Subiektywnie o kontrolach PUODO – uwagi na tle planu kontroli na 2023 r.

Analizy

Subiektywnie o kontrolach PUODO – uwagi na tle planu kontroli na 2023 r.

Wybrane praktyczne obserwacje w zakresie postępowań kontrolnych PUODO; plan kontroli na rok 2023

Blog Prawo Nowych Technologii | styczeń 2023 r.

W dniu 18 stycznia 2023 r. Prezes Urzędu Ochrony Danych Osobowych opublikował plan kontroli sektorowych na najbliższy rok. W niniejszym tekście krótko podsumujemy wnioski z planu kontroli oraz przedstawimy kogo potencjalnie mogą dotknąć planowe kontrole urzędu. Omawiamy również praktyczne aspekty postępowań kontrolnych PUODO i to, w jaki sposób przedsiębiorcy mogą się przygotować na taką kontrolę.

Na wstępie warto zauważyć, że zgodnie z przepisami wyróżnia się trzy rodzaje kontroli przestrzegania przepisów o ochronie danych osobowych1:

  • prowadzone zgodnie z zatwierdzonym przez PUODO planem kontroli, o czym mowa w dalszej części niniejszego wpisu;
  • prowadzone na podstawie uzyskanych przez PUODO informacji (zazwyczaj w odpowiedzi na skargi lub zawiadomienia innych podmiotów);
  • prowadzone w ramach monitorowania przestrzegania stosowania RODO, co oznacza, że podmioty kontrolowane mogą być wybierane w sposób wyrywkowy, w oderwaniu od konkretnej przyczyny.

Co do zasady, coroczny plan kontroli inspirowany jest licznymi sygnałami (w tym skargami, pytaniami i zgłoszeniami naruszeń ochrony danych osobowych) wskazującymi na zagrożenia naruszenia przepisów o ochronie danych osobowych w danych obszarach działalności. Plan kontroli sektorowych na rok 20232 obejmuje swoim zakresem następujące kategorie podmiotów:

  • podmioty przetwarzające dane osobowe przy użyciu aplikacji mobilnych – w zakresie sposobu zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji,
  • podmioty przetwarzające dane osobowe przy użyciu aplikacji internetowych (webowych) – w zakresie sposobu zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji,
  • organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym – w zakresie przetwarzania danych osobowych SIS/VIS na podstawie właściwych przepisów.

Podmioty z sektora prywatnego powinny być szczególnie zainteresowane dwoma pierwszymi kategoriami. Nie sposób jednak nie zauważyć, że plan kontroli sektorowych na rok 2023 obejmuje swym zakresem część planu kontroli sektorowych z roku ubiegłego, np. w zakresie podmiotów przetwarzających dane osobowe przy użyciu aplikacji mobilnych ubiegłoroczny plan kontroli sektorowych także pokrywał sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji.

Plany kontroli sektorowych ujmowane są z reguły w sposób ogólny, co w efekcie potencjalnie pozwala na objęcie zakresem kontroli wielu aspektów oraz szerokiego kręgu podmiotów. Dokument opublikowany w tym roku jest jednak pod tym względem najszerszym planem kontroli opublikowanym w historii urzędu – tegoroczne kontrole planowe mogą objąć nie tylko podmioty, których działalność gospodarcza jest w dużej mierze zależna od udostępniania aplikacji mobilnej, ale również przedsiębiorców, którzy aplikację mobilną traktują jedynie jako dodatek do podstawowej działalności. W praktyce oznacza to, że w kręgu zainteresowania urzędu znajduje się – potencjalnie – każdy przedsiębiorca działający w obszarach szeroko pojętej gospodarki cyfrowej.

Należy również mieć na uwadze, że kontrole w ramach planu kontroli sektorowych to jedynie część działań podejmowanych przez PUODO, co oznacza, że często prowadzone są postępowania kontrolne obejmujące obszary niewymienione w planie kontroli sektorowych. W efekcie przedsiębiorcy, których działalność nie jest objęta planem kontroli sektorowych, również powinni być przygotowani na ewentualną kontrolę.
 

Jak przygotować się do kontroli PUODO?

Na wstępie warto odpowiedzieć na pytanie czy w ogóle można przygotować się do takiej kontroli? W naszej ocenie – zdecydowanie tak. Choć wiele zależy od tego, jaki charakter ma kontrola i jaka jest jej geneza, to z reguły PUODO pisemnie uprzedza o planowanej kontroli, co pozwala podjąć niezbędne kroki.

Najważniejszą informacją dla podmiotu kontrolowanego jest termin planowanej kontroli (o ile kontrola jest zapowiedziana), warto bowiem wykorzystać czas przed terminem kontroli w celu przeglądu odpowiednich dokumentów, procesów, polityk, itp. i ich ewentualnego uzupełnienia. Z naszej praktyki wynika, iż wiele nieprawidłowych procesów lub brakujących elementów można przygotować czy poprawić przed pojawieniem się kontrolujących. W razie potrzeby warto również zlecić przygotowanie ekspertyz i opinii odpowiednim ekspertom, jeśli to możliwe. Często zwrócą oni uwagę na elementy, które mogą być przedmiotem szczególnej uwagi urzędu podczas postępowania kontrolnego.

Na tym etapie należy też ustalić jaki właściwie jest przedmiot kontroli. Informacja ta powinna być określona w zawiadomieniu o planowanej kontroli. Jest to istotne o tyle, iż PUODO powinien objąć zakresem kontroli jedynie wskazany przedmiot kontroli. Przykładowo, jeżeli kontrola będzie dotyczyć sposobu zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji, to kontrolujący nie powinni obejmować swym zakresem wykonania obowiązku informacyjnego względem podmiotów danych. Mimo to często nie da się jednoznaczne wyznaczyć granicy między zakresem objętym i pozostającym poza ramami kontroli. Z tego względu zdecydowanie warto przygotować się do kontroli w najszerszym możliwie zakresie, uprzedzając negatywne zaskoczenie w dniu kontroli.

Ważnym aspektem jest odpowiednie przygotowanie personelu podmiotu kontrolowanego na wypadek kontroli. Po pierwsze, personel zawsze powinien być przygotowany na wypadek niezapowiedzianej kontroli, w szczególności wiedzieć jak taka kontrola może wyglądać. Niektórzy przedsiębiorcy decydują się na wdrożenie formalnej instrukcji na wypadek niespodziewanej wizyty kontrolujących. Po drugie, kluczowe jest również szczegółowe omówienie przedmiotu kontroli w przypadku kontroli zapowiedzianej. Co do zasady, kontrolujący mogą żądać wglądu do dokumentów, żądać informacji (także tych objętych tajemnicą, o czym w dalszej części wpisu), żądać pisemnych lub ustnych wyjaśnień, a także dokonać oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych. Brak współpracy z PUODO lub utrudnianie kontroli mogą skutkować zastosowaniem przez PUODO sankcji, a nawet zaangażowaniem Policji. Co więcej, decyzje nakładające kary pieniężne za brak współpracy czy wręcz utrudnianie kontroli wcale nie należą do rzadkości. Warto zatem stanowczo uprzedzić personel o konieczności zapewnienia współpracy z urzędem oraz uprzedzić kluczowych pracowników, że kontrolujący mogą zażądać od nich wyjaśnień dotyczących przedmiotu kontroli.

Pracownicy urzędu właściwie zawsze oczekują udziału Inspektora Ochrony Danych (IOD) lub innej osoby odpowiedzialnej za ochronę danych osobowych w podmiocie kontrolowanym w czynnościach kontrolnych. Warto również rozważyć udział prawnika (wewnętrznego lub zewnętrznego). IOD powinien posiadać wiedzę o procesach przetwarzania danych osobowych, które mają miejsce w podmiocie kontrolowanym, wszelkiej prowadzonej dokumentacji, itp. Z kolei prawnik będzie w stanie wesprzeć kontrolowanego w przypadku wszelkich kwestii formalnych i prawnych, które pojawią się w toku kontroli.

W celu realizacji swoich zadań PUODO ma prawo dostępu do informacji objętych tajemnicą prawnie chronioną, chyba że przepisy szczególne stanowią inaczej. Przykładem regulacji szczególnej, która wyłącza uprawnienie PUODO jest art. 6 ust. 3 ustawy Prawo o Adwokaturze, zgodnie z którym adwokata nie można zwolnić od obowiązku zachowania tajemnicy zawodowej co do faktów, o których dowiedział się, udzielając pomocy prawnej lub prowadząc sprawę. Należy zauważyć, iż przepis udzielający PUODO prawo dostępu do informacji objętych tajemnicą prawnie chronioną jest niejasny i trudny do zaakceptowania biorąc pod uwagę konstrukcję tajemnic prawnie chronionych – przepis wprowadzający obowiązek zachowania tajemnicy powinien być rozumiany jako ustanawiający zasadę. Odstępstwa od zasady dopuszczające możliwość ujawnienia informacji objętych obowiązkiem zachowania tajemnicy powinny stanowić wyjątki, których nie można interpretować rozszerzająco.

Etap kontroli kończy się doręczeniem kontrolowanemu protokołu końcowego z kontroli. Protokół należy przeanalizować w sposób krytyczny pod kątem ustaleń faktycznych – kontrolowany ma 7 dni na ustosunkowanie się do protokołu i złożenie ewentualnych pisemnych zastrzeżeń. Dokładna analiza oraz złożenie zastrzeżeń są istotne, ponieważ stanowią podstawę ewentualnych dalszych działań wobec kontrolowanego.

Co do zasady, kontrola powinna trwać nie dłużej niż 30 dni od dnia okazania kontrolowanemu imiennego upoważnienia kontrolującego. W praktyce czynności rzadko zajmują dłużej niż kilka dni roboczych. Jeżeli na podstawie informacji zgromadzonych w postępowaniu kontrolnym PUODO uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, obowiązany jest do niezwłocznego wszczęcia postępowania administracyjnego. Warto jednak pamiętać, że z uwagi na duże obciążenie polskiego organu ochrony danych, czynności pokontrolne mogą trwać nawet wiele miesięcy, a kontrolowany przez długi czas nie otrzyma informacji o wynikach kontroli.

Warto pamiętać, że każda kontrola w przedsiębiorstwie jest wyzwaniem, ale można się do niej odpowiednio wcześnie przygotować. Przed każdą kontrolą warto ocenić, jakie działania powinny zostać podjęte, aby zapewnić bezpieczeństwo prawne kontrolowanego. Warto podczas kontroli zaangażować również osoby, które mają doświadczenie w podobnych postępowaniach – zwłaszcza IOD i doradcę prawnego. Ułatwi to sprawne i właściwe przeprowadzenie czynności kontrolnych, z zachowaniem niezbędnych gwarancji praw kontrolowanego.

[1] Art. 78 ust. 2 ustawy o ochronie danych osobowych, Dz.U. z 2018 r. poz. 1000, z późn.zm.;

[2] https://uodo.gov.pl/pl/138/2614;

Czy ta strona była pomocna?