Utrudnianie inspekcji GIODO jest zagrożone nawet karą więzienia

Autor: Marcin Sarna
Data: 18-06-2014 r.

GIODO ma prawo do przeprowadzania kontroli przetwarzania danych osobowych bezpośrednio w siedzibie administratora danych osobowych. W takim przypadku dział IT kontrolowanego podmiotu jest zobligowany do współpracy.

Kontrola ma na celu ustalenie, jak dana firma bądź instytucja przestrzega przepisy o ochronie danych osobowych i porównanie stanu faktycznego z obowiązującymi regulacjami. Następnie zostaje spisany protokół z wnioskami. Na podstawie ustaleń organ kontrolny wydaje decyzję, np. nakazującą usunięcie naruszeń. Taka właśnie kontrola pojawiła się w firmie zajmującej się marketingiem internetowym. Czynności kontrolne miały być zgodnie z prawem dokonywane na miejscu, tj. w siedzibie firmy. Napotkana najpierw pracownica recepcji próbowała zatrzymać kontrolerów argumentując, że firma nie przetwarza danych osobowych.

Ten argument był zupełnie nietrafiony, ponieważ kontrola może dotyczyć każdego podmiotu. Nawet takiego, który nie zarejestrował zbioru danych osobowych czy w ogóle nie przetwarza danych osobowych. W tym ostatnim przypadku, kontrola powinna natomiast zakończyć się niezwłocznie po ustaleniu, iż nie zachodzi przetwarzanie danych osobowych.

O planowanej kontroli firma została zresztą prawidłowo zawiadomiona. Inspekcja została wszczęta w okresie między 7. a 30. dniem od zawiadomienia i odbywała się między godziną 6 a 22. Na początku administrator bezpieczeństwa informacji poprosił o okazanie imiennego upoważnienia i legitymacji służbowej. ABI zapytał także o plan kontroli, bowiem taki nie został przedstawiony. Uzasadniał, iż to pozwoli uniknąć paraliżu pracy danego podmiotu.

Wprawdzie organ nie ma obowiązku przedstawiania planu kontrolowanemu, ale często to robi. Nawet jeżeli nie uda się go uzyskać, zakres przedmiotowy kontroli powinien być opisany w samym zawiadomieniu. Brak wskazania zakresu może spowodować, że inspekcja niepotrzebnie się przedłuży i spowoduje straty przedsiębiorcy. Jeżeli firma poniesie szkodę na skutek przeprowadzenia czynności kontrolnych z naruszeniem przepisów prawa, może ubiegać się o odszkodowanie.

Na żądanie inspektorów informatycy:

  • Dali im dostęp do zbiorów danych. Nie musi być to pomieszczenie serwerowni. W tym przypadku wystarczył terminal dostępowy do serwera znajdujący się w innym pokoju.

  • Złożyli pisemne i ustne wyjaśnienia dotyczące tego, kto może przebywać w serwerowni oraz korzystać z terminala dostępowego do serwera.

  • Umożliwili wgląd do dokumentów i informacji mających bezpośredni związek z przedmiotem kontroli oraz sporządzaniem ich kopii. Chodziło przede wszystkim o dane w formie elektronicznej. Inspektorzy docenili szybkie udostępnienie im kluczowych dokumentów: polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym, procedur korzystania z systemu informatycznego i reguł postępowania w przypadku stwierdzenia naruszenia ODO.

  • Udostępnili do oględzin urządzenia, nośniki oraz systemy informatyczne służące do przetwarzania danych.

Procedura była przeprowadzana z udziałem pracownika działu IT, aby inspektor miał możliwość oceny stosowanych zabezpieczeń informatycznych. Dzięki sprawnej współpracy informatyków firmy z kontrolerami nie dopatrzono się „udaremniania lub utrudniania wykonania czynności kontrolnej”. Takie zachowania podlegają grzywnie, karze ograniczenia albo pozbawienia wolności do lat 2.

W pewnych sytuacjach kontrolę może przeprowadzić bez wcześniejszej zapowiedzi. Przykładowo, gdy chodzi o przeciwdziałanie popełnieniu przestępstwa lub wykroczenia, jest prowadzona na podstawie ustawy o ochronie konkurencji i konsumentów lub występuje stan bezpośredniego zagrożenia życia, zdrowia lub środowiska naturalnego.

Marcin Sarna, radca prawny

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

Array ( [docId] => 35126 )
Array ( [docId] => 35126 )

Array ( [docId] => 35126 )