Już wiadomo, kogo skontroluje UODO. Teraz trzeba się przygotować

Do zapowiedzianych przez UODO kontroli trzeba się na pewno przygotować. Przede wszystkim warto zrobić analizę, czy o wszystko należycie zadbaliśmy – pamiętajmy o tym, że zgodność z RODO oznaczała dla przedsiębiorców konieczność wprowadzenia zmian zarówno w obszarze prawnym, jak i technologicznym czy bezpieczeństwa. Warto też wiedzieć, jak będzie przebiegała kontrola RODO, a także poznać swoje obowiązki i prawa. Tym bardziej że przepisy są nowe i w wielu przypadkach trudno dziś jednoznacznie stwierdzić, jak poszczególne kwestie będą interpretowane oraz jakie działania podjąć. Aby im zadośćuczynić. Same przepisy są bowiem dość jednoznaczne (oczywiście na ile to możliwe na poziomie przepisu). Trudno wymagać od ustawodawcy większej szczegółowości. Wątpliwości interpretacyjne więc zawsze pozostają. Dlatego dziś, wychodząc naprzeciw oczekiwaniom naszych czytelników, przedstawiamy praktyczny poradnik dotyczący kontroli UODO, którego pracownicy wkrótce zapukają do drzwi wielu firm. Nasi eksperci nie tylko opisują krok po kroku procedurę i podpowiadają, w jaki sposób się zachować w konkretnych sytuacjach, ale również odpowiadają na najczęściej zadawane pytania podmiotów zbierających, przetwarzających i przechowujących dane. ©℗

Urszula Wróblewska

urszula.wroblewska@infor.pl

 

Wyznaczono kierunki działania

Banki, firmy ubezpieczeniowe, telemarketing, brokerzy danych, a nawet spółdzielnie mieszkaniowe. Do tego sektor publiczny w zakresie miejskiego monitoringu wizyjnego czy udostępniania informacji w BIP – to m.in. znalazło się w rocznym planie kontroli Urzędu Ochrony Danych Osobowych na 2019 r.

Kontrole przestrzegania przepisów o ochronie danych osobowych mogą być prowadzone bez uprzedzenia. Administratorzy danych osobowych powinni więc niezwłocznie zweryfikować, czy procesy przetwarzania są przeprowadzane zgodnie z przepisami dotyczącymi ochrony danych osobowych oraz dostosować do nich praktykę. Na co konkretnie powinni zwrócić uwagę i jakie działania podjąć, biorąc pod uwagę przedmiot zapowiadanych kontroli? O tym za chwilę.

Zacznijmy najpierw od tego, kto jest na cenzurowanym.

Zakresem planowanych kontroli zostały objęte w szczególności następujące podmioty i zagadnienia:

1) wszyscy pracodawcy – przetwarzanie danych osobowych rejestrowanych za pomocą monitoringu wizyjnego oraz przetwarzanie danych w związku z rekrutacją;

2) podmioty z sektora bankowego i ubezpieczeniowego – profilowanie danych;

3) telemarketing – stosowany przez podmioty z sektora prywatnego;

4) brokerzy danych – podstawy prawne przetwarzania danych osobowych

(szczegółowa lista – patrz infografika, s. C11).

Nie oznacza to jednak, że wszyscy inni mogą spać spokojnie. Pamiętajmy bowiem, że poza kontrolami prowadzonymi zgodnie z zatwierdzonym przez prezesa Urzędu Ochrony Danych Osobowych planem ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm., dalej: u.o.d.o.) wyróżnia jeszcze kontrole prowadzone:

• na podstawie informacji uzyskanych przez prezesa UODO,
• kontrolę prowadzoną w ramach monitorowania przestrzegania stosowania RODO.

Kto zapuka do firm lub instytucji

Do wszczęcia kontroli uprawnieni są wyłącznie:

• pracownicy Urzędu Ochrony Danych Osobowych;
• członkowie lub pracownicy innego organu nadzorczego państwa członkowskiego Unii Europejskiej – w przypadku prowadzenia wspólnych operacji organów nadzorczych.

Uwaga! Pracownicy innych organów niż wymienione powyżej nie mogą wszcząć kontroli przestrzegania przepisów o ochronie danych osobowych. Mogą jednak przy okazji prowadzenia swoich czynności weryfikować niektóre aspekty. Ot, jak chociażby Państwowa Inspekcja Pracy, która może sprawdzać stosowanie monitoringu. Przestrzeganie przepisów dotyczących ochrony danych osobowych będzie także jednym z elementów kontroli przeprowadzanej przez Najwyższą Izbę Kontroli.

Czasami w czynnościach mogą uczestniczyć dodatkowe, posiadające specjalistyczną wiedzę osoby. Działają one wówczas na podstawie upoważnienia nadanego przez prezesa urzędu, przy czym powinny brać udział jedynie w wyznaczonych czynnościach.

Co może kontrolowany

Jego udział w czynnościach kontrolnych jest obowiązkowy, a ponadto musi też (na piśmie) wskazać osobę upoważnioną do reprezentowania go w trakcie kontroli. W związku z powyższym kontrolowany lub upoważniona przez niego osoba mają prawo w każdej sytuacji domagać się dopuszczenia do udziału w czynnościach. Podejmując decyzję o wyznaczeniu określonej osoby jako upoważnionej do reprezentowania go w trakcie kontroli, należy wziąć pod uwagę przede wszystkim jej wiedzę i doświadczenie w zakresie ochrony danych osobowych. W szczególności taka osoba powinna być zaznajomiona z zakresem działalności kontrolowanego oraz posiadać określone predyspozycje osobowościowe, tak aby czuwać nad przebiegiem czynności i dbać o ochronę praw kontrolowanego.

Uważamy, że samo wskazanie osoby upoważnionej do reprezentowania kontrolowanego może być niewystarczające. Rekomendujemy zapewnienie takiej osobie odpowiedniego zaplecza organizacyjno-technicznego – w celu bieżącego wsparcia jej w trakcie czynności kontrolnych (będzie to szczególnie istotne w przypadku konieczności złożenia w terminie siedmiu dni zastrzeżeń do protokołu kontroli).

Uwaga! Nieobecność kontrolowanego bądź osoby przez niego upoważnionej nie wstrzymuje wszczęcia kontroli. W takiej sytuacji upoważnienie do jej przeprowadzenia może zostać okazane:

• osobie czynnej w lokalu przedsiębiorstwa, wykonującej czynności bezpośrednio związane z prowadzeniem działalności przedsiębiorstwa, o ile taki lokal jest przeznaczony do obsługiwania publiczności, bądź
• przywołanemu świadkowi, jeżeli jest funkcjonariuszem publicznym w rozumieniu kodeksu karnego.

Tak to będzie przebiegało

krok 1. wszczęcie kontroli

Kontrola przestrzegania przepisów o ochronie danych osobowych rozpoczyna się w momencie okazania imiennego upoważnienia do jej przeprowadzenia wraz z legitymacją służbową (jeżeli jest przeprowadzana przez pracownika urzędu) bądź dokumentem tożsamości (w przypadku prowadzenia jej przez członka lub pracownika innego organu nadzorczego państwa członkowskiego). Przy czym upoważnienie do przeprowadzania kontroli powinno zawierać:

• wskazanie podstawy prawnej przeprowadzenia kontroli;
• oznaczenie organu;
• imię i nazwisko, stanowisko służbowe kontrolującego oraz numer legitymacji służbowej, a w przypadku prowadzenia wspólnych operacji organów nadzorczych – imię, nazwisko oraz numer dokumentu potwierdzającego tożsamość członka lub pracownika innego organu nadzorczego państwa członkowskiego Unii Europejskiej;
• określenie zakresu przedmiotowego kontroli;
• oznaczenie kontrolowanego;
• wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności;
• podpis prezesa UODO;
• pouczenie kontrolowanego o jego prawach i obowiązkach;
• datę i miejsce jego wystawienia.

W przypadku stwierdzenia braków w upoważnieniu rekomendujemy kontakt z urzędem w celu wyjaśnienia wątpliwości, w szczególności z uwagi na pojawiające się w opinii publicznej informacje o fałszywych kontrolujących.

krok 2. przebieg kontroli, czyli co wolno kontrolującemu

Ustawa o ochronie danych osobowych przyznaje kontrolującym wiele uprawnień w celu skutecznego przeprowadzenia czynności. Najważniejsze z nich to:

prawo wstępu na grunt oraz do budynków, lokali i innych pomieszczeń kontrolowanego

Miejsca, w których prowadzone będą czynności, powinny być ściśle związane z prowadzoną przez kontrolowanego działalnością. Co więcej, miejsca te powinny być powiązane z zakresem kontroli określonym w upoważnieniu do jej przeprowadzenia. Prawo takie przysługuje kontrolującemu od godz. 6.00 do godz. 22.00. Wydaje się jednak, że przeprowadzanie czynności na terenie i w pomieszczeniach kontrolowanego powinno odbywać się w godzinach i dniach jego pracy, a wyjątki od tej zasady powinny być stosowane jedynie w szczególnych okolicznościach. Ponadto w sytuacji, gdy na jednym obszarze działalność prowadzi kilku administratorów, pozostali nie powinni być objęci kontrolą.

prawo wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli

To niezwykle istotne uprawnienie. Nie oznacza ono jednak, że prowadzący czynności z upoważnienia prezesa UODO mogą żądać wglądu do wszelkich informacji i dokumentów będących w posiadaniu kontrolowanego. Prawo to jest ograniczone jedynie do dokumentów związanych z przetwarzaniem danych osobowych, które mają bezpośredni związek z zakresem przedmiotowym kontroli – wynikającym z upoważnienia do jej przeprowadzenia.

Ustawa o ochronie danych osobowych co do zasady przyznaje prezesowi UODO prawo dostępu do informacji objętych tajemnicą prawnie chronioną. Ale uprawnienie to zostaje wyłączone, gdy przepisy szczególne tak stanowią. Przykładem tajemnicy prawnie chronionej będzie tajemnica adwokacka, radcy prawnego czy bankowa. Przy czym projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, który wskazuje, że obowiązek zachowania tajemnicy zawodowej adwokata bądź radcy prawnego nie ustaje nawet w przypadku, gdy z żądaniem ujawnienia informacji uzyskanych przez nich w związku ze świadczeniem pomocy prawnej występuje prezes Urzędu Ochrony Danych Osobowych, nadal procedowany jest w Sejmie.

Ustawodawca przyznał też kontrolowanemu prawo zastrzeżenia informacji, dokumentów lub ich części zawierających tajemnicę przedsiębiorstwa. Chodzi o informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne posiadające wartość gospodarczą, które jako całość lub w szczególnym zestawieniu i zbiorze ich elementów nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji albo nie są łatwo dostępne dla takich osób, o ile uprawniony do korzystania z informacji lub rozporządzania nimi podjął – przy zachowaniu należytej staranności – działania w celu utrzymania ich w poufności.

Uwaga! Mimo zgłoszenia zastrzeżenia informacji kontrolujący i tak powinien przedstawić prezesowi UODO dwie wersje dokumentu: jedną oryginalną, zawierającą informacje stanowiące tajemnicę przedsiębiorstwa, oraz drugą – niezawierającą informacji objętych zastrzeżeniem. W przypadku niedostarczenia wersji dokumentu niezawierającej informacji objętych zastrzeżeniem, zastrzeżenie uważa się za nieskuteczne.

Przy czym zastrzeżenie zgłoszone przez kontrolowanego nie ma charakteru bezwzględnego. Prezes UODO może uchylić je w drodze decyzji, jeżeli uzna, że informacje, dokumenty lub ich części nie spełniają przesłanek do objęcia ich tajemnicą przedsiębiorstwa. Postępowanie przed prezesem urzędu jest postępowaniem jednoinstancyjnym. W konsekwencji wydane przez niego decyzje urzędu są ostateczne i wykonalne z mocy samego prawa z chwilą doręczenia decyzji stronie. Decyzja administracyjna wydana przez prezesa UODO, uchylająca zastrzeżenie, może być następnie przedmiotem skargi do sądu administracyjnego.

Ponadto warto pamiętać, że prezes urzędu może żądać przetłumaczenia na język polski dokumentacji sporządzonej w języku obcym. Obowiązek ten będzie szczególnie uciążliwy dla przedsiębiorstw wchodzących w skład grup kapitałowych, które z reguły posiadają dokumentację w języku angielskim. Tym bardziej że tłumaczenia dokumentów kontrolowany dokonuje na własny koszt. W związku z powyższym rekomendujemy, aby najważniejsze dokumenty z zakresu danych osobowych już teraz przetłumaczyć na język polski.

prawo do przeprowadzania oględzin

Kontrolujący są uprawnieni do przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych. W praktyce oględzinom podlegać mogą archiwa i inne miejsca przechowywania dokumentów zawierających dane osobowe, miejsca z podglądem do monitoringu czy systemy informatyczne. W tym ostatnim przypadku kontrolujący będą mieli możliwość zapoznania się ze sposobem funkcjonowania danego systemu oraz ze stosowanymi zabezpieczeniami.

prawo żądania pisemnych lub ustnych wyjaśnień oraz przesłuchania w charakterze świadka

Kontrolujący zgodnie z ustawą mają prawo żądać pisemnych lub ustnych wyjaśnień oraz przesłuchiwać w charakterze świadka każdego, czyje zeznania lub wyjaśnienia mogą okazać się niezbędne do ustalenia stanu faktycznego.

Oznacza to, że kontrolujący mają np. uprawnienia do żądania wyjaśnień nawet od klientów kontrolowanego.

Odmiennie uregulowano natomiast kwestię zeznań składanych w charakterze świadka przez osobę będącą pracownikiem kontrolowanego. Przy czym za pracownika uznaje się nie tylko osoby zatrudnione na podstawie umowy o pracę, ale również zatrudnione na podstawie umów cywilnoprawnych.

Warto też pamiętać, że pracownik kontrolowanego składający zeznania w charakterze świadka ma prawo odmówić ich złożenia, jeżeli jest małżonkiem, wstępnym, zstępnym, rodzeństwem kontrolowanego oraz jego powinowatym pierwszego stopnia lub pozostaje z nim w stosunku przysposobienia, opieki lub kurateli. Uprawnienie to może być więc stosowane tylko w sytuacji, gdy kontrolowanym będzie osoba fizyczna. Z kolei wszyscy pracownicy mają możliwość odmowy odpowiedzi na konkretne pytania w przypadku, gdy odpowiedź mogłaby narazić ich lub ich bliskich na odpowiedzialność karną, hańbę lub bezpośrednią szkodę majątkową albo spowodować naruszenie obowiązku zachowania prawnie chronionej tajemnicy zawodowej.

Uwaga! Za składanie zeznań i wyjaśnień zgodnych z prawdą w stosunku do pracownika nie mogą być stosowane żadne negatywne konsekwencje. W szczególności nie jest dopuszczalne rozwiązanie umowy o pracę bądź stosowanie kar porządkowych.

prawo do zlecania sporządzania ekspertyz i opinii

Jeżeli informacje, z którymi zapoznają się kontrolujący, będą wymagały wiadomości specjalistycznych z uwagi na złożoność procesów przetwarzania danych, mogą oni skorzystać z pomocy podmiotów przygotowujących ekspertyzy i opinie w niezbędnym zakresie.

prawo żądania kopii lub wydruków

Na żądanie kontrolujących kontrolowany musi sporządzić kopię dokumentów przechowywanych w formie papierowej. W sytuacji gdy dokumenty są prowadzone w formie elektronicznej, kontrolowany będzie natomiast zobowiązany do ich wydrukowania bądź przeniesienia na nośnik informacji i przekazania kontrolującym. Koszt wykonania kopii i wydruków obciąża kontrolowanego.

prawo żądania potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków

Na kontrolowanym ciąży też obowiązek potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków. A gdy odmówi lub nie dokona takiego potwierdzenia, kontrolujący będzie musiał uczynić o tym wzmiankę w protokole kontroli. Ustawa w takiej sytuacji w stosunku do kontrolowanego nie przewiduje żadnych sankcji.

prawo utrwalenia przebiegu kontroli

Kontrolujący w uzasadnionych przypadkach jest uprawniony do utrwalenia przebiegu kontroli lub poszczególnych jej czynności za pomocą urządzeń rejestrujących dźwięk lub obraz. Takie sformułowanie przepisu sprawia jednak, że w praktyce od subiektywnej oceny kontrolującego zależy, czy w danym przypadku skorzysta z powyższej możliwości. Uzasadnione okoliczności mogą zachodzić w szczególności, gdy procesy przetwarzania danych osobowych są skomplikowane i może dojść do pominięcia istotnych informacji w protokole kontroli lub gdy składane przez pracowników zeznania pozostają ze sobą w sprzeczności.

Uwaga! Warunkiem utrwalenia przebiegu kontroli jest uprzednie poinformowanie o tym kontrolowanego. Ponadto urządzenia, na których zapisano przebieg kontroli lub poszczególnych czynności, będą stanowiły załącznik do protokołu kontroli. Dzięki temu kontrolowany w razie wątpliwości może wykazać, że ustalenia zawarte w protokole nie odpowiadają stanowi faktycznemu bądź przebiegowi kontroli.

Plan kontroli sektorowych na 2019 r.

krok 3. zakończenie kontroli

Kontrolujący ustala stan faktyczny na podstawie dowodów zebranych w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń. Przebieg czynności jest utrwalony w protokole kontroli (może być sporządzony zarówno w formie pisemnej, jak i elektronicznej), który powinien zawierać:

• wskazanie nazwy albo imienia i nazwiska oraz adresu kontrolowanego;
• imię i nazwisko osoby reprezentującej kontrolowanego oraz nazwę organu reprezentującego kontrolowanego;
• imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer imiennego upoważnienia kontrolującego, a w przypadku członka lub pracownika organu nadzorczego państwa członkowskiego Unii Europejskiej uczestniczącego we wspólnych operacjach organów nadzorczych imię i nazwisko, numer dokumentu potwierdzającego tożsamość oraz numer imiennego upoważnienia;
• datę rozpoczęcia i zakończenia czynności kontrolnych;
• określenie zakresu przedmiotowego kontroli;
• opis stanu faktycznego ustalonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
• wyszczególnienie załączników;
• omówienie dokonanych w protokole kontroli poprawek, skreśleń i uzupełnień;
• pouczenie kontrolowanego o prawie zgłaszania zastrzeżeń do protokołu kontroli oraz o prawie odmowy podpisania protokołu kontroli;
• datę i miejsce podpisania protokołu kontroli przez kontrolującego i kontrolowanego.

Jednym z obligatoryjnych elementów protokołu jest wyszczególnienie załączników. W związku z powyższym wydaje się, że do protokołu nie będą załączone kopie i wydruki wszystkich dokumentów, których żądali kontrolujący.

Kontrolowany w terminie siedmiu dni kalendarzowych od dnia otrzymania protokołu musi go podpisać bądź złożyć pisemne zastrzeżenia co do jego treści. Złożenie zastrzeżeń umożliwia ustosunkowanie się do stwierdzeń i uwag zawartych w protokole. Ponadto zastrzeżenia mogą dotyczyć zakresu przeprowadzanej kontroli bądź braków w ustaleniu stanu faktycznego. Protokół bądź złożone zastrzeżenia powinny zostać w powyższym terminie doręczone kontrolującemu. W przypadku skutecznego złożenia pisemnych zastrzeżeń kontrolujący dokonuje ich analizy i w razie potrzeby podejmuje dodatkowe czynności kontrolne, a w przypadku stwierdzenia zasadności zastrzeżeń zmienia lub uzupełnia odpowiednią część protokołu w formie aneksu.

Uwaga! Ustawodawca nie sprecyzował, w jaki sposób powinno nastąpić doręczenie protokołu bądź zastrzeżeń do jego treści. Podpisany protokół w formie pisemnej powinien na pewno zostać doręczony na adres kontrolującego. W przypadku otrzymania protokołu w formie elektronicznej wydaje się, że istnieje możliwość posługiwania się podpisem elektronicznym. Aby uniknąć wątpliwości, rekomendujemy uzgodnienie z kontrolującymi jeszcze na etapie kontroli sposobu doręczenia protokołu bądź zastrzeżeń.

Jeżeli kontrolowany odmówi podpisania protokołu, kontrolujący uczyni o tym wzmiankę w protokole, która musi zawierać datę jej dokonania. Równoznaczny z odmową podpisania protokołu jest brak doręczenia podpisanego protokołu kontroli oraz brak zgłoszenia zastrzeżeń do jego treści. W takiej sytuacji kotrolujący uczyni w protokole odpowiednią wzmiankę o braku doręczenia podpisanego protokołu i niezgłoszeniu zastrzeżeń wraz z datą, która będzie jednocześnie terminem zakończenia kontroli.

Stanowisko Urzędu Ochrony Danych Osobowych z 31.01.2019 r.

Prezes Urzędu Ochrony Danych Osobowych, wybierając sektory do kontroli, kierowała się m.in. licznymi sygnałami (w tym skargami, pytaniami i zgłoszeniami naruszeń ochrony danych osobowych) wskazującymi na zagrożenia naruszenia przepisów o ochronie danych osobowych. Decyzja o sprawdzeniu jakiegoś sektora bywa też podejmowana pod wpływem zmian prawa w danym obszarze. Impulsem do podjęcia tego typu działań bywają także doniesienia medialne. Ponadto kontrole UODO są podejmowane w związku z potrzebą zweryfikowania, jak w praktyce realizowane są wskazówki i zalecenia urzędu zawarte w naszych poradnikach, stanowiskach i wytycznych. Przykładem jest np. monitoring wizyjny, którego kontrole rozpoczęły się w 2018 r. i będą kontynuowane także w tym roku. Kwestia przetwarzania danych osobowych przez pracodawców, także w zakresie prowadzenia rekrutacji, to kolejny taki przykład.

W przeszłości generalny inspektor ochrony danych osobowych (GIODO, dziś UODO) dostrzegał w wielu branżach problemy związane z przetwarzaniem danych. Przykładowo w sektorze prywatnym wiele wątpliwości budziła działalność podmiotów zajmujących się marketingiem. Nie uwzględniały sprzeciwu osób, których dane były przetwarzane, nie informowały o źródle pozyskania danych osobowych czy przetwarzały dane bez zgody.

Dużo wątpliwości dotyczyło sektora finansowego w tym banków, które np. przekazywały do Biura Informacji Kredytowej dane klientów, gdy nie było do tego podstawy prawnej.

W przypadku firm telekomunikacyjnych dochodziło np. do pozyskiwania nadmiarowych danych przy zawieraniu umów.

Również sklepy internetowe często pozyskiwały nadmiarowe dane o swoich klientach, podczas logowania do systemów sprzedażowych. W przypadku pozyskiwania danych nowych klientów nie informowały o tym, że weszły w posiadania ich danych albo nieprawidłowo realizowały ten obowiązek.

W przypadku sektora publicznego problemami, które często miały miejsce, były: pozyskiwanie nadmiarowych danych przez instytucje publicznych (żądanie nieadekwatnych danych), brak odpowiednich zabezpieczeń w systemach informatycznych. Często dochodziło do publikowania zbyt szerokiego zakresu danych w Biuletynie Informacji Publicznej lub na stronach internetowych poszczególnych instytucji.

Chcemy podkreślić, że fakt wydania przez Ministerstwo Cyfryzacji objaśnień prawnych dotyczących gromadzenia danych osobowych kandydatów do pracy po zakończeniu rekrutacji nie miał wpływu na wybór przez prezesa UODO takiego obszaru do kontroli.

Not. J.S