Schemat kontroli UODO

Jeśli chcesz wiedzieć jakie działania należy przedsięwziąć, aby przygotować się do kontroli w taki sposób aby nic nie pozostawić przypadkowi, musisz poznać zasady zgodnie z którymi kontrola przebiega oraz prawa jakie przysługują kontrolującym. Jeśli dowiesz się jakie działania organ nadzorczy ma prawo podejmować możliwe będzie przeprowadzenie czynności przygotowawczych zanim do kontroli ostatecznie dojdzie.

Katalog uprawnień przysługujących kontrolującym jest przecież ograniczony, a od dawna znana zasada że im lepiej znasz swojego przeciwnika tym lepiej możesz się przygotować do konfrontacji znajduje zastosowanie także w tym przypadku.

Jeśli nie wiesz, jakie działania w ramach czynności kontrolnych i pokontrolnych może podjąć Prezes Urzędu Ochrony Danych Osobowych wobec Ciebie jako administratora, wyjaśniamy!

Czy kontrola jest zapowiadana?

Ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.) nie reguluje kwestii zawiadamiania o kontroli. Niemniej jednak kontrola u przedsiębiorcy będącego administratorem danych osobowych (dalej: „kontrolowany”) powinna zostać zapowiedziana zgodnie z przepisami regulującymi prawa przedsiębiorców, tj. ustawą z 6 marca 2018 r. – Prawo przedsiębiorców (Dz.U. z 2018 r. poz. 646 ze zm.).

Niezależnie od powyższego organ nadzorczy co do zasady przyjmuje praktykę zawiadamiania o kontroli. Zawiadomienie najczęściej ma formę pisemną, jednak praktyka pokazuje, że przed kontrolą Urząd Ochrony Danych Osobowych (dalej: „Urząd”) niejednokrotnie, dodatkowo wykonuje połączenie telefoniczne informujące o planowanej kontroli.

Kto może przeprowadzić kontrolę?

Kontrolę przeprowadzają pracownicy Urzędu, najczęściej w dwuosobowym.

Czy mogę złożyć wniosek o wyłączenie kontrolującego?

Tak, można złożyć wniosek o wyłączenie kontrolującego, jeśli zachodzą uzasadnione wątpliwości co do jego bezstronności lub wynik kontroli mógłby oddziaływać na jego prawa i obowiązki albo np. prawa i obowiązki małżonka, osoby pozostającej we wspólnym pożyciu, krewnego czy powinowatego. Jeśli chcesz wyłączyć kontrolującego, o przyczynach wyłączenia niezwłocznie zawiadom Prezesa Urzędu.

Jakie działania podejmuje kontrolujący przed rozpoczęciem kontroli?

Kontrolujący, będący pracownikiem Urzędu, jest obowiązany okazać: imienne upoważnienie oraz legitymację służbową.

Czy kontrolujący musi okazać upoważnienie i legitymację?

Sprawdź koniecznie imienne upoważnienie i legitymację!

Imienne upoważnienie zawiera:

  • podstawę prawną kontroli;
  • oznaczenie organu;
  • dane kontrolującego, który jest pracownikiem Urzędu, tj.: imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej;
  • zakres przedmiotowy kontroli;
  • oznaczenie kontrolowanego;
  • datę rozpoczęcia i przewidywany termin zakończenia czynności kontrolnych;
  • podpis Prezesa Urzędu;
  • pouczenie o prawach i obowiązkach kontrolowanego;
  • datę i miejsce wystawienia imiennego upoważnienia.

Szczególną uwagę zwróć na punkt dotyczący zakresu przedmiotowego kontroli – w nim będzie wyznaczone, jaki obszar podlega kontroli. Kontrolującemu nie wolno wykraczać poza wskazany zakres.

Zanim kontroler przystąpi do kontroli, zweryfikuj jego legitymację! Powinna zawierać między innymi: numer legitymacji, fotografię posiadacza legitymacji, imię i nazwisko oraz numer PESEL posiadacza legitymacji.

Jeśli masz wątpliwości, czy osoba, która podaje się za kontrolera, rzeczywiście nim jest, i czy ma prawo do kontroli, zawsze możesz podjąć próbę skontaktowania się z Urzędem celem weryfikacji.

Czy do kontroli angażowane osoby z wiedzą specjalistyczną?

Do udziału w kontroli Prezes Urzędu może upoważnić osobę posiadającą wiedzę specjalistyczną. Upoważnienie imienne określa, jaki jest zakres uprawnień osoby z wiedzą specjalistyczną. Należy zapoznać się z nim wnikliwie, ponieważ działania upoważnionej osoby z wiedzą specjalistyczną także nie mogą wykraczać poza wskazany zakres.

Czy kontrolowany musi być obecny podczas kontroli?

Kontrolowany powinien być obecny podczas czynności kontrolnych. Jeśli nie może on wziąć udziału w czynnościach, powinien upoważnić inną osobę do reprezentowania go podczas kontroli. Przepisy nie precyzują, jakie informacje dokładnie powinno zawierać takie upoważnienie, jednak musi mieć ono formę pisemną. Co ważne, upoważnienie powinno identyfikować wskazaną w nim osobę w sposób, który nie pozostawia wątpliwości co do jej tożsamości, np. przez podanie imienia i nazwiska wraz z serią i numerem dowodu osobistego, którym się legitymuje.

Co wolno kontrolującemu podczas kontroli?

Kontrolujący ma prawo:

  • Wstępu od 6:00 do 22:00 na grunt oraz do budynków, lokali i innych pomieszczeń.
  • Zwrócić się o pomoc w wykonaniu czynności do właściwego miejscowo komendanta Policji.
  • Żądać złożenia pisemnych lub ustnych wyjaśnień.
  • Przesłuchać w charakterze świadka pracownika kontrolowanego.
  • Zlecać sporządzanie ekspertyz i opinii.
  • Rejestrować przebieg kontroli lub poszczególnych czynności, z wykorzystaniem urządzeń rejestrujących obraz lub dźwięk, po uprzednim poinformowaniu kontrolowanego.
  • Przeprowadzić oględziny:
    • miejsc,
    • przedmiotów,
    • urządzeń,
    • nośników,
    • systemów informatycznych,
    • systemów teleinformatycznych

Jakie obowiązki ma kontrolowany?

Kontrolujący ma prawo:

  • Zapewnienia kontrolującemu i innym osobom upoważnionym do udziału w kontroli warunków i środków niezbędnych do sprawnego przeprowadzenia kontroli.
  • Sporządzenia kopii lub wydruków dokumentów.
  • Sporządzenia kopii lub wydruków informacji zgromadzonych na nośnikach, urządzeniach i systemach.
  • Dokonania potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków.

Co zawiera protokół kontroli?

Po przeprowadzeniu kontroli kontrolujący sporządza protokół kontroli.

Protokół kontroli zawiera:

  • nazwę lub imię i nazwisko oraz adres kontrolowanego;
  • imię i nazwisko osoby reprezentującej kontrolowanego oraz nazwę organu reprezentującego kontrolowanego;
  • dane kontrolującego, który jest pracownikiem Urzędu, tj.: imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej, numer imiennego upoważnienia kontrolującego;
  • datę rozpoczęcia i zakończenia czynności kontrolnych;
  • określenie zakresu przedmiotowego kontroli;
  • opis stanu faktycznego ustalonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
  • wyszczególnienie załączników;
  • omówienie poprawek, skreśleń i uzupełnień, dokonanych w protokole kontroli;
  • pouczenie kontrolowanego o prawie zgłaszania zastrzeżeń do protokołu kontroli oraz o prawie odmowy podpisania protokołu kontroli;
  • datę i miejsce podpisania protokołu kontroli przez kontrolującego i kontrolowanego;
  • podpis kontrolującego.

Kontrolujący przekazuje protokół do podpisu kontrolowanemu.

Kontrolowany w terminie 7 dni od dnia przedstawienia mu protokołu może wybrać jedną z dalszych dróg postępowania:

  • nie podpisuje protokołu ani nie zgłasza zastrzeżeń do jego treści.
    • Brak którejkolwiek z wyżej wymienionych czynności uznaje się za odmowę podpisania protokołu, o czym kontrolujący czyni wzmiankę w protokole.
  • podpisuje protokół.
    • Jeśli kontrolowany nie ma zastrzeżeń do treści protokołu, doręcza kontrolującemu protokół z podpisem w terminie 7 dni.
    • składa pisemne zastrzeżenia do treści protokołu.

Kontrolujący analizuje zastrzeżenia:


Nie podejmuje dodatkowych czynności kontrolnych.


W razie potrzeby podejmuje
dodatkowe czynności kontrolne.

Kontrolujący stwierdza zasadność zastrzeżeń.

Kontrolujący nie uwzględnia zastrzeżeń w całości albo w części.

Kontrolujący zmienia lub uzupełnia odpowiednią część protokołu kontroli w formie aneksu do protokołu

Kontrolujący przekazuje kontrolowanemu informację o nieuwzględnieniu zastrzeżeń wraz z uzasadnieniem.

Kontrolujący stwierdza naruszenia – i co dalej?

Jeżeli na podstawie informacji zgromadzonych w postępowaniu kontrolnym Prezes Urzędu uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, obowiązany jest do niezwłocznego wszczęcia postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych.

Skąd mam wiedzieć, że postępowanie zostało wszczęte?

Jeżeli na skutek kontroli konieczne będzie wszczęcie postępowania w sprawie naruszenia przepisów o ochronie danych, administrator zostanie o tym zawiadomiony. Ponieważ postępowanie powinno zostać wszczęte niezwłocznie, tym samym zawiadomienie o jego wszczęciu również powinno zostać doręczone administratorowi, który podlegał kontroli, bez zbędnej zwłoki.

Co oznacza określenie „niezwłocznie”?

Ustawodawca wielokrotnie posługuje się określeniem „niezwłocznie”, lecz nie wskazuje konkretnych ram czasowych. Oznacza ono, że czynność ma zostać podjęta w najbliższym możliwym terminie, w jak najkrótszym czasie, przy czym termin ten musi być realny, uwzględniający normalny tok czynności. Znaczenia słowa „niezwłocznie” nie należy mylić z „natychmiast”.

Czym zakończy się postępowanie administracyjne?

Postępowanie administracyjne zakończy się decyzją administracyjną wydaną przez Prezesa Urzędu, która będzie mogła zostać zaskarżona do sądu administracyjnego.

Czytaj także:

-
4.66/5 (35) 1

Szkolenie RODO od podstaw

Szkolenie dla osób, które zaczynają swoją „przygodę” z RODO i z funkcją inspektora ochrony danych.

Zobacz więcej
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".