Audyt ochrony danych osobowych w zadaniach Generalnego Inspektora Ochrony Danych Osobowych

Audyt ochrony danych osobowych w zadaniach Generalnego Inspektora Ochrony Danych Osobowych

Generalny Inspektor Ochrony Danych Osobowych („GIODO”) został powołany na mocy art. 8 ust. 1 ustawy z dnia 29.08.1997 r. o ochronie danych osobowych („uODO”). Pierwsza osoba piastująca funkcję tego organu objęła ją w roku 1998, a do chwili obecnej funkcję GIODO piastowały cztery osoby. Mimo iż sam organ i jego przydatność bywają poddawane krytycznym osądom, trudno jednak nie dostrzec zaangażowania poszczególnych GIODO w wykonywaniu swojej funkcji. Waga ochrony danych osobowych zdecydowanie przemawiała za powołaniem odrębnego organu – pomimo blisko dwóch dekad obowiązywania uODO pogląd ten nie stracił na aktualności.

Zadania GIODO zostały wymienione (choć nie enumeratywnie) w art. 12 uODO. Poniżej zostaną zasygnalizowane te z nich, które mają największą doniosłość praktyczną. Przede wszystkim będzie to kontrolowanie zgodności przetwarzania danych z przepisami o ochronie danych osobowych, a także wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych. GIODO jest również zobowiązany do prowadzenia rejestru zbiorów danych oraz rejestru administratorów bezpieczeństwa informacji, a także udzielania informacji o zarejestrowanych zbiorach danych i zarejestrowanych administratorach bezpieczeństwa informacji („ABI”). Rejestr taki prowadzony jest w systemie elektronicznym dostępnym na stronie internetowej GIODO. Na stronie tej można znaleźć również decyzje wydane przez GIODO w prowadzonych przez niego postępowaniach, a także oficjalne stanowiska, wypowiedzi oraz materiały powstałe z udziałem GIODO [strona internetowa: http://www.giodo.gov.pl/]. Pozostałe zadania wymienione w przywołanym przepisie mają w dużej mierze znaczenie pomocnicze, zobowiązując GIODO do propagowania idei ochrony danych osobowych w różnych gremiach zawodowych, jak i w społeczeństwie.

Dla informacji podmiotów mogących podlegać kontroli ze strony GIODO służącej audytowi ochrony danych osobowych i wypełnianiu jego priorytetowych zadań zostaną wskazane uprawnienia, w które został wyposażony GIODO przepisem art. 14 uODO. GIODO ma prawo przeprowadzenia kontroli na miejscu, przykładowo w siedzibie przedsiębiorstwa lub w jego oddziałach. W godzinach 600-2200 należy więc umożliwić mu wstęp do wszelkich pomieszczeń, w których zlokalizowane są zbiory danych oraz w których przetwarzane są dane poza zbiorem danych. Po umożliwieniu wejścia należy również zezwolić na przeprowadzenie niezbędnych badań lub wszelkich innych czynności kontrolnych, a także na wgląd do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii. GIODO ma możliwość przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych. Przedstawiciele administratora danych osobowych mogą zostać także wezwani oraz być przesłuchiwani w zakresie niezbędnym do ustalenia stanu faktycznego.

Art. 15 uODO ustanawia ogólny obowiązek współdziałania w czynnościach kontrolnych poprzez obowiązek umożliwienia inspektorowi przeprowadzenia kontroli, a w szczególności umożliwienia przeprowadzenia czynności oraz spełnienia żądań wskazanych w art. 14 uODO. Z czynności kontrolnych zostanie sporządzony protokół, a podmiot poddany kontroli powinien otrzymać jego egzemplarz. Dalsze działania GIODO będą zależne od wyników audytu. Może on zdecydować o zastosowaniu środków administracyjno-prawnych przyznanych mu przepisami uODO. GIODO nie jest bowiem kolejnym „organem bezzębnym” którego działania mogą doprowadzić co najwyżej do infamii społecznej.

Administratorzy danych osobowych dążąc do pełnej świadomości w przedmiocie stanu zaawansowania bezpieczeństwa danych osobowych w ich organizacjach często decydują się na audyty bezpieczeństwa informacji (czasem nazywane potocznie „audytem GIODO”) przeprowadzane przez niezależne profesjonalne podmioty, których efektem jest wykazanie uchybień lub skierowanie zaleceń, które administrator będzie mógł wdrożyć jeszcze przed rzeczywistą kontrolą GIODO. Nie należy również zapominać o nowym uprawnieniu GIODO, które niejako zastępuje kontrolę GIODO, ale jej nie wyklucza. Mianowicie na podstawie art. 19a uODO GIODO może zwrócić się do ABI, wpisanego do rejestru GIODO, o dokonanie sprawdzenia u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia. W następstwie powyższego ABI za pośrednictwem administratora danych, przedstawia GIODO sprawozdanie, w następstwie czego GIODO może podjąć działania w ramach swoich uprawnień, o których była mowa powyżej.

Justyna Matuszak-Leśny, LL.M.

Radca Prawny

Katarzyna Barszczewska

JPL Group Sp. z o. o.

You might also like

Wiadomości 1Comments

Dlaczego IKZE się opłaca?

Chociaż minęły już  trzy lata od wprowadzenia na rynek finansowy indywidualnych kont zabezpieczenia emerytalnego (IKZE), wciąż  są niezbyt popularne. Co więcej, wielu nieświadomych Polaków, którzy w tej chwili nie myślą

Wiadomości 0 Comments

Wypadki i kolizje drogowe kosztują gospodarkę niemal 50 mld zł rocznie

Poprawa bezpieczeństwa na polskich i europejskich drogach to przede wszystkim kwestia ludzkiego zdrowia i życia, a także wysokich kosztów finansowych. Od 2013 roku trwa realizacja narodowej strategii poprawy ruchu drogowego, przyjęto też

Małżeństwo 0 Comments

Wszystko o rozdzielności majątkowej

O rozdzielności majątkowej można mówić wtedy, gdy zostanie podpisana odpowiednia umowa (innymi słowy intercyza). Zdarza się jednak, że podział majątku następuje nawet, jeśli żadne dokumenty nie były podpisywane. Kiedy można

1 Comment

  1. darek
    Listopad 23, 15:58 Reply
    Niestety teraz mam wrażanie, że coraz częściej jest trudniej zachować nasze dane osobowe w tajemnicy.. Nie ma takiej opcji.

Leave a Reply