Audyt ochrony danych osobowych w zadaniach Generalnego Inspektora Ochrony Danych Osobowych
Generalny Inspektor Ochrony Danych Osobowych („GIODO”) został powołany na mocy art. 8 ust. 1 ustawy z dnia 29.08.1997 r. o ochronie danych osobowych („uODO”). Pierwsza osoba piastująca funkcję tego organu objęła ją w roku 1998, a do chwili obecnej funkcję GIODO piastowały cztery osoby. Mimo iż sam organ i jego przydatność bywają poddawane krytycznym osądom, trudno jednak nie dostrzec zaangażowania poszczególnych GIODO w wykonywaniu swojej funkcji. Waga ochrony danych osobowych zdecydowanie przemawiała za powołaniem odrębnego organu – pomimo blisko dwóch dekad obowiązywania uODO pogląd ten nie stracił na aktualności.
Zadania GIODO zostały wymienione (choć nie enumeratywnie) w art. 12 uODO. Poniżej zostaną zasygnalizowane te z nich, które mają największą doniosłość praktyczną. Przede wszystkim będzie to kontrolowanie zgodności przetwarzania danych z przepisami o ochronie danych osobowych, a także wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych. GIODO jest również zobowiązany do prowadzenia rejestru zbiorów danych oraz rejestru administratorów bezpieczeństwa informacji, a także udzielania informacji o zarejestrowanych zbiorach danych i zarejestrowanych administratorach bezpieczeństwa informacji („ABI”). Rejestr taki prowadzony jest w systemie elektronicznym dostępnym na stronie internetowej GIODO. Na stronie tej można znaleźć również decyzje wydane przez GIODO w prowadzonych przez niego postępowaniach, a także oficjalne stanowiska, wypowiedzi oraz materiały powstałe z udziałem GIODO [strona internetowa: http://www.giodo.gov.pl/]. Pozostałe zadania wymienione w przywołanym przepisie mają w dużej mierze znaczenie pomocnicze, zobowiązując GIODO do propagowania idei ochrony danych osobowych w różnych gremiach zawodowych, jak i w społeczeństwie.
Dla informacji podmiotów mogących podlegać kontroli ze strony GIODO służącej audytowi ochrony danych osobowych i wypełnianiu jego priorytetowych zadań zostaną wskazane uprawnienia, w które został wyposażony GIODO przepisem art. 14 uODO. GIODO ma prawo przeprowadzenia kontroli na miejscu, przykładowo w siedzibie przedsiębiorstwa lub w jego oddziałach. W godzinach 600-2200 należy więc umożliwić mu wstęp do wszelkich pomieszczeń, w których zlokalizowane są zbiory danych oraz w których przetwarzane są dane poza zbiorem danych. Po umożliwieniu wejścia należy również zezwolić na przeprowadzenie niezbędnych badań lub wszelkich innych czynności kontrolnych, a także na wgląd do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii. GIODO ma możliwość przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych. Przedstawiciele administratora danych osobowych mogą zostać także wezwani oraz być przesłuchiwani w zakresie niezbędnym do ustalenia stanu faktycznego.
Art. 15 uODO ustanawia ogólny obowiązek współdziałania w czynnościach kontrolnych poprzez obowiązek umożliwienia inspektorowi przeprowadzenia kontroli, a w szczególności umożliwienia przeprowadzenia czynności oraz spełnienia żądań wskazanych w art. 14 uODO. Z czynności kontrolnych zostanie sporządzony protokół, a podmiot poddany kontroli powinien otrzymać jego egzemplarz. Dalsze działania GIODO będą zależne od wyników audytu. Może on zdecydować o zastosowaniu środków administracyjno-prawnych przyznanych mu przepisami uODO. GIODO nie jest bowiem kolejnym „organem bezzębnym” którego działania mogą doprowadzić co najwyżej do infamii społecznej.
Administratorzy danych osobowych dążąc do pełnej świadomości w przedmiocie stanu zaawansowania bezpieczeństwa danych osobowych w ich organizacjach często decydują się na audyty bezpieczeństwa informacji (czasem nazywane potocznie „audytem GIODO”) przeprowadzane przez niezależne profesjonalne podmioty, których efektem jest wykazanie uchybień lub skierowanie zaleceń, które administrator będzie mógł wdrożyć jeszcze przed rzeczywistą kontrolą GIODO. Nie należy również zapominać o nowym uprawnieniu GIODO, które niejako zastępuje kontrolę GIODO, ale jej nie wyklucza. Mianowicie na podstawie art. 19a uODO GIODO może zwrócić się do ABI, wpisanego do rejestru GIODO, o dokonanie sprawdzenia u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia. W następstwie powyższego ABI za pośrednictwem administratora danych, przedstawia GIODO sprawozdanie, w następstwie czego GIODO może podjąć działania w ramach swoich uprawnień, o których była mowa powyżej.
Justyna Matuszak-Leśny, LL.M.
Radca Prawny
Katarzyna Barszczewska
You might also like
Czy istnieje ochrona podatkowa i skarbowa dla przedsiębiorców?
Ubezpieczenie Tax Protect, nowość w ofercie Colonnade, skierowane jest do wszystkich firm oraz instytucji występujących w roli podatnika, płatnika lub inkasenta podatków lub składek na ubezpieczenia społeczne, z wyłączeniem podmiotów
Jak poradzić sobie z rozwodem?
Radca prawny pomoże nam nie tylko w przygotowaniu pozwu, ale również ułatwi przejście przez cały rozwód. Dlaczego dokładnie warto poprosić o kompleksową pomoc prawną przy oficjalnym zakończeniu małżeństwa? O czym
Firmy stawiają na cyfrową transformację. Na chmurę, analizę danych i mobilność przeznaczą 60 proc. budżetu na IT
W ciągu najbliższych pięciu lat firmy zainwestują w chmurę obliczeniową 500 mld dol. W centrum cyfrowej rewolucji, na którą stawiają przedsiębiorstwa z każdej branży, znajdą się również rozwiązania big data, mobilność, internet
1 Comment
darek
23 listopada, 15:58