GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

ABC kontroli Urzędu Ochrony Danych Osobowych

Meżczyzna w ganiturze trzymajacy lupę nad laptopem

ABC kontroli Urzędu Ochrony Danych Osobowych

W ostatnim czasie głośny jest temat decyzji administracyjnej mocą której Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę Bisnode Polska karę w wysokości 943 000 złotych za brak realizacji obowiązku informacyjnego wobec przedsiębiorców, prowadzących jednoosobową działalność gospodarczą.

W związku z tym warto przybliżyć kwestię kontroli prowadzonych przez Prezesa UODO.

Czego może spodziewać się przedsiębiorca?

Kompetencje kontrolne organu nadzorczego

Aby to uczynić, należy najpierw przybliżyć kompetencje organu nadzorczego. Jedną z najważniejszych z nich jest prawo do kontroli. Art. 57 RODO przyznaje Prezesowi UODO prawo monitorowania i egzekwowania stosowania przepisów rozporządzenia, co obejmuje m. in. rozpatrywanie skarg składanych w trybie art. 77 RODO, przeprowadzanie kontroli oraz wszczynanie postępowań.  W ramach przyznanych przez RODO uprawnień, organ nadzorczy może:

Dodatkowe przepisy regulujące przebieg kontroli są również zawarte w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.). Przede wszystkim należy odróżnić dwa rodzaje postępowania: kontrolę przestrzegania przepisów o ochronie danych osobowych (art. 78 i dalej ustawy) oraz postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych (art. 60 i dalej ustawy). Oba ww. postępowania odbywają się na podstawie przepisów Kodeksu Postępowania Administracyjnego. Podstawowa relacja pomiędzy tymi dwoma rodzajami postępowania polega na tym, że w przypadku gdy kontrola przestrzegania przepisów wykaże nieprawidłowości, to następnie można rozpocząć odrębne postępowanie w sprawie naruszenia przepisów o ochronie danych (jednak w przypadku gdy postępowanie w sprawie naruszenia nie było poprzedzone kontrolą, kontrola może rozpocząć się także w trakcie postępowania).

Sama kontrola przestrzegania przepisów dzieli się na podstawie art. 78 ust. 2 ustawy na trzy rodzaje:

Przebieg kontroli

Urzędnik przeprowadzający kontrolę powinien okazać imienne upoważnienie  oraz legitymację służbową. W upoważnieniu do przeprowadzenia kontroli powinny znaleźć się takie informacje jak m.in. oznaczenie kontrolowanego podmiotu oraz wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia kontroli.

Na potrzeby kontroli kontrolujący ma prawo do:

Kontrola nie może trwać dłużej niż 30 dni od okazania kontrolowanemu upoważnienia i legitymacji służbowej lub innego dokumentu potwierdzającego tożsamość. Przebieg czynności kontrolnych kontrolujący przedstawia w protokole kontroli.

Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych

Tak jak wskazano powyżej, jeżeli na podstawie informacji zgromadzonych w postępowaniu kontrolnym Prezes UODO uzna, że mogło dojść do naruszenia prawa, ma obowiązek niezwłocznie wszcząć postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych. Na tym etapie podmiot powinien przywoływać wszelkie argumenty  i dowody, które mogą wykazać, że nie naruszono przepisów o ochronie danych osobowych lub stopień naruszenia tych przepisów nie jest tak poważnym jak wykazało dochodzenie.

Postępowanie przebiega w trzech fazach. Należą do nich:

Co do zasady, sprawa wymagająca postępowania dowodowego powinna być załatwiana nie później niż w ciągu miesiąca, a sprawa szczególnie skomplikowana – nie później niż w terminie dwóch miesięcy od dnia wszczęcia postępowania (art. 35 § 3 k.p.a.). Organ nadzorczy ma obowiązek informowania stron postępowania w ciągu trzech miesięcy od wszczęcia postępowania, ponieważ zgodnie z art. 78 ust. 2 RODO każda osoba, której dane dotyczą, ma prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli organ nadzorczy nie rozpatrzył skargi lub nie poinformował osoby, której dane dotyczą, w terminie trzech miesięcy o postępach lub efektach rozpatrywania skargi.

Nowością jest przyjęcie jednoinstancyjności postępowania przed organem nadzorczym, które pod rządami starej ustawy było dwuinstancyjne. Oznacza to, że po wydaniu przez Prezesa UODO decyzji bądź postanowienia w sprawie, strona ma możliwość odwołania się od rozstrzygnięcia bezpośrednio do sądu administracyjnego.

Sankcje

Organ nadzorczy ma również szereg uprawnień naprawczych (zgodnie z art. 58 ust. 2 RODO). Są to w szczególności:

Druga grupa uprawnień PUODO – w myśl art. 83 RODO – to uprawnienia do nakładania administracyjnych kar pieniężnych. Oba narzędzia – zarówno z art. 58, jak i z art. 83 RODO mogą być stosowane łącznie.

RODO przewiduje dwie grupy kar pieniężnych:

W tym kontekście należy podkreślić, że wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.

Podsumowanie

W styczniu 2019 r. Urząd Ochrony Danych Osobowych opublikował roczny plan kontroli sektorowych, w ramach których zweryfikuje przetwarzanie danych osobowych w takich m.in. obszarach, jak: telemarketing, profilowanie w sektorze bankowym i ubezpieczeniowym czy system identyfikacji i monitoringu odpadów. Jak informowało UODO, plan kontroli sektorowych został ustalony na podstawie zgłoszonych sygnałów i skarg związanych z naruszeniami przepisów o ochronie danych osobowych.

Przedsiębiorcy powinni mieć świadomość, że analiza i dostosowanie wewnętrznych procesów przetwarzania danych osobowych do przepisów RODO w znacznym stopniu uchroni ich organizacje przed potencjalnymi karami wskazanymi w treści rozporządzenia. Jak pokazują decyzje zagranicznych organów nadzorczych, nakładane kary wcale nie muszą być wysokie, ale przede wszystkim proporcjonalne do stwierdzonych naruszeń.

Zapraszamy na szkolenie „Kontrole urzędu ochrony danych osobowych” 13 czerwca w Warszawie.

Celem szkolenia jest:

Więcej informacji: https://omnimodo.com.pl/szkolenia/kontrole-uodo

Źródła: P. Litwiński, P. Batra, M. Kawecki: Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz,

  1. Fajgielski: Ogólne Rozporządzenie o Ochronie Danych. Ustawa o ochronie danych osobowych. Komentarz.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

https://gdpr.pl/omowienie-ustawy-o-ochronie-danych-osobowych-z-10-maja-2018-roku,