Kontrola Generalnego Inspektora Ochrony Danych Osobowych

Przeczytaj także: Ochrona baz danych osobowych

W obowiązującym stanie prawnym organem nadzoru nad właściwym zarządzaniem danymi osobowymi jest Generalny Inspektor Ochrony Danych Osobowych (dalej: GIODO). Zarówno on jak i upoważnieni przez niego inspektorzy są uprawnieni do przeprowadzania kontroli w zakresie przetwarzania przedmiotowych danych u wszystkich podmiotów wskazanych w ustawie, w tym również u przedsiębiorców. Kontrola może zostać przeprowadzona bez zapowiedzi (choć zwykle inspektorzy informują o zamiarze jej dokonania kilka dni wcześniej). Powodem kontroli może być zarówno profilaktyka, jak również otrzymanie zawiadomienia o przesłankach uzasadniających jej podjęcie, np. informacja od osoby, której dane bezprawnie ujawniono.

Jak dokładnie wygląda kontrola inspektorów GIODO jeżeli ostatecznie do niej dojdzie? W obecnym stanie prawnym kontrolerzy Generalnego Inspektora mają bardzo szerokie uprawnienia. Mogą żądać dostępu do sieci teleinformatycznej przedsiębiorstwa i wszystkich pomieszczeń, w których przechowywane i przetwarzane są dane osobowe. Inspektorzy są uprawnieni do wglądu w zawartość poszczególnych urządzeń firmowych użytkowanych przez pracowników (np. laptopów, tabletów czy telefonów komórkowych). Podczas dokonywanych czynności kontrolerzy GIODO mogą przeglądać dokumenty znajdujące się w przedsiębiorstwie oraz żądać udzielenia im wyjaśnień przez poszczególnych pracowników. Sama kontrola trwa od kilku do kilkunastu dni, w zależności od wielkości kontrolowanego podmiotu.

Inspektorzy GIODO zwracają uwagę przede wszystkim na sposób przechowywania i przetwarzania danych osobowych, w szczególności na należytą procedurę ich ochrony przed dostępem do nich osób niepożądanych oraz sprawność systemu chroniącą dane osobowe przed wyciekiem. Kontrolerzy sprawdzają aktualność i zgodność z obowiązującym stanem prawnym treść „Polityki bezpieczeństwa” oraz „Instrukcji zarządzania systemami teleinformatycznymi”. Badana jest również tzw. celowość przechowywania określonych danych. Przykładowo – czy w danym przedsiębiorstwie nie są niepotrzebnie przechowywane przez długi okres czasu CV kandydatów lub dane pracowników od dawna już niezatrudnionych, a w przypadku kontroli w przedsiębiorstwie obracającym danymi swoich klientów – również zakres pozyskiwanych od nich danych.

Z przeprowadzonej kontroli inspektorzy GIODO sporządzają protokół. Zawiera on wszystkie pozyskane w toku kontroli informacje na temat zarządzania danymi osobowymi w przedsiębiorstwie. Na jego podstawie Generalny Inspektor może wezwać kontrolowany podmiot między innymi do usunięcia uchybień, zastosowania dodatkowych środków bezpieczeństwa, a nawet do usunięcia określonych danych.

Jeżeli w toku kontroli inspektorzy GIODO uznają, że działania lub zaniechania osoby odpowiedzialnej za administrowanie przetwarzanymi w przedsiębiorstwie danymi osobowymi wyczerpują znamiona przestępstwa, zawiadomią o tym fakcie organy ścigania. Odpowiedzialność karną z tego tytułu ponosi osoba bezpośrednio odpowiedzialna za administrowanie danymi. Może to być kierownik danej jednostki organizacyjnej, osoba pełniąca funkcję administratora danych lub osoba spoza przedsiębiorstwa, administrująca danymi np. na podstawie umowy. Zgodnie z ustawą o ochronie danych osobowych, przestępstwami przeciwko ochronie danych osobowych są: niezgłoszenie zbioru danych do rejestru, niewłaściwe zabezpieczenie przetwarzanych danych, udaremnianie czynności kontrolnych, przetwarzanie danych przez podmiot nieuprawniony bądź udostępnienie danych do wglądu nieuprawnionym osobom lub niepowiadomienie osoby, której dane są przetwarzane o przysługujących jej z tego tytułu prawach.

Dane osobowe są obecnie dobrem, do którego ochrony ustawodawca i powołane przez niego organy przykładają szczególną wagę. Przetwarzając je należy być więc szczególnie skrupulatnym i świadomym konsekwencji, jakie mogą wyniknąć niewłaściwego zarządzania nimi. W szczególności należy na bieżąco sprawdzać sposób zarządzania, zastosowane środki techniczne oraz metody zabezpieczenia danych, a także aktualny stan prawny. W przypadku dużych podmiotów konieczne może okazać się sięgnięcie do pomocy ekspertów zarówno z zakresu ochrony danych, jak również informatyki.