Fajgielski Paweł, Czynności kontrolne wykonywane przez kontrolujących z Urzędu Ochrony Danych Osobowych

Czynności kontrolne przeprowadzają osoby upoważnione przez Prezesa Urzędu Ochrony Danych Osobowych, z reguły w miejscu, w którym kontrolowany prowadzi działalność (realizuje procesy przetwarzania danych osobowych). Ustawa z 10.05.2018 r. o ochronie danych osobowych (Dz.U. poz. 1000 ze zm.) – dalej u.o.d.o. – określa zakres uprawnień kontrolerów i obowiązki kontrolowanych. W piśmiennictwie zwraca się uwagę, że do kontroli działalności przedsiębiorców sprawowanej przez kontrolujących z Urzędu Ochrony Danych Osobowych nie mają zastosowania przepisy ustawy – Prawo przedsiębiorców przewidujące ograniczenia dotyczące kontroli, gdyż przepisy ustawy o ochronie danych osobowych mają charakter przepisów szczególnych (por. P. Fajgielski, Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2018, s. 864).

Niektóre czynności związane z kontrolą leżą w kompetencjach Prezesa Urzędu, natomiast pozostałe realizowane są przez kontrolujących upoważnionych do przeprowadzenia kontroli. Czynności kontrolne podejmowane przez kontrolujących są czynnościami faktycznymi (czynnościami materialno-technicznymi).

Czynności kontrolne prowadzone są przez kontrolujących, którymi – zgodnie z art. 79 ustawy z 10.05.2018 r. o ochronie danych osobowych (Dz.U. poz. 1000 ze zm.) – dalej u.o.d.o. – mogą być pracownicy Urzędu Ochrony Danych Osobowych lub członkowie bądź pracownicy organu nadzorczego państwa członkowskiego Unii Europejskiej (w przypadku wspólnych operacji organów nadzorczych, prowadzonych zgodnie z art. 62 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE; Dz.Urz. UE L z 2016 r. Nr 119, s. 1, z późn. zm.) – dalej RODO.

Jeżeli przeprowadzenie czynności kontrolnych wymaga wiedzy specjalistycznej, Prezes Urzędu może upoważnić (zgodnie z art. 82 u.o.d.o.) do udziału w kontroli osobę posiadającą tego rodzaju wiedzę.

Kontrolujący ma obowiązek zachować w tajemnicy informacje, o których dowiedział się w toku kontroli.

Aby kontrolujący mogli podjąć czynności kontrolne, konieczne jest wydanie im imiennych upoważnień do przeprowadzenia kontroli.

W upoważnieniu wskazane być powinny informacje istotne dla przebiegu kontroli takie jak:

1) wskazanie podstawy prawnej przeprowadzenia kontroli;

2) oznaczenie organu;

3) imię i nazwisko, stanowisko służbowe kontrolującego oraz numer legitymacji służbowej, a w przypadku kontrolującego, będącego pracownikiem organu nadzorczego innego państwa członkowskiego UE – imię i nazwisko oraz numer dokumentu potwierdzającego tożsamość;

4) określenie zakresu przedmiotowego kontroli;

5) oznaczenie kontrolowanego;

6) wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności kontrolnych;

7) podpis Prezesa Urzędu;

8) pouczenie kontrolowanego o jego prawach i obowiązkach;

9) datę i miejsce jego wystawienia.

Elementy upoważnienia określa art. 81 ust. 2 u.o.d.o., natomiast wzór upoważnienia określony został w rozporządzeniu wykonawczym do ustawy.

Przepisy ustawy o ochronie danych osobowych nie nakładają na Prezesa Urzędu ani też na kontrolujących obowiązku informowania o zamiarze przeprowadzenia kontroli. W praktyce jednak organ nadzorczy kontynuuje praktykę zapoczątkowaną przez GIODO – informowania o zamiarze kontroli. Należy jednak podkreślić, że skoro nie ma prawnego obowiązku zawiadamiania o zamiarze przeprowadzenia kontroli, to może się wyjątkowo zdarzyć, iż kontrola zostanie przeprowadzona bez uprzedzenia. Dzieje się tak wówczas, gdy informacje, którymi dysponuje organ, wskazują na bardzo poważne nieprawidłowości przy przetwarzaniu danych, a informowanie mogłoby pociągać za sobą obawę, że podmiot kontrolowany będzie usiłował zatrzeć ślady bądź ukryć dowody naruszających prawo działań.