Jak przedsiębiorca powinien postępować podczas kontroli UODO – czy potrzebna mu reprezentacja?

Kontrola przestrzegania przepisów o ochronie danych osobowych jest przeprowadzana przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Samo hasło – kontrola – budzi w przedsiębiorcach, jeśli nie gęsią skórkę, to z pewnością niezbyt pozytywne emocje. W szczególności, gdy w grę wchodzą wysokie kary, jakie są przewidziane za naruszenie ochrony danych osobowych. Trudno się temu dziwić, jednak do takiej ewentualnej kontroli można w określony, a przede wszystkim skuteczny sposób przygotować swoją firmę. Jak podjąć się tego i co właściwie przedsiębiorca powinien wiedzieć na temat przygotowania do kontroli UODO i samego jej przebiegu? Na te pytania oraz co zrobić, aby nie obawiać się kontroli przestrzegania przepisów ochrony danych osobowych w swojej firmie, postaram się odpowiedzieć w niniejszym tekście.

Na czym polega kontrola UODO i kiedy jest możliwa?

Kontrola UODO, jak już wspomniałem, zostaje przeprowadzona przez Prezesa Urzędu i dotyczy ona przestrzegania przepisów stosowania RODO. Dzieje się tak w trzech przypadkach:

• kiedy stanowi ona część zaplanowanych kontroli, w tym tzw. kontroli sektorowych (zapowiadanych okresowo przez PUODO kontroli w określonych sektorach przedsiębiorstw, np. telekomunikacyjnych).
• kiedy jest prowadzona na podstawie uzyskanych przez PUODO informacji (np. w trakcie postępowania w zakresie naruszenia ochrony danych osobowych).
• kiedy jest prowadzona w ramach monitorowania przestrzegania RODO.

Kontrola UODO może być zatem spodziewaną reakcją np. na wyciek danych osobowych czy też być efektem doniesienia na podejrzewane uchybienia w stopniu zabezpieczeń danych. Kontrola może mieć charakter niezależny, ale także może odbywać się w ramach toczącego się już postępowania administracyjnego. W tym drugim przypadku informacje uzyskane w czasie kontroli będą elementem postępowania dowodowego. Kontrola może także  stanowić element szerszej strategii sprawdzania przestrzegania przepisów RODO – ewentualne kontrole sektorowe są zapowiadane przez Prezesa na stronie UODO na początku roku kalendarzowego.

Osoba, przeprowadzająca kontrolę w imieniu PUODO ma m.in. prawo do wstępu do budynków i pomieszczeń w celu przeprowadzenia kontroli, a także żądania dostępu do określonych dokumentów i informacji, o czym napiszę szczegółowo poniżej.

Kontrolowany jest natomiast zobowiązany do pełnej współpracy z kontrolowanym, w tym powinien sporządzać kopie i wydruki dokumentów oraz informacji zgromadzonych na nośnikach elektronicznych.

Czynności kontrolne mogą być  w danym przypadku ograniczone tylko do tego, co osoba kontrolująca uzna za właściwe. Może się zdarzyć w szczególności, że kontrola jest ograniczona do żądania przedstawienia dodatkowych wyjaśnień lub dokumentów i niekoniecznie łączy się z czynnościami kontrolnymi w siedzibie przedsiębiorcy. 

Kto może przeprowadzić kontrolę w zakresie przetwarzania ochrony danych osobowych w siedzibie przedsiębiorcy? 

Bezpośrednio w siedzibie przedsiębiorstwa kontrolę przeprowadza osoba upoważniona przez PUODO. Może być to pracownik Urzędu albo członek czy też pracownik organu nadzorczego państwa członkowskiego.

            Istnieją sytuacje, kiedy wyznaczona osoba może zostać wyłączona z udziału w kontroli (na wniosek lub z urzędu) w sytuacji, gdy:

• wyniki kontroli mogłyby wpływać na prawa lub obowiązki jego, jego małżonka, osoby pozostającej z nim faktycznie we wspólnym pożyciu, krewnego i powinowatego do drugiego stopnia albo na osoby związanej z nim z tytułu przysposobienia, opieki lub kurateli;
• są wątpliwości co do jego bezstronności.

Pierwszy powód wydaje się być właściwie częścią składową powodu drugiego, ponieważ można śmiało zakładać, że jeśli wynik kontroli oddziaływałby w jakikolwiek sposób na kontrolującego, to mogłoby to świadczyć o braku jego bezstronności.

Podmiot objęty kontrolą (przedsiębiorstwo) w przypadkach wskazanych powyżej ma prawo do złożenia wniosku o wyłączenie z udziału w kontroli do Prezesa UODO, który wydaje rozstrzygnięcie w tym zakresie. Prezes UODO może także podjąć taką decyzję z urzędu.  

Jakie są prawa i obowiązki kontrolującego?

Poddawany kontroli przedsiębiorca może wymagać od kontrolującego okazania imiennego upoważnienia oraz legitymacji służbowej. Natomiast jeśli kontrolującym jest członek lub pracownik organu nadzorczego, to musi on okazać imienne upoważnienie wraz z dokumentem tożsamości.

            Warto, aby zainteresowany przedsiębiorca wiedział, co ma zawierać imienne upoważnienie, którego ma wymagać, gdyż niespełnienie jednego z warunków będzie prawomocnym powodem do niewpuszczenia kontrolującego. Zgodnie z art. 81 ust. 2 Ustawy o ochronie danych osobowych imienne upoważnienie powinno zawierać:

• wskazanie podstawy prawnej przeprowadzenia kontroli;
• oznaczenie organu;
• imię i nazwisko, stanowisko służbowe kontrolującego oraz numer legitymacji służbowej lub gdy kontrolujący jest pracownikiem lub członkiem organu nadzorczego – imię i nazwisko wraz z numerem dokumentu potwierdzającego tożsamość;
• określenie zakresu przedmiotowego kontroli;
• oznaczenie kontrolowanego;
• wskazanie daty rozpoczęcia i przewidywanego końca kontroli;
• podpis Prezesa Urzędu;
• pouczenie kontrolowanego o jego prawach i obowiązkach;
• datę i miejsce wystawienia upoważnienia.

Ponadto kontrolujący ma obowiązek zachowania w tajemnicy informacji, o których dowiedział się podczas kontroli. Po zakończeniu kontroli kontrolowanemu przedstawia się protokół kontroli. Kontrolowany może go podpisać albo przedstawić swoje zastrzeżenia w ciągu 7 dni. W przypadku złożenia zastrzeżeń kontrolujący może przeprowadzić dodatkowe czynności albo zmienić lub uzupełnić protokół w formie aneksu. W przypadku braku podpisania protokołu i nieprzedstawienia zarzutów uznaje się, że kontrolowany odmówił podpisania protokołu. Protokół kontroli doręcza się kontrolowanemu w dwóch egzemplarzach (w postaci elektronicznej lub w papierowej).   

W trakcie kontroli kontrolujący ma prawo do:

• wstępu w godzinach 6:00-22:00 na grunt oraz do budynków, lokali, pomieszczeń kontrolowanego przedsiębiorstwa;
• wglądu do dokumentów i informacji, które mają bezpośredni związek z zakresem przedmiotowym kontroli;
• przeprowadzenia oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
• żądania złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwań w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
• zlecania sporządzania ekspertyz i opinii.

Na koniec warto dodać, że Prezes Urzędu lub kontrolujący mogą zwrócić się do Policji o pomoc w wykonaniu działań kontrolnych, o ile będzie to niezbędne.  

Czy warto mieć swoją reprezentację i prawne wsparcie – jakie są obowiązki i prawa kontrolowanego przedsiębiorcy?

Firma, którejdziałalność jest przedmiotem kontroli PUODO może skorzystać z reprezentacji profesjonalnego pełnomocnika, który będzie reprezentował jej interesy w czasie kontroli. W wypadku przeprowadzania kontroli PUODO albo naruszenia ochrony danych osobowych  taka osoba będzie najlepszym kontaktem reprezentującym przedsiębiorstwo. Dobra znajomość przepisów RODO oraz orientacja w innych regulacjach prawnych jest koniecznością, aby wypełnić obowiązki spoczywające na firmie, w której działalności obecne jest przetwarzanie danych osobowych.

            Zgodnie z art. 83 ust. 1 Ustawy o ochronie danych osobowych kontrolowany jest zobowiązany do pisemnego wskazania osoby upoważnionej do reprezentowania go podczas kontroli. Wszelkie czynności kontrolne mają miejsce w obecności kontrolowanego albo upoważnionej przez niego osoby. W przypadku niewskazania osoby upoważnionej czynności prowadzi się w obecności osoby czynnej w lokalu przedsiębiorstwa.

            Jakie zatem najważniejsze obowiązki spoczywają na kontrolowanym przedsiębiorstwie?

• zapewnienie kontrolującemu oraz osobom upoważnionym do udziału w kontroli warunków i środków niezbędnych do sprawnego przeprowadzenia kontroli – szczególnie sporządzenie we własnym zakresie kopii lub wydruków dokumentów oraz informacji zgromadzonych na nośnikach, urządzeniach lub systemach;
• dokonanie potwierdzenia za zgodność z oryginałem sporządzonych kopii i wydruków;
• odpowiedzenie na wszelkie pytania i wątpliwości ze strony kontrolującego – w szczególności, kiedy kontrola przebiega pisemnie przez Prezesa UODO, a nie w przedsiębiorstwie przez wyznaczonego przez niego przedstawiciela;
• obowiązek współpracy z kontrolującym pod groźbą nałożenia kary;
• w terminie 7 dni od dnia przedstawienia protokołu kontroli do podpisu podpisanie go albo złożenie pisemnego zastrzeżenia co do jego treści.

Jeśli w wyniku czynności kontrolnych Urząd uzna, że mogło dojść do naruszenia ochrony danych osobowych, niezwłocznie zostanie wszczęte postępowanie w tym przedmiocie.

Co zawiera protokół kontroli?

Protokół kontroli jest przygotowywany przez kontrolującego. Ustala on stan faktyczny na podstawie zebranych dowodów podczas przeprowadzanej kontroli. Przypomnę, że taki protokół musi zostać podpisany przez kontrolowanego (ewentualnie musi on złożyć pisemne zastrzeżenia wobec niego).

A co dokładniej zawiera taki protokół?

• wskazanie nazwy lub imienia i nazwiska oraz adresu kontrolowanego;
• imię i nazwisko osoby reprezentującej kontrolowanego oraz nazwę organu reprezentującego kontrolowanego;
• imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer imiennego upoważnienia kontrolującego;
• datę rozpoczęcia i zakończenia kontroli;
• określenie zakresu przedmiotowego kontroli;
• opis stanu faktycznego ustalonego w toku kontroli oraz inne informacje, które mają istotne znaczenia dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
• wyszczególnienie załączników;
• omówienie poprawek, skreśleń i uzupełnień dokonanych w protokole;
• pouczenie kontrolowanego o prawie zgłaszania zastrzeżeń do protokołu oraz o prawie odmowy podpisania protokołu kontroli;
• datę i miejsce podpisania protokołu przez kontrolującego oraz kontrolowanego.

Audyt, szkolenia i stała kontrola zabezpieczeń – doradztwo w przygotowaniu się do kontroli UODO

Najlepszym sposobem na przygotowanie firmy na ewentualną kontrolę UODO jest trzymanie ręki na pulsie działalności związanej z przetwarzaniem danych osobowych. Im więcej danych osobowych przedsiębiorstwo przetwarza, tym bardziej powinno zwracać uwagę na kontrolę aktualnych zabezpieczeń oraz obowiązujących przepisów dotyczących ochrony danych. Wyznaczenie Inspektora Ochrony Danych Osobowych, tj. IOD-a będzie tutaj z pewnością dużym ułatwieniem, nawet jeśli na gruncie przepisów jego wyznaczenie nie będzie obowiazkowe.

            Bardzo ważne będzie przeprowadzanie regularnych audytów zgodności z RODO ze względu na nowelizacje przepisów prawnych oraz z uwagi na zmiany technologiczne. Bardzo ważne dla dbania o bezpieczeństwo przetwarzanych danych jest wykonywanie analizy ryzyka oraz oceny skutków dla ochrony danych. Więcej na temat wykonywania audytu RODO można znaleźć w naszym tekście, który omawia dokładnie temat audytu (TUTAJ WSTAWIĆ LINK DO TEKSTU).

Jakie są ewentualne kary i grzywny za brak współpracy z kontrolującym lub utrudnianie kontroli przez unikaniu kontaktów?

Zgodnie z art. 108 ust. 1 Ustawy o ochronie danych osobowych każdy, kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

            Dodatkowo, należy mieć na uwadze, że współpraca z organem nadzorczym jest obowiązkiem przedsiębiorcy gruncie RODO.  Współpraca może polegać w szczególności na niezwłocznym przekładaniu żądanych przez UODO dokumentów albo udzielaniu wyjaśnień we wskazanych przez urząd terminach. Należy mieć na uwadze, że za brak współpracy UODO może również nałożyć karę, co ma często miejsce w praktyce (por. np. Decyzja PUODO z dnia 25 stycznia 2023 r., DKE.561.35.2022).