Uprawnienia kontrolujących z Urzędu Ochrony Danych Osobowych

Wyobraźmy sobie, że wpływa do administratora danych pismo z Urzędu Ochrony Danych Osobowych (UODO) informujące o zamiarze przeprowadzenia w określonym terminie czynności kontrolnych pod kątem ochrony danych osobowych. Bywa, że po takim piśmie albo ewentualnie telefonie w podmiocie kontrolowanym następuje panika. Gdy emocje opadną, zaczynamy się zastanawiać, czy to aby na pewno kontrolujący z UODO, jakie tak naprawdę mają uprawnienia kontrolujący z UODO?

Jak to wszystko sprawdzić ?

Kontrolujący ma obowiązek okazać administratorowi danych imienne upoważnienie nadane przez Prezesa Urzędu Ochrony Danych  wraz z aktualną legitymacją służbową.

Takie imienne upoważnienie do przeprowadzenia kontroli powinno zawierać:

  • Wskazanie podstawy prawnej przeprowadzenia kontroli.
  • Oznaczenie organu.
  • Imię i nazwisko, stanowisko służbowe kontrolującego oraz numer legitymacji służbowej.
  • Określenie zakresu przedmiotowego kontroli.
  • Oznaczenie kontrolowanego.
  • Wskazanie daty rozpoczęcia i przewidywanego zakończenia czynności kontrolnych.
  • Podpis Prezesa Urzędu.
  • Pouczenie kontrolowanego o jego prawach i obowiązkach.
  • Datę i miejsce jego wystawienia.

Jeśli w dalszym ciągu mamy wątpliwości co do wiarygodności kontrolujących, możemy zadzwonić do UODO na nr telefonu (22) 531 04 44 lub zawiadomić organy ścigania (policja).

Co dalej z tymi kontrolującymi?

Pamiętajmy, że czynności kontrolnych dokonuje się w obecności kontrolowanego lub osoby przez niego upoważnionej. Kontrolowany jest obowiązany do pisemnego wskazania osoby upoważnionej do reprezentowania go w trakcie kontroli. Nie zostawiajmy kontrolujących samych. Zapewnijmy kontrolującemu oraz osobom upoważnionym do  kontroli warunki i środki niezbędne do sprawnego przeprowadzenia kontroli.

Jakie prawa mają osoby kontrolujące ?

Kontrolujący mają prawo:

  • Wstępu w godzinach od 6.00 do 22.00 na grunt oraz do budynków, lokali lub innych pomieszczeń (kontrolujący na szczęście to też ludzie i zarówno zaczynają, jak i kończą dzień pracy zgodnie z godzinami pracy w kontrolowanej jednostce).
  • Wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli (kontrolowany sporządza we własnym zakresie kopie i wydruki dokumentów, o jakie poproszą kontrolujący i potwierdza za zgodność z oryginałem).
  • Przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych czyli mogą oglądać pomieszczenia, gdzie są przetwarzane dane osobowe, sprawdzić czy pomieszczenia i szafy są zamykane na klucz, czy ,, czy jest system alarmowy, monitoring wizyjny, jak ustawione są komputery itp.
  • Żądać złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego (za pracownika kontrolowanego uznaje się osobę zatrudnioną na podstawie stosunku pracy lub wykonującą pracę na podstawie umowy cywilnoprawnej).
  • Zlecać sporządzanie ekspertyz i opinii.
  • W uzasadnionych przypadkach przebieg kontroli lub poszczególne czynności w jej toku, po uprzednim poinformowaniu kontrolowanego, mogą być utrwalane przy pomocy urządzeń rejestrujących obraz lub dźwięk. Informatyczne nośniki danych na których zarejestrowano przebieg kontroli lub poszczególne czynności w jej toku, stanowią załącznik do protokołu kontroli.

Natomiast, jeśli z jakiś powodów, znanych tylko administratorowi danych, nie będziemy chcieli rozmawiać z kontrolującymi, a nawet ich nie wpuścimy za próg, to Prezes Urzędu lub kontrolujący mogą zwrócić się do właściwego miejscowo komendanta Policji o pomoc, jeżeli będzie to niezbędne do wykonywania czynności kontrolnych.

 Jak długo mogą gościć kontrolujący u administratora danych?

Kontrola nie może trwać dłużej niż 30 dni od okazania kontrolowanemu upoważnienia i legitymacji służbowej lub innego dokumentu potwierdzającego tożsamość (z reguły czynności kontrolne trwają 4-5 dni).

Oczywiście przebieg czynności kontrolnych kontrolujący przedstawiają w protokole kontroli, a terminem zakończenia kontroli jest dzień podpisania protokołu kontroli przez kontrolowanego albo dzień dokonania wzmianki o odmowie podpisania.

I tu wizyta, kontrolujących z UODO u administratora danych, się kończy. Organ nadzorczy (Prezes UODO) dokonuje analizy zgromadzonego materiału dowodowego.

Autor

Agnieszka Szalińska

Prawnik z ponad 20–letnim doświadczeniem i praktyczną znajomością zasad ochrony danych osobowych. Posiada 15-letnie doświadczenie w Biurze Generalnego Inspektora Ochrony Danych Osobowych (obecnie PUODO).
Wyróżnia się biegłością w tworzeniu dokumentacji prawnej dotyczącej ochrony danych osobowych. Stały współpracownik wielu jednostek szkoleniowych.