Kontrole GIODO dotyczące legalności przetwarzania danych osobowych

Jeśli chodzi o zagadnienia związane z ochroną danych osobowych, kwestią spędzającą sen z powiek administratorów danych są oczywiście kontrole GIODO. Warto więc przyjrzeć się wszelkim aspektom, zwłaszcza praktycznym, związanym z w/w uprawnieniami inspektorów.

Kontrole przeprowadzają inspektorzy w zespołach kontrolnych składających się najczęściej z trzech osób – dwóch pracowników (prawników) Departamentu Inspekcji Biura GIODO oraz jednego pracownika (informatyka) Departamentu Informatyki Biura GIODO.

Myślę, iż dla administratorów szczególnie ważne będzie to, że kontrole zawsze są zapowiadane. Nie istnieje przepis ustanawiający dla GIODO taki obowiązek, jednakże w praktyce kontrole są zawsze zapowiadane. Przeważnie z 3-4 dniowym wyprzedzeniem.

Na co przede wszystkim zwracają uwagę inspektorzy?

Poniżej zamieszczam zalecenia dla administratorów danych (sporządzone w kolejności dowolnej).

1) Dokumentacja. W toku kontroli absolutnie pewne jest, że inspektorzy będą chcieli zapoznać się z podstawową dokumentacją dotyczącą ochrony danych osobowych. Tak więc jeśli brak jest polityki bezpieczeństwa, instrukcji zarządzania czy upoważnień dla pracowników, możemy być pewni, iż kontrola nie zakończy się pozytywnie. W praktyce w/w dokumentacja jest często przechowywana jedynie w wersji elektronicznej. Należy mieć na uwadze to, iż aby dokumentacja została uznana za „istniejącą” powinna zostać uprzednio podpisana przez administratora danych.

2) Legalność przetwarzanych danych osobowych. Bez wątpienia inspektorzy sprawdzą również czy przetwarzanie przez administratora danych osobowych ma swoje umocowanie w przepisach prawa (konkretnie w art. 23 ustawy o ochronie danych osobowych).

3) Zgłoszenie zbioru do rejestracji – inspektorzy sprawdza również, czy prowadzone przez podmiot kontrolowany zbiory danych nie podlegają w myśl art. 43 ust. 1 ustawy zwolnieniu z obowiązku rejestracji. Jeśli obowiązek rejestracji zaistniał i dokonano zgłoszenia zbiorów do rejestracji – badana jest bardzo szczegółowo treść wypełnionego formularza zgłoszenia (wzór został opublikowany w akcie wykonawczym do ustawy) oraz stan faktyczny odnoszący się do informacji podanych w zgłoszeniu. Inspektor ustala ponadto, czy ewentualna zmiana, w zakresie informacji podanych w zgłoszeniu, została Generalnemu Inspektorowi zgłoszona w terminie wskazanym w ustawie;

4) Systemy informatyczne. Tak jak już to zostało wcześniej zasygnalizowane, kontrole odbywają się z udziałem informatyka. W praktyce większość uchybień związanych z przetwarzaniem danych osobowych dotyczy właśnie kwestii informatycznych. Na co więc warto zwrócić szczególną uwagę?

Przede wszystkim na podstawie § 7 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych przedmiotem szczegółowej kontroli w tym zakresie jest ustalenie, czy:

1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym – z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie – system ten zapewnia odnotowanie:
1) daty pierwszego wprowadzenia danych do systemu;
2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;
3) źródła danych, w przypadku zbierania danych nie od osoby, której one dotyczą;
4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.
2. Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i pkt 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych.
3. Dla każdej osoby, której dane osobowe są przetwarzane w systemie
informatycznym, system zapewnia sporządzenie i wydrukowanie raportu
zawierającego w powszechnie zrozumiałej formie informacje,
o których mowa w ust. 1.

W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach informatycznych, wymagania, o których mowa w ust. 1 pkt 4, mogą być realizowane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu.

Niestety wiele z systemów informatycznych dostępnych obecnie na rynku nie jest wyposażonych w w/w funkcjonalności. Jest to duży problem w praktyce, gdyż inspektorzy bardzo sumiennie kontrolują wymogi dotyczące systemów informatycznych.

Powiązane artykuły

rodo faq
Jakie kluczowe obszary sprawdza UODO w czasie kontroli?
jak się przygotować do kontroli uodo
Jak przygotować się do kontroli UODO?
korespondecja z UODO
Korespondencja z UODO – 7 najczęstszych błędów

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO