Pod koniec 2012 roku Generalny Inspektor Ochrony Danych Osobowych zawarł porozumienie z Państwową Inspekcją Pracy dotyczące przeprowadzania wspólnych kontroli u pracodawców. Porozumienie w swym założeniu miało na celu wyeliminowanie nieprawidłowości związanych z ochroną danych osobowych pracowników firm.
Jak wynika ze wstępnych informacji, po kontrolach wśród przedsiębiorców, urzędnicy reprezentujący GIODO zwracają szczególną uwagę na aspekty prawne oraz techniczne zabezpieczenia danych osobowych w firmach. Kontrole dotyczą nie tylko zabezpieczenia danych osobowych pracowników, ale także klientów czy kontrahentów firm.
Nie ulega wątpliwości, iż przedsiębiorcy działający w e-commerce podlegają obowiązkowi dokonania zgłoszenia zbioru danych osobowych w GIODO. Ze względu na fakt pozyskiwania oraz gromadzenia danych swoich klientów, prowadzenia sprzedaży oraz wysyłki produktów czy też mailingu, wypełniają przesłanki wskazujące na obowiązek dokonania zgłoszenia wynikający z ustawy o ochronie danych osobowych oraz właściwych rozporządzeń. W związku z powyższym, każdy przedsiębiorca – np. prowadzący sprzedaż za pośrednictwem sieci internet – narażony jest na możliwość przeprowadzenia w jego firmie kontroli dotyczącej aspektów związanych z prawidłową ochroną danych osobowych.
Kontrola urzędników z GIODO nie musi zostać zapowiedziana. Przepisy powszechnie obowiązujące nie nakładają na wspomniany urząd takiego obowiązku, jednak jak wskazuje praktyka dotychczas przeprowadzane kontrole poprzedzane były poinformowaniem przedsiębiorcy, zazwyczaj na kilka dni przed faktycznym rozpoczęciem czynności. Sama kontrola może zostać przeprowadzona w przedziale godzin 6:00 – 22:00. Faktycznie urzędnicy odwiedzają firmy w trakcie ich godzin urzędowania. Warto podkreślić, iż odmowa, bądź też utrudnianie przeprowadzenia kontroli może doprowadzić do ukarania przedsiębiorcy grzywną.
GIODO do przeprowadzania kontroli deleguje zazwyczaj trzech pracowników – wśród nich dwie osoby odpowiedzialne są za aspekt prawny, trzecia kontroluje kwestie informatyczne związane z przetwarzaniem danych osobowych.
Czego więc spodziewać się w trakcie samej kontroli?
Urzędnicy przede wszystkim sprawdzają aspekt prawny związany z ochroną danych osobowych, a więc czy zbiór danych osobowych został zgłoszony w rejestrze GIODO. Jeżeli firma takiego zgłoszenia dokonała, urzędnicy kontaktują się bezpośrednio z wyznaczonym w firmie Administratorem Bezpieczeństwa Informacji, sprawdzając poprawność wymaganej prawem dokumentacji. W tym miejscu warto przypomnieć, aby dokumentacja dotycząca ochrony danych osobowych, a więc instrukcja zarządzania systemem informatycznym oraz polityka bezpieczeństwa, były wydrukowane oraz podpisane przez Administratora Bezpieczeństwa Informacji. Kontroli podlegają również upoważnienia dla poszczególnych pracowników w związku dostępem do danych osobowych, w tym przypadku również bardzo istotnym jest, aby na dokumentach upoważniających konkretnego pracownika widniał jego podpis oraz podpis osoby odpowiedzialnej za nadanie uprawnienia (Administrator Bezpieczeństwa Informacji).
W dalszej kolejności urzędnik odpowiedzialny za kontrole systemów informatycznych sprawdza poprawność stosowanych procedur oraz oprogramowania, a także faktyczne zastosowanie postanowień polityki bezpieczeństwa czy też instrukcji zarządzania systemem informatycznym. Kontroli podlegają m.in. zastosowanie systemów ochrony danych, w tym wykorzystanie programów antywirusowych, firewall itd. Urzędnicy zwracają uwagę na zakres przetwarzanych danych, zasadność ich przechowywania oraz cel w jakim dane zostały pozyskane (należy pamiętać, iż zakres nie może być szerszy niż ten zadeklarowany we wniosku do GIODO).
Od wyników kontroli uzależniona jest ocena urzędników. Jeśli przedsiębiorca dopuszcza się istotnych uchybień lub nieprawidłowości urząd może nałożyć karę grzywny od 50 000 do nawet 200 000 pln, a w szczególnych wypadkach zastosować karę pozbawienia wolności do lat 3.
Jakub Szajdziński
prawnik/współwłaściciel
ENSIS Kancelaria Doradztwa Prawnego
Cioczek & Szajdziński Spółka Cywilna