Audyt ochrony danych osobowych w zadaniach Generalnego Inspektora Ochrony Danych Osobowych

Audyt ochrony danych osobowych w zadaniach Generalnego Inspektora Ochrony Danych Osobowych

Generalny Inspektor Ochrony Danych Osobowych („GIODO”) został powołany na mocy art. 8 ust. 1 ustawy z dnia 29.08.1997 r. o ochronie danych osobowych („uODO”). Pierwsza osoba piastująca funkcję tego organu objęła ją w roku 1998, a do chwili obecnej funkcję GIODO piastowały cztery osoby. Mimo iż sam organ i jego przydatność bywają poddawane krytycznym osądom, trudno jednak nie dostrzec zaangażowania poszczególnych GIODO w wykonywaniu swojej funkcji. Waga ochrony danych osobowych zdecydowanie przemawiała za powołaniem odrębnego organu – pomimo blisko dwóch dekad obowiązywania uODO pogląd ten nie stracił na aktualności.

Zadania GIODO zostały wymienione (choć nie enumeratywnie) w art. 12 uODO. Poniżej zostaną zasygnalizowane te z nich, które mają największą doniosłość praktyczną. Przede wszystkim będzie to kontrolowanie zgodności przetwarzania danych z przepisami o ochronie danych osobowych, a także wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych. GIODO jest również zobowiązany do prowadzenia rejestru zbiorów danych oraz rejestru administratorów bezpieczeństwa informacji, a także udzielania informacji o zarejestrowanych zbiorach danych i zarejestrowanych administratorach bezpieczeństwa informacji („ABI”). Rejestr taki prowadzony jest w systemie elektronicznym dostępnym na stronie internetowej GIODO. Na stronie tej można znaleźć również decyzje wydane przez GIODO w prowadzonych przez niego postępowaniach, a także oficjalne stanowiska, wypowiedzi oraz materiały powstałe z udziałem GIODO [strona internetowa: http://www.giodo.gov.pl/]. Pozostałe zadania wymienione w przywołanym przepisie mają w dużej mierze znaczenie pomocnicze, zobowiązując GIODO do propagowania idei ochrony danych osobowych w różnych gremiach zawodowych, jak i w społeczeństwie.

Dla informacji podmiotów mogących podlegać kontroli ze strony GIODO służącej audytowi ochrony danych osobowych i wypełnianiu jego priorytetowych zadań zostaną wskazane uprawnienia, w które został wyposażony GIODO przepisem art. 14 uODO. GIODO ma prawo przeprowadzenia kontroli na miejscu, przykładowo w siedzibie przedsiębiorstwa lub w jego oddziałach. W godzinach 600-2200 należy więc umożliwić mu wstęp do wszelkich pomieszczeń, w których zlokalizowane są zbiory danych oraz w których przetwarzane są dane poza zbiorem danych. Po umożliwieniu wejścia należy również zezwolić na przeprowadzenie niezbędnych badań lub wszelkich innych czynności kontrolnych, a także na wgląd do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii. GIODO ma możliwość przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych. Przedstawiciele administratora danych osobowych mogą zostać także wezwani oraz być przesłuchiwani w zakresie niezbędnym do ustalenia stanu faktycznego.

Art. 15 uODO ustanawia ogólny obowiązek współdziałania w czynnościach kontrolnych poprzez obowiązek umożliwienia inspektorowi przeprowadzenia kontroli, a w szczególności umożliwienia przeprowadzenia czynności oraz spełnienia żądań wskazanych w art. 14 uODO. Z czynności kontrolnych zostanie sporządzony protokół, a podmiot poddany kontroli powinien otrzymać jego egzemplarz. Dalsze działania GIODO będą zależne od wyników audytu. Może on zdecydować o zastosowaniu środków administracyjno-prawnych przyznanych mu przepisami uODO. GIODO nie jest bowiem kolejnym „organem bezzębnym” którego działania mogą doprowadzić co najwyżej do infamii społecznej.

Administratorzy danych osobowych dążąc do pełnej świadomości w przedmiocie stanu zaawansowania bezpieczeństwa danych osobowych w ich organizacjach często decydują się na audyty bezpieczeństwa informacji (czasem nazywane potocznie „audytem GIODO”) przeprowadzane przez niezależne profesjonalne podmioty, których efektem jest wykazanie uchybień lub skierowanie zaleceń, które administrator będzie mógł wdrożyć jeszcze przed rzeczywistą kontrolą GIODO. Nie należy również zapominać o nowym uprawnieniu GIODO, które niejako zastępuje kontrolę GIODO, ale jej nie wyklucza. Mianowicie na podstawie art. 19a uODO GIODO może zwrócić się do ABI, wpisanego do rejestru GIODO, o dokonanie sprawdzenia u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia. W następstwie powyższego ABI za pośrednictwem administratora danych, przedstawia GIODO sprawozdanie, w następstwie czego GIODO może podjąć działania w ramach swoich uprawnień, o których była mowa powyżej.

Justyna Matuszak-Leśny, LL.M.

Radca Prawny

Katarzyna Barszczewska

JPL Group Sp. z o. o.

You might also like

Wiadomości 0 Comments

Światowy rynek gier komputerowych wart ponad 90 mld dolarów

91,5 mld dol. wart jest globalny rynek gier komputerowych – wynika z szacunków firmy Newzoo. W tym roku jego wartość może być bliska 100 mld dol. Wielkość polskiego rynku szacowana jest

Wiadomości 0 Comments

Czym jest spółka przekształcona?

Zgodnie z obowiązującym w Polsce prawem każda spółka handlowa może zostać przekształcona. Po spełnieniu wszystkich formalności przejmuje obowiązki i przestrzega respektuje przepisy w zgodzie ze swoim wyborem. Jak przebiega i

Wiadomości 0 Comments

W jakim celu powołano Inspekcję Handlową?

Aktualnie wiele przedsiębiorstw zakłada działalność handlową. Jest rozpowszechniona, ponieważ często daje pokaźne przychody i pozwala zdobyć mnóstwo rzetelnych klientów. Niestety nie w każdym przypadku działania prowadzone są zgodnie z zaleceniami

1 Comment

  1. darek
    Listopad 23, 15:58 Reply
    Niestety teraz mam wrażanie, że coraz częściej jest trudniej zachować nasze dane osobowe w tajemnicy.. Nie ma takiej opcji.

Leave a Reply