• Polski
  • English
  • Deutsch
  • Zapisz się do newslettera

    Kontrole GIODO. Jaki jest plan na 2016 r. i na co zwrócić uwagę?

    dane osobowe, kontrola giodo, ochrona danych osobowych, przetwarzanie danych osobowych

    Generalny Inspektor Ochrony Danych Osobowych opublikował w lutym br. komunikat o planowanych na rok 2016 kontrolach. Jak już wskazywaliśmy na Portalu ODO GIODO objął zakresem planowanych kontroli kilka grup podmiotów, w tym kancelarie prawne, organy celne, organizacje korzystające z Systemu Informacji Celnej, podmioty przetwarzające dane w systemie Eurodac i starostwa powiatowe. Nie oznacza to oczywiście, że kontroli nie podlega ochrona danych osobowych i przetwarzanie danych osobowych u innych administratorów danych. Wprost przeciwnie, GIODO jest przecież organem powołanym do spraw ochrony danych osobowych, a kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych jest jednym z jego ustawowych zadań. Dlatego właśnie kontroli GIODO spodziewać może się każdy administrator danych lub podmiot przetwarzający dane osobowe na podstawie umowy powierzenia. Wskazanym w komunikacie grupom podmiotów GIODO będzie się jednak szczególnie przyglądał w bieżącym roku. Każda kancelaria prawna, kancelaria radców prawnych, indywidualna kancelaria radcy prawnego, a także kancelarie adwokackie powinny zwrócić szczególną uwagę na właściwe zabezpieczenie danych osobowych swoich klientów.

    Pamiętać także trzeba, że jeżeli u danego administratora powołany jest ABI, GIODO nie musi zdecydować się na prowadzenie kontroli. Może skorzystać z możliwości wezwania do dokonania sprawdzenia przez administratora bezpieczeństwa informacji i przedłożenia sprawozdania z tego sprawdzenia GIODO.

    W każdym wypadku kontroli GIODO lub sprawdzenia dokonywanego na wezwanie GIODO przez ABI weryfikacji polegać może całość systemu ochrony danych osobowych funkcjonującego u danego administratora danych. Administrator danych osobowych, by być skontrolowanym, nie musi  bowiem prowadzić działalności mieszczącej się w zakresie planowanych sektorowych kontroli. GIODO kontrolę może przeprowadzić zawsze. GIODO kontrolować może zarówno spełnienie przesłanek przetwarzania danych osobowych  (np. czy stosowana zgoda na przetwarzanie danych osobowych jest właściwa), sposób realizacji obowiązku informacyjnego, sposób prowadzenia, aktualność i poprawność dokumentacji ochrony danych, czyli polityki bezpieczeństwa informacji i instrukcji zarządzania systemem informatycznym, to, czy zostały zawarte umowy powierzenia, jak i wszelkie kwestie związane z technicznym, organizacyjnym, informatycznym i fizycznym zabezpieczeniem danych osobowych. To oznaczać może kontrolę nadawania upoważnień do przetwarzania danych i prowadzenia ich ewidencji, szkolenie osób upoważnionych do przetwarzania danych, sposób zabezpieczenia infrastruktury informatycznej – prawidłowe uwierzytelnianie użytkowników w systemie, kontrolę dostępu do zasobów, wykonywanie kopii zapasowych, ustalanie odpowiednich reguł pracy ze sprzętem udostępnionym przez pracodawcę. Warto zaznaczyć, że w wielu wpadkach kontrola GIODO oznacza weryfikację także innego rodzaju polityk, procedur czy mechanizmów ochrony danych. Wiele aspektów przetwarzania danych opisanych być może w regulaminie sklepu internetowego, polityce prywatności, regulaminie portalu. Sama ochrona danych osobowych może natomiast łączyć się z prawem e-commerce i IT, ochroną praw konsumenta czy też ochroną praw autorskich.

    Kontrola prowadzona jest przez upoważnionych pracowników biura GIODO – inspektorów, którzy mają zagwarantowane w ustawie prawo wstępu do pomieszczeń, w których zlokalizowany jest zbiór danych osobowych i w których dane przetwarzane są poza zbiorem. Mogą także żądać złożenia wyjaśnień i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego. Inspektorzy mają prawo wglądu do wszelkich dokumentów mających bezpośredni związek z przedmiotem kontroli, przeprowadzania oględzin urządzeń, nośników i systemów, służących do przetwarzania danych i zlecać sporządzanie opinii i ekspertyz. Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie kontroli.

    Z kontroli sporządzany jest protokół. Jeżeli inspektor stwierdzi naruszenie przepisów ustawy o ochronie danych osobowych, występuje do GIODO o wydanie odpowiedniej decyzji nakazującej przywrócenie stanu zgodnego z prawem. Przedmiotem tej decyzji może być w szczególności:
    a)    usunięcie uchybień;
    b)    uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych;
    c)    zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;
    d)    wstrzymanie przekazywania danych osobowych do państwa trzeciego;
    e)    zabezpieczenie danych lub przekazanie ich innym podmiotom;
    f)    usunięcie danych osobowych.

    Oczywiście administrator danych może zwrócić się do GIODO z wnioskiem o ponowne rozpatrzenie sprawy, a jeżeli po ponownym rozpatrzeniu nadal kwestionuje decyzję GIODO, przysługuje mu skarga do sądu administracyjnego.

    Wróć do listy
    Katarzyna Witkowska – Nowakowska

    Katarzyna Witkowska – Nowakowska

    • Prawnik
    Skontaktuj się z autorem

    Jeśli omawiane kwestie dotyczą Państwa sytuacji, prosimy o kontakt bezpośrednio z

    Witold Chomiczewski LL.M

    Wspólnik
    Radca prawny

    witold.chomiczewski@lubasziwspolnicy.pl

    dr Dominik Lubasz

    Wspólnik
    Radca prawny

    dominik.lubasz@lubasziwspolnicy.pl

    Artykuły powiązane

    Prawo w Internecie w 2016 roku – o czym warto pamiętać?

    Rok 2016 przynosi wiele zmian podmiotom zainteresowanym prawem e-commerce. O wielu z nich pisaliśmy już na naszych portalach, warto jednak podsumować znowelizowane przepisy, istotne nie tylko dla przedsiębiorców internetowych, ale …

    Tajemnica korespondencji nie obejmuje prywatnych wiadomości pracowników wysyłanych z służbowej poczty.

    Europejski Trybunał Praw Człowieka w Strasburgu w wyroku z 12 stycznia 2016 roku stwierdził, że zwolnienie z pracy z powodu korzystania z Internetu przy wykorzystaniu służbowych zasobów do celów prywatnych, …

    Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

    Subscribe to our newsletter

    FreshMail.pl