fbpx
Zaznacz stronę

Prezes Urzędu Ochrony Danych Osobowych (PUODO) posiada szereg uprawnień i kompetencji dotyczących prowadzenia kontroli w zakresie monitorowania przestrzegania przepisów Ogólnego rozporządzenia o ochronie danych (RODO). Warto znać najważniejsze z nich, aby ewentualna kontrola w Twojej firmie lub instytucji przebiegła bezproblemowo. Jednym słowem – czego się spodziewać i jak się zachować podczas takiej kontroli?

PUODO, dawniej GIODO. Czyli jak to było wcześniej?

Średnio rocznie prowadzonych było do 200 postępowań kontrolnych.


Najczęściej zastanawiamy się, czy taka kontrola jest u nas w ogóle możliwa. Dawny Generalny Inspektor Ochrony Danych Osobowych cyklicznie zdawał sprawozdanie ze swoich działań za rok poprzedni. To na tej podstawie mogliśmy poznać statystyki prowadzonych kontroli. Średnio rocznie prowadzonych było do 200 postępowań kontrolnych. Myli się ten, kto uważa, że PUODO kierować będzie się w pierwszej kolejności do dużych firm i instytucji publicznych. Na wspomnianym sprawozdaniu obok dużych podmiotów można znaleźć zarówno kioski, kwiaciarnie, jak i sklepy internetowe. I to nie tylko te najbardziej znane. Różne. Taka różnorodność kontrolowanych podmiotów z pewnością będzie panowała w kolejnych latach. 

Obecnie PUODO posiada większe możliwości nakładania administracyjnych kar finansowych.


Patrząc na ilość podmiotów (firm i instytucji) w Polsce i ilość prowadzonych kontroli można powiedzieć, że prawdopodobieństwo jest raczej nikłe. Z drugiej strony jest duża szansa na to, że to się niebawem zmieni. Powody do tego są co najmniej trzy. Obecnie PUODO posiada większe możliwości nakładania administracyjnych kar finansowych (nawet do 20 mln euro), a kwoty te zasilać będą budżet państwa. Rozrastają się także struktury urzędu, w tym ilość zatrudnionych kontrolerów. Trzeci powód to lawina skarg, która spadła na PUODO po 25 maja 2018 r., która z pewnością ujawnia nieprawidłowości. A takie skargi dla PUODO są bezcenne, bo dają wgląd w problemy i obszary, który warto wziąć pod lupę. 

Na co zatem powinniśmy się nastawić w trakcie kontroli urzędu?

Zasada 1. Zrób rachunek sumienia, ale niczego nie poprawiaj na siłę.

Kontrola PUODO zostanie zapowiedziana.


Nie może rozpocząć się wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze jej wszczęcia. Z założenia więc będziesz mieć czas na przygotowanie się. Sprawdź dokładnie co zostało zrobione, czego jeszcze nie masz i gdzie może pojawić się problem. W ten sposób będziesz świadomy ewentualnych naruszeń przepisów, które pojawią się w protokole kontroli. Umożliwi to przygotowanie się do potrzebnych zmian, dostosowanie procedur, czy wdrożenie środków technicznych. Jeśli jest coś, co możesz szybko i łatwo zmienić, a wiesz, że kontrola może się do tego negatywnie odnieść to zrób to. Ale nie zmieniaj, nie dodawaj niczego na siłę. Należy zachować rozwagę, gdyż kontrolujący będą świadomi, że są to działania pozorne i na ostatnią chwilę.

Zasada 2. Nie utrudniaj.

Za utrudnianie kontroli PUODO, zgodnie z art. 108 ustawy z 10 maja 2018 r. o ochronie danych osobowych, grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat dwóch! Nie warto więc utrudniać, uniemożliwiać kontroli, czy zatajać jakiekolwiek informacje, które są niezbędne w prowadzonych postępowaniu kontrolnych.

Nie utrudniaj i nie zatajaj informacji!

Kontrolerzy przed rozpoczęciem kontroli zobowiązani są do okazania imiennego upoważnienia wraz z legitymacją służbową. Nawet jeśli w tym czasie nie będzie właściciela, prezesa, czy kierownika jednostki organizacyjnej to kontrola może zostać uznana za rozpoczętą. Odpada całkowicie powoływanie się na nieobecność tych osób. Zgodnie bowiem z nowymi przepisami w razie nieobecności kontrolowanego, upoważnienie do przeprowadzenia kontroli oraz legitymacja służbowa lub inny dokument potwierdzający tożsamość mogą być okazane innemu pracownikowi kontrolowanego, który może być uznany za osobę, o której mowa w art. 9 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny. A osobą, o której mowa w powołanym przepisie jest tzw. osoba czynna w lokalu przedsiębiorcy. Jest nią każda osoba, która w imieniu podmiotu wykonuje czynności służbowe w miejscu prowadzenia działalności.

Ponadto PUODO lub kontrolujący może zwrócić się do właściwego miejscowo komendanta Policji o pomoc, jeżeli jest to niezbędne do przeprowadzenia czynności kontrolnych.

Zasada 3. Przygotuj dokumenty i zachowaj spokój.

Nie warto się denerwować.


Odpowiednie przygotowanie do kontroli na pewno pomoże zachować spokój, gdy już do niej dojdzie.  Dobra wiadomość jest taka, że kontrola nie może trwać dłużej niż miesiąc. Nie wlicza się w to terminów przewidzianych na zgłoszenie zastrzeżeń do protokołu lub podpisanie i doręczenie protokołu, co rzecz jasna czasami może nieco wydłużyć ten okres. Realny czas trwania będzie zatem zależał od stopnia skomplikowania procesów przetwarzania danych i systemów, które dany podmiot wykorzystuje. W małym biznesie taka kontrola w praktyce może potrwać dzień lub dwa. 

Kontrolujący ma prawo wstępu w godzinach od 6.00 do 22.00.


W praktyce potrzebny będzie także wgląd do wszelkich dokumentów i informacji mających bezpośredni związek z przedmiotem kontroli. Najważniejsze z nich możesz już odszukać, posegregować, przygotować. Kontrolerzy PUDOO mogą przeprowadzić oględziny urządzeń, nośników oraz systemów informatycznych, które dotyczą badanej sprawy. Istotne jest to, że PUODO może także żądać złożenia pisemnych lub ustnych wyjaśnień od osób zaangażowanych w proces przetwarzania danych, w tym od pracowników, zleceniobiorców lub stażystów. Jeżeli przeprowadzenie czynności kontrolnych wymaga wiedzy eksperckiej, PUODO może upoważnić do udziału w kontroli osobę posiadającą taką wiedzę lub zlecić przygotowanie ekspertyzy.

Przebieg czynności kontrolnych zostanie wskazany w protokole kontroli. Jako podmiot kontrolowany możesz złożyć swoje zastrzeżenia do protokołu.

Jakie grożą konsekwencje?

PUODO może nakładać administracyjne kary pieniężne na podmioty prywatne zgodnie z RODO – nawet do 20 mln euro! Podmioty publiczne zagrożone są karą do 100 tys zł.

Wszystko zależy od naruszenia, niezgodności, skali działania i tego, w jakim stopniu podmiot wykazał przestrzeganie przepisów o ochronie danych. Nie ma i nie będzie jednolitego taryfikatora. Im więcej zgodności wykażemy, tym mniejsze prawdopodobieństwo konsekwencji finansowych.

Urząd może także nałożyć na nas upomnienie lub nakazać wstrzymania przetwarzania danych.

Warto pamiętać, że PUODO ma także inne możliwości nałożenia kary. Urząd może także nałożyć na nas upomnienie lub nakazać wstrzymania przetwarzania danych.

Czy muszę zapłacić od razu?

Jeśli w ramach postępowania kontrolnego zostanie nałożona administracyjna kara pieniężna to zgodnie z przepisami podmiot ma 14 dni na jej uiszczenie, licząc od dnia upływu terminu na wniesienie skargi. PUODO może rozłożyć grzywnę na raty. Podmiot może złożyć do PUODO taki wniosek, ale niezbędne będzie uzasadnienie!