Jak w praktyce wygląda kontrola z Urzędu Ochrony Danych Osobowych?
Kontrole prowadzone przez UODO budzą wiele emocji i wątpliwości – jak wyglądają, jak się podczas nich zachować?
Przedsiębiorcy nie lubią być kontrolowani – takie wizyty często zaburzają naturalny rytm pracy, są źródłem stresu dla pracowników i często kończą się zaleceniami lub, co gorsza, sankcjami.
Po pierwsze kontrole przeprowadzane są zgodnie z planem kontroli lub na podstawie sygnałów, jakie UODO otrzymuje od osób fizycznych, innych instytucji, czy też, od innych podmiotów kontrolujących. Zwracam uwagę na to, że inne organy kontrolujące Twoją firmę mogą zgłaszać zauważone przez siebie nieprawidłowości do UODO (np. KNF, PIP, urząd skarbowy).
W praktyce informację o kontroli przedsiębiorcy otrzymują na 7 dni przed wizytą pracowników UODO. Termin kontroli można negocjować, ale tylko i wyłącznie ze względu na ważne powody leżące po stronie administratora. Takim ważnym powodem może być np. nieobecność inspektora ochrony danych osobowych. Inne kontrole w tym samym czasie, czy np. zewnętrzne audyty realizowane na zamówienie administratora nie są przyczynami uzasadniającymi przełożenie terminu kontroli.
Przedmiotem sprawdzenia przez pracowników UODO są zasady przetwarzania danych stosowane w organizacji. Kontrolerzy badają, czy jest podstawa prawna do przetwarzania danych, czy spełniony został obowiązek informacyjny, jak realizowane są prawa osób, których dane dotyczą. Ponadto kontroli podlegają stosowane zabezpieczenia, dokumentacja – w tym dokumentacja naruszeń ochrony danych czyli incydentów. Kontrolerzy UODO sprawdzają też czy dane są przekazywane do państw trzecich oraz przypadki powierzenia przetwarzania. Kontrolerzy mogą również weryfikować spełnienie wymogów wynikających z innych przepisów prawa.
Kontrolerzy po zjawieniu się w firmie muszą okazać swoje legitymacje służbowe i imienne upoważnienia. Warto pamiętać, że podmiot kontrolowany ma prawo sprawdzić czy UODO skierowało do nas takich pracowników, wystarczy zadzwonić do urzędu i to potwierdzić.
Kontrola może być prowadzona przez 30 dni, w praktyce w siedzibie zajmuje najczęściej około 5 dni. Czas trwania zależy od wielkości podmiotu i procesów przetwarzania danych, a także współpracy z kontrolującymi.
Kontrolerzy mają prawo zbierać wyjaśnienia od pracowników, poruszać się po siedzibie.
Zespół kontrolujący składa się najczęściej z trzech osób, w tym jeden z nich jest specjalistą ds. IT. W praktyce kontrolerzy weryfikują jakiś wycinek działalności i przetwarzania danych osobowych w konkretnym procesie. Po otrzymaniu informacji o kontroli dowiesz się, co będzie kontrolowane (np. monitoring i proces rekrutacji), możesz również skontaktować się z UODO i dowiedzieć się jakie są oczekiwania – jakie dokumenty przygotować dla kontrolerów, żeby ich wizyta przebiegała sprawnie.
W toku kontroli kontrolerzy opracowują protokoły częściowe – masz prawo sporządzać ich kopie.
Warto pamiętać, że ważna jest współpraca z kontrolerami – należy udostępnić im pomieszczenie do pracy, zamykaną szafkę na dokumenty, drukarki, kserokopiarki. Ważne, żeby w czasie kontroli umożliwiać kontrolerom spotkania z pracownikami, swobodne poruszanie się po firmie.
Statystycznie najwięcej kontroli odbywa się w Warszawie i okolicach, a także w większych miastach w Polsce, jak Wrocław, Kraków, Poznań, Gdańsk. Nie może to jednak uśpić czujności przedsiębiorców – kontrole często inicjowane są na skutek zgłaszanych do UODO naruszeń ochrony danych.
Jeżeli chcesz mieć pewność, że jesteś gotowy na kontrolę z UODO, a wdrożenie RODO w Twojej firmie zostało wykonane prawidłowo skontaktuj się z naszymi ekspertami.
