Audyt ochrony danych osobowych w zadaniach Generalnego Inspektora Ochrony Danych Osobowych
Generalny Inspektor Ochrony Danych Osobowych („GIODO”) został powołany na mocy art. 8 ust. 1 ustawy z dnia 29.08.1997 r. o ochronie danych osobowych („uODO”). Pierwsza osoba piastująca funkcję tego organu objęła ją w roku 1998, a do chwili obecnej funkcję GIODO piastowały cztery osoby. Mimo iż sam organ i jego przydatność bywają poddawane krytycznym osądom, trudno jednak nie dostrzec zaangażowania poszczególnych GIODO w wykonywaniu swojej funkcji. Waga ochrony danych osobowych zdecydowanie przemawiała za powołaniem odrębnego organu – pomimo blisko dwóch dekad obowiązywania uODO pogląd ten nie stracił na aktualności.
Zadania GIODO zostały wymienione (choć nie enumeratywnie) w art. 12 uODO. Poniżej zostaną zasygnalizowane te z nich, które mają największą doniosłość praktyczną. Przede wszystkim będzie to kontrolowanie zgodności przetwarzania danych z przepisami o ochronie danych osobowych, a także wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych. GIODO jest również zobowiązany do prowadzenia rejestru zbiorów danych oraz rejestru administratorów bezpieczeństwa informacji, a także udzielania informacji o zarejestrowanych zbiorach danych i zarejestrowanych administratorach bezpieczeństwa informacji („ABI”). Rejestr taki prowadzony jest w systemie elektronicznym dostępnym na stronie internetowej GIODO. Na stronie tej można znaleźć również decyzje wydane przez GIODO w prowadzonych przez niego postępowaniach, a także oficjalne stanowiska, wypowiedzi oraz materiały powstałe z udziałem GIODO [strona internetowa: http://www.giodo.gov.pl/]. Pozostałe zadania wymienione w przywołanym przepisie mają w dużej mierze znaczenie pomocnicze, zobowiązując GIODO do propagowania idei ochrony danych osobowych w różnych gremiach zawodowych, jak i w społeczeństwie.
Dla informacji podmiotów mogących podlegać kontroli ze strony GIODO służącej audytowi ochrony danych osobowych i wypełnianiu jego priorytetowych zadań zostaną wskazane uprawnienia, w które został wyposażony GIODO przepisem art. 14 uODO. GIODO ma prawo przeprowadzenia kontroli na miejscu, przykładowo w siedzibie przedsiębiorstwa lub w jego oddziałach. W godzinach 600-2200 należy więc umożliwić mu wstęp do wszelkich pomieszczeń, w których zlokalizowane są zbiory danych oraz w których przetwarzane są dane poza zbiorem danych. Po umożliwieniu wejścia należy również zezwolić na przeprowadzenie niezbędnych badań lub wszelkich innych czynności kontrolnych, a także na wgląd do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii. GIODO ma możliwość przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych. Przedstawiciele administratora danych osobowych mogą zostać także wezwani oraz być przesłuchiwani w zakresie niezbędnym do ustalenia stanu faktycznego.
Art. 15 uODO ustanawia ogólny obowiązek współdziałania w czynnościach kontrolnych poprzez obowiązek umożliwienia inspektorowi przeprowadzenia kontroli, a w szczególności umożliwienia przeprowadzenia czynności oraz spełnienia żądań wskazanych w art. 14 uODO. Z czynności kontrolnych zostanie sporządzony protokół, a podmiot poddany kontroli powinien otrzymać jego egzemplarz. Dalsze działania GIODO będą zależne od wyników audytu. Może on zdecydować o zastosowaniu środków administracyjno-prawnych przyznanych mu przepisami uODO. GIODO nie jest bowiem kolejnym „organem bezzębnym” którego działania mogą doprowadzić co najwyżej do infamii społecznej.
Administratorzy danych osobowych dążąc do pełnej świadomości w przedmiocie stanu zaawansowania bezpieczeństwa danych osobowych w ich organizacjach często decydują się na audyty bezpieczeństwa informacji (czasem nazywane potocznie „audytem GIODO”) przeprowadzane przez niezależne profesjonalne podmioty, których efektem jest wykazanie uchybień lub skierowanie zaleceń, które administrator będzie mógł wdrożyć jeszcze przed rzeczywistą kontrolą GIODO. Nie należy również zapominać o nowym uprawnieniu GIODO, które niejako zastępuje kontrolę GIODO, ale jej nie wyklucza. Mianowicie na podstawie art. 19a uODO GIODO może zwrócić się do ABI, wpisanego do rejestru GIODO, o dokonanie sprawdzenia u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia. W następstwie powyższego ABI za pośrednictwem administratora danych, przedstawia GIODO sprawozdanie, w następstwie czego GIODO może podjąć działania w ramach swoich uprawnień, o których była mowa powyżej.
Justyna Matuszak-Leśny, LL.M.
Radca Prawny
Katarzyna Barszczewska
You might also like
Dzieci będą mogły samodzielnie wyrażać zgodę na przetwarzanie danych osobowych w internecie
Nowe unijne przepisy dotyczące ochrony danych osobowych wskazują, że zgodę na ich przetwarzanie w internecie będą mogły udzielać samodzielnie dzieci. Krajowe ustawy mogą ustanowić własną granicę wiekową, ale nie niższą niż 13 lat.
Polski Fundusz Rozwoju pracuje nad strategią
Polski Fundusz Rozwoju to około 50 mld zł aktywów i 13 mld zł kapitału – mówi prezes PFR Paweł Borys. Trwają prace nad strategią, w ramach której powstanie platforma z wieloma instrumentami wsparcia
Rozwój polskich start-upów często ograniczają nieznajomość prawa i brak odpowiednich umów
Młodym ludziom nie brakuje chęci, kreatywnych pomysłów i zapału, by ruszyć z własnym innowacyjnym start-upem. Utrudnieniem w jego rozwoju może być nieznajomość prawa i przepisów podatkowych oraz często zmieniające się ustawy. Często już na starcie młodzi
1 Comment
darek
23 listopada, 15:58