Silne kompetencje nadzorcze jakie uzyskał Prezes Urzędu Ochrony Danych Osobowych (Prezes Urzędu) odnośnie monitorowania i egzekwowania RODO z pewnością mogą skłaniać każdego administratora oraz podmiot przetwarzający do poświęcenia odrobiny swojego czasu na związane z tym kwestie. Jak zapewne wszystkim wiadomo nieprzestrzeganie określnych w RODO zasad powoduje możliwość wystąpienia całkiem realnych kar finansowych, o czym niektóre podmioty zdołały się już boleśnie przekonać, choć może się wydawać, że w Polsce nie były one aż tak spektakularne jak w innych krajach EOG.
W pierwszej kolejności należy wspomnieć, że zagadnienie kontroli regulują zapisy rozdziału dziewiątego ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (uodo), które pozostają w ścisłym związku z zapisem art. 57 ust. 1 lit. a) RODO mówiącym, że każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie rozporządzenia 2016/679 o ochronie danych osobowych. Prezes Urzędu przeprowadza kontrolę przestrzegania przepisów o ochronie danych osobowych zgodnie z zatwierdzonym przez siebie planem kontroli lub na podstawie uzyskanych informacji lub w ramach monitorowania przestrzegania stosowania RODO. Kontrolę przeprowadza upoważniony przez Prezesa Urzędu pracownik Urzędu Ochrony Danych Osobowych (Urzędu). Możliwe jest przeprowadzenie kontroli także przez członka lub pracownika organu nadzorczego państwa członkowskiego Unii Europejskiej na zasadzie współdziałania poszczególnych organów nadzorczych. Należy pamiętać, że organy nadzorcze mogą w stosownych przypadkach prowadzić wspólne operacje, wspólne postępowania i działania egzekucyjne, w których uczestniczą członkowie lub personel organów nadzorczych innych państw członkowskich. Jeżeli chodzi o możliwość wyłączenia kontrolującego z udziału w kontroli to jest to możliwe poprzez złożenie w tym zakresie stosownego wniosku do Prezesa Urzędu bądź stricte z urzędu i dzieje się w przypadku, gdy wyniki kontroli mogłyby oddziaływać na prawa lub obowiązki jego, jego małżonka, osoby pozostającej z nim faktycznie we wspólnym pożyciu, krewnego i powinowatego do drugiego stopnia albo na osoby związanej z nim z tytułu przysposobienia, opieki albo kurateli. Wyłączenie będzie miało również zastosowanie, gdy zajdą uzasadnione wątpliwości co do bezstronności kontrolującego. Oczywiście o wyłączeniu kontrolującego rozstrzyga Prezes Urzędu.
Kontrolę przeprowadza się po okazaniu imiennego upoważnienia wydanego przez Prezesa Urzędu wraz z legitymacją służbową. Takie imienne upoważnienie powinno zawierać:
- wskazanie podstawy prawnej przeprowadzenia kontroli;
- oznaczenie organu;
- imię i nazwisko, stanowisko służbowe kontrolującego oraz numer legitymacji służbowej, a w przypadku kontrolującego, o którym mowa w art. 79 ust. 1 pkt 2 uodo, imię i nazwisko oraz numer dokumentu potwierdzającego tożsamość;
- określenie zakresu przedmiotowego kontroli;
- oznaczenie kontrolowanego;
- wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności kontrolnych;
- podpis Prezesa Urzędu;
- pouczenie kontrolowanego o jego prawach i obowiązkach;
- datę i miejsce jego wystawienia.
Kontrola może być prowadzona nie dłużej niż 30 dni od dnia okazania kontrolowanemu lub innej osobie wskazanej w przepisach imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej lub innego dokumentu potwierdzającego tożsamość. Do okresu 30 dni nie wlicza się terminów przewidzianych na zgłoszenie zastrzeżeń do protokołu kontroli lub podpisanie i doręczenie protokołu kontroli przez kontrolowanego. Terminem zakończenia kontroli jest dzień podpisania protokołu kontroli przez kontrolowanego, albo dokonanie wzmianki o odmowie podpisania protokołu.
W kontroli może uczestniczyć także osoba posiadająca specjalistyczną wiedzę w zakresie objętym kontrolą, oczywiście także upoważniona przez Prezesa Urzędu. Osoba ta jest zobowiązana do zachowania szeroko rozumianej tajemnicy informacji uzyskanych w trakcie kontroli.
Co istotne wszelkich czynności kontrolnych dokonuje się w obecności kontrolowanego lub osoby przez niego upoważnionej. Osoba upoważniona do reprezentowania kontrolowanego musi zostać wskazana na piśmie.
Ustawa nie odnosi się do obowiązku wcześniejszego zawiadomienia o zamiarze kontroli, co z punktu widzenia przedsiębiorcy jest to bardzo istotne. Wcześniejsza informacja o kontroli daje dodatkowy czas, który pozwala się do niej lepiej przygotować. Zgodnie z art. 48 ust. 11 pkt 1 ustawy z 6 marca 2018 r. Prawo przedsiębiorców zawiadomienia o zamiarze wszczęcia kontroli nie dokonuje się, w przypadku gdy kontrola ma zostać przeprowadzona na podstawie ratyfikowanej umowy międzynarodowej albo bezpośrednio stosowanych przepisów prawa Unii Europejskiej. Zatem w przypadku kontroli prowadzonej przez Prezesa Urzędu wcześniejsze zawiadomienie o zamiarze przeprowadzenia kontroli nie jest wymagane.
Jeżeli chodzi o uprawnienia kontrolującego to ma on prawo:
- wstępu w godzinach od 6:00 do 22:00 na grunt oraz do budynków, lokali lub innych pomieszczeń;
- wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli;
- przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;
- żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
- zlecać sporządzanie ekspertyz i opinii.
Kontrolowany musi zapewnić kontrolującemu warunki i środki niezbędne do przeprowadzenia kontroli np. w zakresie sporządzania kopii, wydruków dokumentów, dostępu do informacji zgromadzonych na wszelkiego rodzaju nosikach, w urządzeniach i systemach informatycznych lub teleinformatycznych. Następnie sporządzone kopie potwierdza za godność z oryginałem. Przebieg kontroli lub poszczególne czynności w jej toku, po uprzednim poinformowaniu kontrolowanego, mogą być utrwalane przy pomocy urządzeń rejestrujących obraz lub dźwięk. W uzasadnionych przypadkach Prezes Urzędu lub kontrolujący mogą się zwrócić do Policji o pomoc, jeżeli jest ona niezbędna do wykonania czynności kontrolnych. Ważną informacją może być również fakt, że Kontrolujący może przesłuchać pracownika kontrolowanego w charakterze świadka. Stan faktyczny jest ustalany przez pracownika Urzędu na podstawie zebranych podczas kontroli dowodów tj.: dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń. Nagromadzony w ten sposób materiał dowodowy prezentowany jest przez kontrolującego w protokole kontroli, który oprócz danych identyfikujących wykonującego czynności kontrolne, danych kontrolowanego lub jego reprezentanta, zawiera także m.in. daty określające czas trwania kontroli, zakres przedmiotowy kontroli, stan faktyczne ustalony w trakcie kontroli, załączniki. Tak przygotowany protokół kontroli, podpisany przez kontrolującego przekazywany jest kontrolowanemu w celu podpisania. Kontrolowany w terminie 7 dni od dnia przedstawienia protokołu kontroli do podpisu podpisuje go albo składa pisemne zastrzeżenia do jego treści. Oczywiście protokół kontroli sporządza się w dwóch egzemplarzach w postaci elektronicznej albo postaci papierowej.
W związku z informacjami zgromadzonymi w postępowaniu kontrolnym Prezes Urzędu może stwierdzić, że doszło do naruszenia przepisów o ochronie danych osobowych. W takim przypadku jest on obowiązany do niezwłocznego wszczęcia postępowania w sprawie naruszenia przepisów o ochronie danych osobowych, które są ujęte w rozdziale 7 uodo, które to może zakończyć się wydaniem przez Prezesa Urzędu decyzji o nałożeniu administracyjnej kary pieniężnej. Aby wstrzymać wykonanie decyzji w sprawie administracyjnej kary pieniężnej strona musi wnieść skargę do sądu administracyjnego.
Autor: Radosław Aniszczyk