Kontrola zgodności przetwarzania danych osobowych z przepisami o ochronie danych jest jednym z najważniejszych zadań postawionych przed Generalnym Inspektorem Ochrony Danych Osobowych. Kompetencje kontrolne formalnie przysługują zarówno GIODO, jego zastępcy, jak i upoważnionym pracownikom Biura GIODO, czyli inspektorom.
Jakie uprawnienia kontrolne ma GIODO
Kategoria: Ochrona danych osobowych
Data: 17-08-2015 r.
Ustawa o ochronie danych osobowych daje Generalnemu Inspektorowi Ochrony Danych Osobowych uprawnienia kontrolne. Choć kontrole GIODO są zwykle zapowiadane, to mogą być uciążliwe. Dlatego warto się do nich przygotować i wiedzieć m.in., jakie zbiory danych i na jakim obszarze są w naszej organizacji przetwarzane.
W praktyce czynności kontrolne wykonywane są właśnie przez inspektorów, posiadających imienne upoważnienie zgodne z wzorem z załącznika do rozporządzenia ministra spraw wewnętrznych i administracji z 11 maja 2011 r.
Co może robić GIODO podczas kontroli
Uprawnienia kontrolne wskazane w art. 14 uodo obejmują prawo:
-
wstępu do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem,
-
przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą,
-
wzywania i przesłuchiwania osób w zakresie niezbędnym do ustalenia stanu faktycznego,
-
wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii,
-
przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych, a także
-
zlecania sporządzania ekspertyz i opinii.
Jak przygotować się do kontroli
Jeśli podmiotem kontrolowanym jest przedsiębiorca, co do zasady, zgodnie z art. 79 ust. 1 ustawy z 2 lipca o swobodzie działalności gospodarczej (uosdg), powinien on zostać powiadomiony o zamiarze wszczęcia kontroli. Nie może być ona przeprowadzona wcześniej niż po upływie siedmiu dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli.
Jeżeli w tym terminie kontrola nie zostanie rozpoczęta, przed podjęciem czynności kontrolnych niezbędne jest ponowne zawiadomienie.
Przygotowując się do kontroli w zakresie przestrzegania zasad ochrony danych, każdy ADO i każdy ABI, jeśli został ustanowiony, powinien w szczególności odpowiedzieć na następujące pytania:
-
Jakie zbiory danych osobowych posiadam? Gdzie się one znajdują? Czy wiem, gdzie znajduje się obszar, w którym dane są przetwarzane poza zbiorami?
-
W oparciu o jakie przesłanki przetwarzam dane osobowe? Czy jestem w stanie je wskazać w odniesieniu do każdego ze zbiorów danych osobowych?
-
Czy zakres pozyskiwanych przeze mnie danych odpowiada celowi przetwarzania? Czy nie pozyskuję więcej informacji o osobach, których dane dotyczą, niż mi wolno?
-
Czy osoby, które dopuszczam do przetwarzania danych (np. pracownicy, stażyści, zleceniobiorcy), posiadają aktualne upoważnienia? Czy zakres tych upoważnień odpowiada faktycznie wykonywanym przez te osoby czynnościom?
-
Czy moi pracownicy mają dostęp do polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym? Czy wiedzą, kto w naszej organizacji pełni funkcję ABI? Czy wiedzą, jakie są jego zadania?
-
Czy prowadzona przeze mnie dokumentacja z zakresu ochrony danych osobowych jest aktualna? Czy stan opisany w tej dokumentacji odpowiada stanowi faktycznemu?
-
Czy mam zawartą umowę powierzenia przetwarzania danych? Czy powinienem ją zawrzeć?
-
Czy prowadzony jest rejestr zbiorów danych osobowych?
-
Czy w sposób należyty realizuję obowiązek informacyjny wobec osób, których dane dotyczą?
-
Czy we właściwy sposób, tj. odpowiedni do zagrożeń i kategorii danych, zabezpieczam dane osobowe?
Zobacz także:
Tagi: dane osobowe, giodo
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
