Kontrola RODO przedsiębiorcy na gruncie ustawy o ochronie danych osobowych
Wskutek rozpoczęcia obowiązywania dnia 25 maja 2018 r. unijnego Ogólnego rozporządzenia o ochronie danych z dnia 27 kwietnia 2016 r. (tzw. RODO), w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych, szczegółowo została uregulowana kwestia przeprowadzania kontroli w celu weryfikacji prawidłowości i legalności przetwarzania danych osobowych. Poniżej przedstawiamy podstawowe informacje dotyczące przeprowadzenia kontroli u przedsiębiorców.
Urzędnicy uprawnieni są do przeprowadzenia kontroli u każdego przedsiębiorcy pod kątem przestrzegania szeroko rozumianych przepisów o ochronie danych osobowych. Kontrolę przeprowadza upoważniony pracownik Urzędu Ochrony Danych Osobowych ( dalej „UODO”), na podstawie legitymacji służbowej i imiennego upoważnienia wystawionego przez Prezesa UODO. Urzędnicy mogą przeprowadzić kontrolę bez wcześniejszej zapowiedzi, a także w przypadku zaistnienia pewnych okoliczności podczas nieobecności przedsiębiorcy. Kontrolerzy posiadają bardzo szerokie uprawnienia, mogą m.in.: przebywać na terenie przedsiębiorstwa między godziną 6:00 a 22:00, przeglądać wszystkie dokumenty, dokonywać oględzin miejsc i przedmiotów, a także przesłuchiwać pracowników w charakterze świadków. W momencie przystąpienia do kontroli urzędnik poucza przedsiębiorcę o jego prawach. Kontrola RODO nie może trwać co do zasady dłużej niż miesiąc od podjęcia pierwszych czynności kontrolnych (a więc od momentu okazania legitymacji i upoważnienia).
Na kontrolowanym przedsiębiorcy spoczywają szczególne obowiązki, w tym przede wszystkim, umożliwienie sprawnego przeprowadzenia kontroli, sporządzanie we własnym zakresie kopii lub wydruków dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub w systemach oraz dokonywanie potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków. Udaremnienie lub utrudnienie kontroli może wiązać się z odpowiedzialnością karną.
Kontrola kończy się sporządzeniem protokołu przez kontrolującego urzędnika. Protokół podpisuje także kontrolowany przedsiębiorca. Przedsiębiorca może jednak zgłosić zastrzeżenia do protokołu w sytuacji, gdy przepisy regulujące procedurę kontroli zostały naruszone (np. kontroler nie przedstawił stosownych pouczeń, kontrola została przeprowadzona w godzinach między 22.00 a 6.00). Zastrzeżenia mogą być również dotyczyć sytuacji kiedy opisany stan faktyczny ustalony w toku kontroli odbiega od rzeczywistego, jak również wtedy, gdy protokół nie spełnia wymagań formalnych.
Skutkiem kontroli może być przeprowadzenie przez Prezesa UODO postępowania w sprawie naruszenia ochrony danych osobowych. Konsekwencją takiego postępowania może być nałożenie przez organ na przedsiębiorcę administracyjnej kary pieniężnej. Należy jednak pamiętać, że kara powinna być proporcjonalna do stwierdzonego naruszenia. Organ może także poprzestać jedynie na pouczeniu lub zaleceniach względem przedsiębiorcy u którego stwierdzono naruszenie zasad przetwarzania danych osobowych.
Radca prawny, Zabrze dnia 1 września 2018 r.
