Regulaminy sklepów internetowych
 Obsługa prawna e-commerce

Kontrola GIODO. Vademecum ochrony danych. Odc.6

Zaloguj się

Vademecum ochrony danych osobowych dla sklepów internetowych i serwisów www.

Kontrola GIODO.

Odcinek 6.

Marcin Kroll, Źródło: Legalnybiznes.pl

 

Przedstawiamy szósty odcinek naszego cyklu pt. "Vademecum ochrony danych osobowych dla sklepów internetowych i serwisów www". W tym odcinku opowiemy o przedmiocie, zakresie i przebiegu kontroli ochrony danych osobowych przez inspektorów GIODO.

 

 

 

1.       Kto kontroluje ?

 

Jak wiecie z poprzednich artykułów organem odpowiedzialnym za ochronę danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych (GIODO). Do jego zadań oprócz prowadzenia rejestru zbiorów danych, udzielania informacji o zarejestrowanych zbiorach oraz wydawania decyzji administracyjnych i rozpatrywania skarg w sprawach dotyczących ochrony danych osobowych, należy również kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Oczywiście uprawnień kontrolnych GIODO nie wykonuje samodzielnie, lecz za pośrednictwem inspektorów ochrony danych osobowych, tj. specjalnie upoważnionych w tym celu pracowników biura GIODO.

 

2.       Cel, przedmiot i zakres kontroli GIODO

 

Głównym celem kontroli przeprowadzanej przez GIODO jest sprawdzenie czy kontrolowany przedsiębiorca przestrzega przepisów o ochronie danych osobowych oraz udokumentowanie dokonanych ustaleń. Pamiętajmy przy tym, że przez „przepisy o ochronie danych osobowych” rozumie się nie tylko ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., nr 101, poz. 926 z późń. zm.), lecz także wydane na jej podstawie akty wykonawcze, w tym w szczególności Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. nr 100, poz. 1024).

Z dotychczasowych doświadczeń wynika, że inspektorzy w trakcie prowadzonej kontroli zwracają uwagę na następujące elementy:

  • Legalność przetwarzania danych osobowych– należy wykazać co najmniej jedną przesłankę legalności przetwarzania danych osobowych wskazaną w ustawie (art. 23 UODO). Przykładowo, gdy taką przesłanką jest zgoda użytkownika sklepu internetowego lub serwisu www inspektor ma prawo żądać udokumentowania udzielonej zgody, której w takim wypadku mogą być w szczególności odpowiednie logi serwera. W tym kontekście pamiętajmy, że w odniesieniu do legalności przetwarzania danych szczególnie chronionych (tzw. danych wrażliwych) ustawodawca stawia wyższe wymagania (por. art. 27 UODO).
  • Zakres i cel przetwarzania danych– należy podać kategorie osób, których dane są przetwarzane (np. pracownicy, klienci e-sklepu), kategorie przetwarzanych danych (dane zwykłe oraz dane wrażliwe) oraz cel w jakim dane takie są przetwarzane (np. w celach realizacji zawartych umów, statystycznych, archiwalnych, marketingowych etc.).
  • Merytoryczna poprawność danych i adekwatność do celu przetwarzania– na żądanie inspektora przedsiębiorca ma obowiązek wykazania merytorycznej poprawności przetwarzanych danych osobowych np. poprzez przedstawienie stosownych dokumentów. Dla spełnienia przesłanki adekwatności (proporcjonalności). Natomiast zgodnie z zasadą adekwatności przedsiębiorca powinien przetwarzać tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne ze względu na cel zbierania danych. Relewantność danych powinna być przy tym oceniania najpóźniej w momencie ich zbierania. Oznacza to, że dane osobowe nie mogą być zbierane „na wszelki wypadek”, tj. bez wykazania celowości ich pozyskania i niezbędności dla realizacji zadań administratora danych.
  • Spełnienie obowiązków informacyjnych– inspektor weryfikuje sposób realizacji wymienionego obowiązku przez przedsiębiorcę, tj. w szczególności czy zakres informacji zawiera określone przepisami ustawy elementy, a ponadto czy poinformowanie ma indywidualny charakter oraz czy informacje zostały przedstawione w sposób zrozumiały dla odbiorcy.
  • Zgłoszenie zbioru do rejestracji – jednym z pierwszych obowiązków przedsiębiorcy przetwarzającego dane osobowe jest rejestracja zbioru danych w rejestrze zbiorów danych prowadzonym przez GIODO (wyjątki od tej zasady zostały wskazane enumeratywnie w art. 43 ust. 1 UODO). Inspektorzy poddają badaniu w szczególności treść zgłoszenia oraz stan faktyczny odnoszący się do informacji podanych w zgłoszeniu. Inspektorzy weryfikują również czy ewentualne zmiany zostały zgłoszone GIODO w terminie wskazanym w ustawie.
  • Zabezpieczenie danych – jednym z podstawowych obowiązków administratora danych jest zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Środki te powinny zostać opisane w Polityce bezpieczeństwa i wdrożone w jednostce przetwarzania danych. Inspektorzy w sposób szczegółowy kontrolują wykonanie tych obowiązków przez przedsiębiorcę. Co do zasady, przepisy nie precyzują jakimi środkami należy się posłużyć, aby zapewnić właściwą ochronę przetwarzania danych. Decyzję w tym zakresie podejmuje administrator danych. Skuteczność zastosowanych środków podlega następnie weryfikacji w ramach prowadzonej kontroli. Pamiętajmy, że w przypadku przetwarzania danych w systemie informatycznym, gdzie przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną, a tak będzie w przypadku zdecydowanej większości e-sklepów oraz serwisów www, konieczne jest zastosowanie wysokiego poziomu zabezpieczeń. Minimalne wymogi w tym zakresie określa załącznik do przywołanego wyżej rozporządzenia.
  • Przekazywanie danych do państwa trzeciego – w sytuacji, gdy dane osobowe są przekazywane poza terytorium Unii Europejskiej, inspektor weryfikuje spełnienie przesłanek legalizujących takie działania oraz ocenia czy zostały zastosowane odpowiednie środki techniczne i organizacyjne zabezpieczające dane.
  • Powierzenie przetwarzania danych osobowych podmiotowi trzeciemu – prawo  dopuszcza sytuację, w której administrator danych powierza innemu podmiotowi przetwarzanie danych osobowych. W tym celu wymagane jest zawarcie umowy w formie pisemnej. Treść umowy jest następnie weryfikowana przez inspektorów i stanowi załącznik do protokołu kontroli.

 

3.       Jak przebiega kontrola ?

 

Zazwyczaj kontrole prowadzane przez upoważnionych inspektorów są zapowiadane z kilkudniowym wyprzedzeniem - w pierwszej kolejności telefonicznie, a następnie pisemnie lub faksem z informacją o ogólnym przedmiocie kontroli, terminie dokonania czynności. Zawiadomienie zawiera również prośbę o przygotowanie dokumentacji dotyczącej przetwarzania danych. Wcześniejsze zawiadomienie przedsiębiorcy ma na celu usprawnienie przebiegu kontroli oraz daje ostatnią szanse na usunięcie dostrzeżonych nieprawidłowości. Należy jednak pamiętać, że kontrola może być również przeprowadzona bez zapowiedzi w szczególności, gdy okoliczności sprawy wskazują, iż przedsiębiorca mógłby ukryć dowody, które świadczą o popełnieniu przez niego czynu zabronionego wskazanego w ustawie.

Przed rozpoczęciem kontroli inspektor jest zobowiązany do okazania legitymacji służbowej, imiennego upoważnienia do przeprowadzenia czynności kontrolnych oraz do pouczenia kontrolowanego przedsiębiorcy o jego prawach i obowiązkach.

Zazwyczaj kontrole przeprowadzają inspektorzy w zespołach kontrolnych składających się z trzech osób – dwóch prawników oraz jednego informatyka którego zadaniem jest sprawdzenie systemów informatycznych służących do przetwarzania danych osobowych oraz elektronicznych baz danych.

Zgodnie z przepisami ustawy inspektorzy przeprowadzają czynności kontrolne w godzinach od 6.00 do 22.00, przy czym zazwyczaj odbywają się one w godzinach pracy kontrolowanego przedsiębiorcy. Całkowity czas kontroli waha się od kilku dni do nawet kilku tygodni, w przypadku dużych podmiotów.

Kontrolę przeprowadza się w siedzibie podmiotu kontrolowanego przedsiębiorcy, jak również w innych miejscach gdzie dane osobowe są przetwarzane, w tym także w miejscu przechowywania dokumentacji zawierającej dane osobowe.

Inspektorom przysługuje szereg uprawnień w ramach przeprowadzanej kontroli, które obejmują:

  • wstęp do pomieszczeń, w których przetwarzane są dane osobowe,
  • żądanie pisemnych lub ustnych wyjaśnień, zarówno bezpośrednio od kontrolowanego przedsiębiorcy, jak i od wszystkich osób, które wykonują na jego rzecz jakiekolwiek operacje na danych osobowych,
  • wzywanie i przesłuchiwanie osób w zakresie niezbędnym do ustalenia stanu faktycznego,
  •  wgląd do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii,
  • przeprowadzanie oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych,
  • zlecanie ekspertyz i opinii, przy czym w praktyce są to zwykle rzadkie przypadki i mają charakter wyjątkowy.

Obowiązkiem przedsiębiorcy jest umożliwienie inspektorowi przeprowadzenie kontroli, a w szczególności czynnie uczestniczyć w przeprowadzanych czynnościach kontrolnych oraz spełnić żądania, które wskazałem w pkt 1-5 powyżej.

W efekcie przeprowadzonej kontroli sporządzany jest protokół, którego jeden egzemplarz doręcza kontrolowanemu przedsiębiorcy. Protokół powinien zostać podpisany przez inspektora i kontrolowanego przedsiębiorcę, który może na tym etapie wnieść do protokołu umotywowane zastrzeżenia i uwagi. W razie odmowy podpisania protokołu przez kontrolowanego przedsiębiorcę, inspektor czyni o tym wzmiankę w protokole, a odmawiający podpisu może, w terminie 7 dni, przedstawić swoje stanowisko na piśmie GIODO. Na podstawie zebranego w toku kontroli materiału dowodowego inspektor przedstawia wnioski z kontroli. Jeżeli na ich podstawie zostanie stwierdzone naruszenie przepisów o ochronie danych osobowych, inspektor ma obowiązek wystąpić do GIODO o zastosowanie środków określonych w ustawie.

 

Przeczytaj odcinek 5 tutaj.

CDN.

 

 

Marcin Kroll
Prawnik

Hasik, Wiński i Partnerzy sp.p.

 

 

2014-03-20

Dodaj nowy komentarz

CAPTCHA
Poniższe zadanie ma na celu stwierdzenie, czy jesteś człowiekiem, a tym samym przeciwdziałanie spamowi.
Graficzne pułapki CAPTCHA
Wprowadź znaki widoczne na obrazku.

Newsletter

Prawo e-commerce
Ochrona danych osobowych
Baza certyfikatów

Baza certyfikatów

Baza certyfikatów

Ochrona konsumentów

Ochrona konsumentów

Ochrona konsumentów

Ochrona konsumentów

Zobacz certyfikat

Ochrona konsumentów