Kto dokonuje kontroli RODO?

Zgodnie z art. 51 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) każde państwo członkowskie zapewnia, by za monitorowanie stosowania niniejszego rozporządzenia odpowiadał co najmniej jeden niezależny organ publiczny w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii.
Powyższe oznacza, że każde państwo członkowskie Unii Europejskiej, w tym Polska ma obowiązek powołać organ, który będzie sprawował ogólny nadzór nad przestrzeganiem ochrony danych osobowych. Zgodnie z art. 34 ust. 1 i 2 ustawy o ochronie danych osobowych Prezes Urzędu Ochrony Danych Osobowych (PUODO) jest organem właściwym w sprawie ochrony danych osobowych. Prezes Urzędu jest organem nadzorczym w rozumieniu rozporządzenia 2016/679, w rozumieniu dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych.

Na czym polegają kontrole RODO?

Ustawodawca w Rozdziale 9 zatytułowanym „Kontrola przestrzegania przepisów o ochronie danych osobowych” ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych wskazuje dokładnie przebieg kontroli w zakresie ochrony danych osobowych.

KTO PRZEPROWADZA KONTORLĘ?

Prezes Urzędu Ochrony Danych Osobowych przeprowadza kontrolę przestrzegania przepisów o ochronie danych osobowych. Kontrolę prowadzi zgodnie z zatwierdzonym przez PUODO planem kontroli lub na podstawie uzyskanych przez niego informacji lub w ramach monitorowania przestrzegania stosowania rozporządzenia 2016/679.
Kontrolę przeprowadza upoważniony przez Prezesa Urzędu pracownik Urzędu lub członek lub pracownik organu nadzorczego państwa członkowskiego Unii Europejskiej w przypadku, o którym mowa w art. 62 rozporządzenia 2016/679.

PRZEBIEG KONTROLI:

Kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową. Czynności kontrolnych dokonuje się w obecności kontrolowanego lub osoby przez niego upoważnionej. Kontrolowany jest obowiązany do pisemnego wskazania osoby upoważnionej do reprezentowania go w trakcie kontroli.

Kontrolujący ma prawo:

-wstępu w godzinach od 6:00 do 22:00 na grunt oraz do budynków, lokali lub innych pomieszczeń;
-wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli,
-przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych,
-żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego,
-zlecać sporządzanie ekspertyz i opinii.
Kontrolujący może przesłuchać pracownika kontrolowanego w charakterze świadka. Za pracownika kontrolowanego uznaje się osobę zatrudnioną na podstawie stosunku pracy lub wykonującą pracę na podstawie umowy cywilnoprawnej.
Kontrolujący ustala stan faktyczny na podstawie dowodów zebranych w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń.
Ważne:
Kontrolujący podlega wyłączeniu z udziału w kontroli, na wniosek lub z urzędu, jeżeli wyniki kontroli mogłyby oddziaływać na prawa lub obowiązki jego, jego małżonka, osoby pozostającej z nim faktycznie we wspólnym pożyciu, krewnego i powinowatego do drugiego stopnia albo na osoby związanej z nim z tytułu przysposobienia, opieki albo kurateli lub jeżeli zachodzą uzasadnione wątpliwości co do jego bezstronności. O wyłączeniu kontrolującego rozstrzyga Prezes Urzędu a do czasu wydania postanowienia kontrolujący podejmuje czynności niecierpiące zwłoki.

PROTOKÓŁ KONTROLI:

Przebieg czynności kontrolnych kontrolujący przedstawia w protokole kontroli. Protokół kontroli podpisuje kontrolujący i przekazuje kontrolowanemu w celu podpisania. Kontrolowany w terminie 7 dni od dnia przedstawienia protokołu kontroli do podpisu podpisuje go albo składa pisemne zastrzeżenia do jego treści. W przypadku złożenia zastrzeżeń, kontrolujący dokonuje ich analizy i, w razie potrzeby, podejmuje dodatkowe czynności kontrolne, a w przypadku stwierdzenia zasadności zastrzeżeń zmienia lub uzupełnia odpowiednią część protokołu kontroli w formie aneksu do protokołu kontroli. W razie nieuwzględnienia zastrzeżeń w całości albo części, kontrolujący przekazuje kontrolowanemu informacje o tym wraz z uzasadnieniem. Brak doręczenia kontrolującemu podpisanego protokołu kontroli i niezgłoszenie zastrzeżeń do jego treści we wskazanym powyżej uznaje się za odmowę podpisania protokołu kontroli. O odmowie podpisania protokołu kontroli kontrolujący czyni wzmiankę w tym protokole, zawierającą datę jej dokonania.

CZAS TRWANIA KONTROLI:

Kontrolę prowadzi się nie dłużej niż 30 dni od dnia okazania kontrolowanemu lub innej osobie wskazanej w przepisach imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej lub innego dokumentu potwierdzającego tożsamość. Do terminu nie wlicza się terminów przewidzianych na zgłoszenie zastrzeżeń do protokołu kontroli lub podpisanie i doręczenie protokołu kontroli przez kontrolowanego. Terminem zakończenia kontroli jest dzień podpisania protokołu kontroli przez kontrolowanego albo dzień dokonania wzmianki.

WSZCZĘCIE POSTĘPOWANIA:

Jeżeli na podstawie informacji zgromadzonych w postępowaniu kontrolnym Prezes Urzędu uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, obowiązany jest do niezwłocznego wszczęcia postępowania. Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, zwane dalej jest prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych.

Jakie grożą kary za nieprzestrzeganie RODO?

Artykuł 83 Unijnego Rozporządzenia w sprawie RODO poświęcony jest warunkom nakładania administracyjnych kar pieniężnych. Zgodnie z zawartymi w nim regulacjami każdy organ nadzorczy zapewnia, by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku. Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:
-charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
-umyślny lub nieumyślny charakter naruszenia,
-działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
-stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych,
-wszelkie stosowane wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego,
-stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków,
-kategorie danych osobowych, których dotyczyło naruszenie,
-sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
-jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki – przestrzeganie tych środków,
-stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji,
-wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

WYSOKOŚĆ KAR:

do 10 000 000 EUR lub do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) za m.in:
-nieprawidłowości w zakresie powierzenia przetwarzania danych,
-niewłaściwe prowadzenie rejestru czynności przetwarzania lub jego brak,
-brak współpracy z organem nadzorczym,
-niewłaściwe zabezpieczenie danych osobowych,
-niezgłoszenie naruszenia ochrony danych osobowych lub niezawiadomienie o naruszeniu osób, których dane dotyczą,
do 20 000 000 EUR lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa) za np.:
-przetwarzanie danych osobowych niezgodnie z zasadami RODO,
-przetwarzanie danych osobowych bez podstawy prawnej,
-niedotrzymanie warunków wyrażenia zgody na przetwarzanie danych osobowych,
-niedotrzymanie warunków przetwarzania szczególnych kategorii danych osobowych,
-niedopełnienie obowiązku w zakresie realizacji praw osoby, której dane dotyczą,
-nieprawidłowości w zakresie przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych.

W celu zaczerpnięcia większej ilości informacji w zakresie Ochrony Danych Osobowych zapraszamy serdecznie do kontaktu z naszymi specjalistami, którzy chętnie udzielą odpowiedzi na wszystkie Państwa pytania.