemarketing, Brokerzy danych w zakresie podstaw prawnych przetwarzania danych osobowych, Profilowanie w sektorze bankowym i ubezpieczeniowym sektor prywatny. Jeśli chodzi o sektor publiczny to kontrolowane będą w sektorze organów ścigania i sądów – Policja, Straż Graniczna, Areszty Śledcze. W zakresie prowadzonego monitoringu w 2019 r. mają zostać skontrolowane sektory zdrowia, zatrudnienia i szkolnictwa. Plan na każdy rok, co do zasady, umieszczany jest na stronie internetowej urzędu.
Kontrola doraźna
Kontrola doraźna najczęściej jest przeprowadzana w związku ze zgłaszanymi przez obywateli skargami, sygnalizacjami lub z inicjatywy innych organów, którym przepisy nadają uprawnienia kontrolne, sądów i prokuratur. Informacje mogą być również pozyskiwane przez PUODO z mediów, chociażby w zakresie podejrzenia dużego wycieku danych osobowych lub informacji w zakresie nieprawidłowego zachowania organizacji w kontekście wymogów RODO.
Kontrola wyrywkowa
Kontrolą wyrywkową są objęte podmioty, których sektor nie został ujęty w planie kontroli na dany rok, bądź jest związana z uzyskanymi informacjami o ewentualnych uchybieniach przez PUODO. Dobór podmiotów do kontroli wyrywkowej następuje zgodnie ze swobodnym wyborem Prezesa UODO. Jeśli chodzi o przestrzeganie przepisów o ochronie danych osobowych, to podmiot jest zobowiązany współpracować z organem np. w celu udostępnienia rejestru przetwarzania danych osobowych. Jeśli PUODO podczas takiego udostepnienia wykryje nieprawidłowości, może wszcząć w tym przypadku kontrolę doraźną. Kontroli wyrywkowej dokonuje się „w ramach monitorowania” przestrzegania stosowania RODO.
Pozostałe 78% artykułu dostępne jest dla zalogowanych użytkowników serwisu.
Jeśli posiadasz aktywną prenumeratę przejdź do LOGOWANIA. Jeśli nie jesteś jeszcze naszym Czytelnikiem wybierz najkorzystniejszy WARIANT PRENUMERATY.
Zaloguj Zamów prenumeratę Kup dostęp do artykułuMożesz zobaczyć ten artykuł, jak i wiele innych w naszym portalu Controlling 24. Wystarczy, że klikniesz tutaj.