Kontrola Głównego Inspektora Danych Osobowych w firmie. Jak się przygotować?

Ochrona danych osobowych to problem, z którym nie tylko powinna, ale musi się zmierzyć praktycznie każda jednostka organizacyjna posiadająca i nieposiadająca osobowości prawnej. Wynika to z faktu, iż nawet bardzo małe podmioty przetwarzają dane osobowe pracowników i współpracowników, petentów, klientów, a nawet przypadkowych gości przewijających się przez ogólnodostępne pomieszczenia do nich należące (podmioty stosujące monitoring wizyjny).

Remigiusz Przybytniowski, założyciel firmy INFOSEC specjalizującej się w zagadnieniach ochrony wszelkich grup informacji chronionych działając w ramach obowiązującego prawa oraz międzynarodowych standardów.

W myśl Ustawy o ochronie danych osobowych nawet tak mała firma, jak jednoosobowa działalność gospodarcza, posiadająca tylko zbiór danych osobowych kilku pracowników, jest Administratorem Danych Osobowych (ADO), a więc podlega wymogom prawnym w niej zawartych. Skoro tak, to zgodnie z zapisami tej Ustawy każdy ADO musi się liczyć z ewentualną kontrolą Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Ustawa z 29 sierpnia 1997 r o ochronie danych osobowych (Dz.U. 2016 r. poz. 922) zwana dalej „UODO” daje Generalnemu Inspektorowi Danych Osobowych (GIODO) w art. 12 uprawnienia do przeprowadzenia kontroli zgodności przetwarzania danych osobowych z przepisami prawa.

Zanim przejdę do wyjaśnienia, czego taka kontrola dotyczy w szczegółach, jak się do niej przygotować i czy mamy jakieś drogi manewru, chciałbym nadmienić, iż niezależnie od naszych odczuć co do poziomu przygotowania firmy do wywiązywania z zapisów UODO, przedsiębiorcy nie wolno pod żadnym pozorem utrudniać kontroli GIODO. Taki błąd na wstępie zwykle kosztuje firmę znacznie poważniejsze konsekwencje niż całkowity brak spełnienia wymogów prawa.

Bowiem jakiekolwiek sposoby utrudniania mogą spowodować złożenie zawiadomienia o możliwości popełnienia przestępstwa do prokuratury. A sama UODO za utrudnienia w prowadzeniu kontroli przez inspektorów GIODO przewiduje  grzywnę lub karę ograniczenia albo pozbawienia wolności do lat dwóch.

W praktyce za utrudnianie kontroli uważa się np: niewpuszczenie do pomieszczeń firmy, zatajenie przed inspektorem obszarów przetwarzania danych osobowych czy też niszczenie, modyfikację lub ukrywanie dokumentacji.

Kto przeprowadza kontrolę?

Zgodnie z obowiązującymi przepisami kontroli dokonuje sam Generalny Inspektor Ochrony Danych Osobowych lub w jego imieniu upoważnieni przez niego inspektorzy zgodnie z art. 14 UODO. Z doświadczenia jednak wynika, iż w skład kontroli w większości przypadków wchodzi dwóch pracowników biur GIODO, zazwyczaj prawnik i informatyk.

Rodzaje kontroli GIODO

Można wyróżnić dwa główne rodzaje kontroli GIODO w podmiotach:

1. Kontrola z urzędu – wykonywana z inicjatywy GIODO w ramach wykonywania zadań kontrolnych nałożonych przez ustawę – najczęściej zgodna z okresowym planem kontroli.
2. Kontrola na wniosek/doraźna – wykonywana przez GIODO na wniosek podmiotu zewnętrznego, np. PIP, NIK, związków zawodowych, pracodawcy, osoby fizycznej – często anonimowe.

Należy tu wspomnieć, iż na podstawie porozumień Państwowej Inspekcji Pracy (PIP) z GIODO od grudnia 2012 r. są prowadzone wspólne kontrole PIP i GIODO u pracodawców. Od grudnia 2014 r. PIP zobowiązało się do zawiadamiania GIODO o stwierdzonych nieprawidłowościach w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych w ramach własnych kontroli.

Czy GIODO informuje o kontrolach?

UODO nie precyzuje wprost obowiązku zawiadamiania o kontrolach GIODO. W praktyce jednak podmioty są z reguły o nich zawiadamiane na piśmie z co najmniej kilkudniowym wyprzedzeniem. Podmiot więc ma możliwość przygotowania się do niej. Nie oznacza to jednak, że GIODO nie wszczyna kontroli z dnia na dzień. Dzieje się to w sytuacjach wskazujących na to, że podmiot lub osoba podlegająca kontroli mogłaby ukryć dowody świadczące o popełnieniu czynu zabronionego.

Należy tu jednak wspomnieć o podmiotach prowadzących działalnością gospodarczą, gdzie zastosowanie mają przepisy Ustawy o swobodzie działalności gospodarczej z dnia 2 lipca 2004 r. (Dz.U. 2016 r. poz. 1829). Ustawa ta w art. 79 ust. 4 stanowi: „Kontrolę wszczyna się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli. Jeżeli kontrola nie zostanie wszczęta w terminie 30 dni od dnia doręczenia zawiadomienia, wszczęcie kontroli wymaga ponownego zawiadomienia”.

Wspomniana wyżej Ustawa w art. 82 i 83 ogranicza możliwości przeprowadzenia więcej niż jednej kontroli w tym samym czasie oraz podaje limity dni w roku, kiedy kontrole mogą być prowadzone. Jeśli zatem kontrola GIODO naruszałaby zapisy ustawy o swobodzie gospodarczej określone w tych art., możemy poinformować o tym GIODO, prosząc o przesunięcie czy wręcz składając sprzeciw.

Jak przebiega kontrola GIODO w firmie – zakres uprawnień

Zakres uprawnień przysługujący kontrolerom został określony w art. 14 UODO. Zgodnie z jego treścią kontrola może trwać od kilku do kilkunastu dni, a czas jest uzależniony od rodzaju działalności, wielkości podmiotu, liczby i wielkości zbiorów przetwarzanych w podmiocie. Zgodnie z Ustawą inspektorzy mają prawo wstępu w godz. od 6.00 do 22.00, w dni robocze za okazaniem imiennego upoważnienia i legitymacji służbowej. W praktyce inspektorzy dokonują czynności kontrolnych do godz 16.00. W ramach kontroli mogą żądać: złożenia pisemnych lub ustnych wyjaśnień, wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego, przedłożenia do wglądu wszelkich dokumentów i wszelkich danych mających związek z przedmiotem kontroli oraz sporządzania z nich kopii, przeprowadzania oględzin serwerów, komputerów stacjonarnych i przenośnych wraz z aplikacjami oraz wszelkich elektronicznych nośników informacji.

Jak przygotować się do kontroli GIODO

1. Wyznaczyć osobę odpowiedzialną za przygotowania do kontroli i dalej reprezentowania podmiotu przed kontrolerami. W przypadku gdy ADO wcześniej powołał Administratora Bezpieczeństwa Informacji (ABI) w myśl zapisów UODO, to jest to osoba z racji swych obowiązków odpowiedzialna i posiadająca wiedzę co do zadań i procesu przygotowawczego. Jeśli takiej osoby nie ma, należy wyznaczyć jednego z pracowników w miarę możliwości z wiedzą w przedmiotowym temacie. Do procesu przygotowawczego, a także reprezentowania ADO przed inspektorami, należy także wyznaczyć osobę z działu IT, która posiada wiedzę dotyczącą systemów informatycznych, jak i zabezpieczeń w nich stosowanych.
2. Ustalić (jeśli to możliwe) przyczynę i cel zapowiedzianej kontroli, aby odpowiednio ukierunkować przygotowania.
3. Przeprowadzić wewnętrzny audyt przetwarzania danych we wszystkich zbiorach danych osobowych przetwarzanych w firmie. Należy przeprowadzić weryfikację procesów biznesowych, w których przetwarzane są dane osobowe, w szczególności pod względem:

– przesłanki legalności pozyskiwania danych,

– adekwatności pozyskiwanych danych,

– celu i zakresu przetwarzanych danych,

– czasu przetwarzania danych,

– sposobów zabezpieczenia danych,

– obowiązków informacyjnych,

– przekazywania danych do państw trzecich,

– powierzenia i udostępnienia danych,

– zgody na przetwarzanie danych,

– oświadczenia poufności danych.

4. Sprawdzić dokumentację ochrony danych osobowych, na którą składają się dokumenty:

– polityka bezpieczeństwa,

– instrukcja przetwarzania danych osobowych w systemach informatycznych,

– upoważnienia do przetwarzania danych osobowych w zbiorach, których administratorem jest kontrolowany podmiot,

– ewidencje upoważnień,

– umowy powierzenia.

Zweryfikowaną dokumentację należy w miarę możliwości uaktualnić i skompletować w jednym miejscu. Kontrolerzy rozpoczynają kontrolę od sprawdzenia prawidłowości wskazanej dokumentacji i wiele zależy od pierwszego wrażenia, jakie wywoła poziom jej wykonania i zawartości.

5. Sprawdź, czy zarejestrowano zbiory danych osobowych w GIODO w przypadku zbioru podlegającego rejestracji.

Inspektorzy w ramach weryfikacji zbiorów przetwarzanych w kontrolowanej jednostce sprawdzą każdy zbiór pod względem celu, zakresu danych, zabezpieczeń oraz faktu zgłoszenia zbioru do GIODO. Jest to jedyny element, którego nie jesteśmy w stanie naprawić z chwilą otrzymania zawiadomienia o planowanej kontroli GIODO. Kontrolerzy bowiem albo sprawdzą w rejestrze datę zgłoszenia zbioru, albo poproszą o dowód nadania takiego zgłoszenia. UODO nakłada bowiem na ADO obowiązek rejestracji do GIODO pod rygorem sankcji określonych w art. 53 UODO.

Zadbaj o poziom wiedzy pracowników dotyczący ochrony danych osobowych

Podczas kontroli bardzo dużo zależy od wiedzy i świadomości pracowników przetwarzających dane osobowe w firmie. To z nimi w trakcie kontroli inspektorzy GIODO będą się bardzo często kontaktowali, wypytując o wiele aspektów w procesach przetwarzania danych osobowych w zbiorach. Pytania będą dotyczyły nie tylko chwili obecnej, ale czasem i poprzednich okresów. Należy zdawać sobie sprawę, że inspektorzy mają prawo ściągać do siebie i wręcz przesłuchiwać pracowników. W związku z tym bardzo ważnym etapem przygotowania firmy do kontroli GIODO jest odpowiednie wcześniejsze przygotowanie i przeszkolenie pracowników.

W tym celu warto przeprowadzić specjalistyczne szkolenie, w ramach którego poinformujemy załogę o:

– samej kontroli, jej zakresie, ewentualnym przebiegu i terminie,

– sposobach zachowania i obowiązkach,

– zasadach bezpiecznego przetwarzania danych osobowych,

– prawach kontrolujących i kontrolowanych.

Na co w szczególności zwracają uwagę inspektorzy GIODO?

1. Aspekty prawne związane z ochroną danych osobowych, np. zgłoszenie zbioru w GIODO w przypadku braku ustawowego wyłączenia, legalność pozyskiwania danych

2. Zakres przetwarzanych danych, zasadność ich przechowywania oraz cel, w jakim dane zostały pozyskane.

3. Poprawność wymaganej prawem dokumentacji. W tym miejscu warto przypomnieć, aby dokumentacja dotycząca ochrony danych osobowych, a więc instrukcja przetwarzania danych osobowych w systemach informatycznych oraz polityka bezpieczeństwa, były wydrukowane oraz podpisane przez ADO lub ABI. Dalej sprawdzane są upoważnienia dla poszczególnych pracowników w związku z dostępem do danych osobowych w poszczególnych zbiorach przetwarzanych przez ADO. Dokument ten winien także posiadać podpis AFO lub ABI.

4. Równolegle inspektor odpowiedzialny za kontrolę systemów informatycznych sprawdza poprawność stosowanych procedur oraz oprogramowania, w tym wdrożenie i stosowanie postanowień polityki bezpieczeństwa i procedur zawartych we wspomnianej wyżej instrukcji. Sprawdzeniu podlegają m.in. funkcjonalności aplikacji przetwarzających dane osobowe, jak i aplikacje odpowiedzialne za zabezpieczenie danych, m.in. programy antywirusowe, firewalle itd.

Jeżeli po przeprowadzonej kontroli inspektor stwierdzi naruszenie przepisów o ochronie danych osobowych, występuje do Generalnego Inspektora o wydanie decyzji administracyjnej – o której mowa w art. 18 UODO – który w głównej mierze skupia się na zobligowaniu przedsiębiorcy do np. usunięcia w zadanym czasie stwierdzonych nieprawidłowości, a czasami stosuje zawieszenie pracy w danym zbiorze.

Dodatkowo jeśli przedsiębiorca dopuszcza się istotnych uchybień lub nieprawidłowości, urząd może zgodnie z zapisami UODO nałożyć karę grzywny, która obecnie waha się w granicach od 50 do 200 tys. zł. Co prawda w UODO są dalej idące zapisy, mówiące wręcz o ograniczeniu lub pozbawieniu wolności od roku do trzech, ale dotychczas nie słyszałem o zastosowaniu tak drastycznych sankcji.

Udostępnij

« PREV POSTS

Mityczne myślenie o prawie autorskim

NEXT POSTS »

Sztukę nosi się w sercu – rozmowa z malarką Iwoną Ochnio-Kwiatecką

Możliwość komentowania jest wyłączona.