Audyt ochrony danych osobowych w zadaniach Generalnego Inspektora Ochrony Danych Osobowych
Generalny Inspektor Ochrony Danych Osobowych („GIODO”) został powołany na mocy art. 8 ust. 1 ustawy z dnia 29.08.1997 r. o ochronie danych osobowych („uODO”). Pierwsza osoba piastująca funkcję tego organu objęła ją w roku 1998, a do chwili obecnej funkcję GIODO piastowały cztery osoby. Mimo iż sam organ i jego przydatność bywają poddawane krytycznym osądom, trudno jednak nie dostrzec zaangażowania poszczególnych GIODO w wykonywaniu swojej funkcji. Waga ochrony danych osobowych zdecydowanie przemawiała za powołaniem odrębnego organu – pomimo blisko dwóch dekad obowiązywania uODO pogląd ten nie stracił na aktualności.
Zadania GIODO zostały wymienione (choć nie enumeratywnie) w art. 12 uODO. Poniżej zostaną zasygnalizowane te z nich, które mają największą doniosłość praktyczną. Przede wszystkim będzie to kontrolowanie zgodności przetwarzania danych z przepisami o ochronie danych osobowych, a także wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych. GIODO jest również zobowiązany do prowadzenia rejestru zbiorów danych oraz rejestru administratorów bezpieczeństwa informacji, a także udzielania informacji o zarejestrowanych zbiorach danych i zarejestrowanych administratorach bezpieczeństwa informacji („ABI”). Rejestr taki prowadzony jest w systemie elektronicznym dostępnym na stronie internetowej GIODO. Na stronie tej można znaleźć również decyzje wydane przez GIODO w prowadzonych przez niego postępowaniach, a także oficjalne stanowiska, wypowiedzi oraz materiały powstałe z udziałem GIODO [strona internetowa: http://www.giodo.gov.pl/]. Pozostałe zadania wymienione w przywołanym przepisie mają w dużej mierze znaczenie pomocnicze, zobowiązując GIODO do propagowania idei ochrony danych osobowych w różnych gremiach zawodowych, jak i w społeczeństwie.
Dla informacji podmiotów mogących podlegać kontroli ze strony GIODO służącej audytowi ochrony danych osobowych i wypełnianiu jego priorytetowych zadań zostaną wskazane uprawnienia, w które został wyposażony GIODO przepisem art. 14 uODO. GIODO ma prawo przeprowadzenia kontroli na miejscu, przykładowo w siedzibie przedsiębiorstwa lub w jego oddziałach. W godzinach 600-2200 należy więc umożliwić mu wstęp do wszelkich pomieszczeń, w których zlokalizowane są zbiory danych oraz w których przetwarzane są dane poza zbiorem danych. Po umożliwieniu wejścia należy również zezwolić na przeprowadzenie niezbędnych badań lub wszelkich innych czynności kontrolnych, a także na wgląd do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii. GIODO ma możliwość przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych. Przedstawiciele administratora danych osobowych mogą zostać także wezwani oraz być przesłuchiwani w zakresie niezbędnym do ustalenia stanu faktycznego.
Art. 15 uODO ustanawia ogólny obowiązek współdziałania w czynnościach kontrolnych poprzez obowiązek umożliwienia inspektorowi przeprowadzenia kontroli, a w szczególności umożliwienia przeprowadzenia czynności oraz spełnienia żądań wskazanych w art. 14 uODO. Z czynności kontrolnych zostanie sporządzony protokół, a podmiot poddany kontroli powinien otrzymać jego egzemplarz. Dalsze działania GIODO będą zależne od wyników audytu. Może on zdecydować o zastosowaniu środków administracyjno-prawnych przyznanych mu przepisami uODO. GIODO nie jest bowiem kolejnym „organem bezzębnym” którego działania mogą doprowadzić co najwyżej do infamii społecznej.
Administratorzy danych osobowych dążąc do pełnej świadomości w przedmiocie stanu zaawansowania bezpieczeństwa danych osobowych w ich organizacjach często decydują się na audyty bezpieczeństwa informacji (czasem nazywane potocznie „audytem GIODO”) przeprowadzane przez niezależne profesjonalne podmioty, których efektem jest wykazanie uchybień lub skierowanie zaleceń, które administrator będzie mógł wdrożyć jeszcze przed rzeczywistą kontrolą GIODO. Nie należy również zapominać o nowym uprawnieniu GIODO, które niejako zastępuje kontrolę GIODO, ale jej nie wyklucza. Mianowicie na podstawie art. 19a uODO GIODO może zwrócić się do ABI, wpisanego do rejestru GIODO, o dokonanie sprawdzenia u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia. W następstwie powyższego ABI za pośrednictwem administratora danych, przedstawia GIODO sprawozdanie, w następstwie czego GIODO może podjąć działania w ramach swoich uprawnień, o których była mowa powyżej.
Justyna Matuszak-Leśny, LL.M.
Radca Prawny
Katarzyna Barszczewska
You might also like
Firmy pośrednictwa finansowego przedstawiły swoje propozycje regulacji rynku
Ustawa o kredycie hipotecznym i nadzorze nad pośrednikami finansowymi może doprowadzić do likwidacji pośrednictwa kredytowego w Polsce – oceniają firmy z branży. Jako alternatywę dla zakazu prowizji od banków postulują m.in. rozdzielenie pośrednictwa i doradztwa kredytowego oraz wprowadzenie
Pół miliarda złotych ma zachęcić fundusze inwestycyjne do wspierania innowacyjnych projektów technologicznych
Pół miliarda złotych wynosi budżet Funduszu Funduszy, który ma wspierać w Polsce inwestycje w zakresie komercjalizacji projektów naukowo-badawczych i rozwój obszaru innowacyjnych technologii. To wspólna inicjatywa PZU i NCBiR otwarta dla innych prywatnych inwestorów. –
Nowa ustawa ograniczy dominację wielkiej czwórki firm audytorskich
Polski rynek audytu i doradztwa zdominowały firmy globalne z tzw. wielkiej czwórki. Z ich usług korzystają wszystkie spółki giełdowe skupione w WIG20 oraz większość jednostek zainteresowania publicznego. UOKiK wskazuje, że rynek ma cechy oligopolu
1 Comment
darek
23 listopada, 15:58