Procedury
Status: Aktualna
Wersja od: 25 maja 2018 r.
Autor:

Działania pokontrolne podejmowane przez Prezesa Urzędu Ochrony Danych Osobowych

Działania pokontrolne podejmowane przez Prezesa Urzędu Ochrony Danych Osobowych

Czynności pokontrolne (realizowane przez Prezesa Urzędu Ochrony Danych Osobowych, następcę prawnego GIODO) uznawane są w piśmiennictwie przedmiotu za ostatni etap kontroli (szerzej: P. Fajgielski, Kontrola przetwarzania i ochrony danych osobowych. Studium teoretyczno-prawne, Lublin 2008, s. 266 i n.). W zależności od wyników przeprowadzonej kontroli Prezesa Urzędu jest zobowiązany do podjęcia działań zmierzających do przywrócenia stanu zgodnego z prawem i pociągnięcia do odpowiedzialności osób winnych naruszeń. W przypadku stwierdzenia naruszenia przepisów o ochronie danych osobowych, Prezes Urzędu powinien wszcząć postępowanie zmierzające do przywrócenia stanu zgodnego z prawem. W przypadku stwierdzenia uchybień przez konkretne osoby, Prezes Urzędu może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia się naruszeń. Ponadto Prezes Urzędu ma obowiązek zawiadomienia organów ścigania w sytuacji, gdy działania podmiotu kontrolowanego wyczerpują znamiona przestępstwa. Prezes Urzędu może również kierować wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych oraz wnioski o podjęcie inicjatywy ustawodawczej albo o wydanie lub zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.

Krok: uznanie, że mogło dojść do naruszenia przepisów o ochronie danych osobowych

Analiza protokołu kontroli prowadzić może do wniosku, że w działaniach podmiotu kontrolowanego mogło dojść do naruszenia przepisów o ochronie danych osobowych. Naruszenia dotyczyć mogą różnego rodzaju nieprawidłowości w procesach przetwarzania danych osobowych, w szczególności: braku podstawy dopuszczalności przetwarzania danych; nieprzestrzegania zasad ochrony danych osobowych; nierespektowania uprawnień osób, których dane poddawane są przetwarzaniu; bezprawnego udostępniania lub odmowy udostępniania danych; nienależytego zabezpieczenia danych bądź niezgłoszenia naruszenia ochrony danych organowi nadzorczemu.

Krok: wszczęcie postępowania w sprawie naruszenia przepisów o ochronie danych osobowych

Prezes Urzędu wszczyna postępowanie administracyjne, w sprawie naruszenia przepisów o ochronie danych osobowych. Efektem tego postępowania może być wydanie decyzji nakazującej przywrócenie stanu zgodnego z prawem oraz nałożenie administracyjnej kary pieniężnej.

Krok: ocena, czy naruszenie przepisów o ochronie danych stanowi podstawę do odpowiedzialności dyscyplinarnej bądź porządkowej

Naruszenie przepisów o ochronie danych osobowych może stanowić jednocześnie naruszenie podstawowych obowiązków pracowniczych przez osoby przetwarzające dane. Nie chodzi tu jedynie o naruszenie przepisów RODO i ustawy o ochronie danych osobowych, ale także o naruszenie wewnętrznych regulacji odnoszących się do ochrony danych, takich jak: polityka bezpieczeństwa, czy też instrukcje postępowania przyjęte przez administratora lub podmiot przetwarzający. W przypadku naruszenia obowiązków pracowniczych możliwe jest pociągnięcie pracownika do odpowiedzialności.

Krok: żądanie wszczęcia postępowania dyscyplinarnego

Prezes Urzędu nie ma kompetencji do prowadzenia postępowań dyscyplinarnych, może jedynie żądać wszczęcia tego rodzaju postępowania i poinformowania o jego wynikach.

Krok: przeprowadzenie postępowania dyscyplinarnego

W przypadku osób zatrudnionych w ramach umowy o pracę, naruszenie zasad ochrony danych osobowych może być podstawą odpowiedzialności porządkowej, o której mowa w art. 108 i n. k.p., natomiast w odniesieniu do pracowników mianowanych – przedmiotem odpowiedzialności dyscyplinarnej lub porządkowej, w oparciu o pragmatyki zawodowe (np. ustawa z 21.11.2008 r. o służbie cywilnej). Postępowanie prowadzone być powinno zgodnie z właściwymi przepisami Kodeksu pracy lub odpowiednich pragmatyk zawodowych, w których to przepisach określone są m.in. podmioty właściwe do prowadzenia tego postępowania (pracodawca, rzecznik dyscyplinarny, komisja dyscyplinarna), tryb postępowania oraz sankcje za naruszenie obowiązków pracowniczych (np. upomnienie, nagana). W skrajnym przypadku możliwe jest nawet rozwiązanie umowy o pracę bez wypowiedzenia z winy pracownika w razie ciężkiego naruszenia przez pracownika podstawowych obowiązków pracowniczych (przy czym nie jest to kara porządkowa). Prowadzone postępowanie może również doprowadzić do uznania, że pracownik nie ponosi odpowiedzialności za zaistniałe uchybienia.

Krok: poinformowanie Prezesa Urzędu o wynikach przeprowadzonego postępowania dyscyplinarnego

Niezależnie od wyników przeprowadzonego postępowania (od tego czy osoba została ukarana, czy nie) podmiot, który prowadził postępowanie ma obowiązek poinformować Prezesa Urzędu o wynikach przeprowadzonego postępowania i podjętych działaniach.

Krok: ocena, czy naruszenie przepisów o ochronie danych stanowi przestępstwo

Naruszenie przepisów art. 107–108 ustawy z 10.05.2018 r. o ochronie danych osobowych (Dz.U. poz. 1000 ze zm.) – dalej u.o.d.o. stanowi przestępstwo. Ustawodawca przewidział taką kwalifikację prawną do następujących działań naruszających przepisy ustawy o ochronie danych osobowych bezprawne przetwarzanie danych (art. 107 u.o.d.o.) oraz udaremnianie lub utrudnianie kontrolującym prowadzenia kontroli (art. 108 u.o.d.o.).

Krok: skierowanie do prokuratury zawiadomienia o popełnieniu przestępstwa

W przypadku gdy działania wyczerpują znamiona jednego z wskazanych powyżej przestępstw, Prezes Urzędu ma obowiązek skierowania do organu powołanego do ścigania przestępstw zawiadomienia o popełnieniu przestępstwa oraz dołączyć dowody dokumentujące to podejrzenie. Na postanowienie o odmowie wszczęcia postępowania organ może złożyć zażalenie.

Krok: ocena, czy istnieje potrzeba zwrócenia się o zapewnienie skutecznej ochrony

Krok: skierowanie wystąpienia

W przypadku stwierdzenia, że istnieje potrzeba zwrócenia się o zapewnienie skutecznej ochrony, Prezes Urzędu może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia, w których wskaże dostrzeżone problemy i sposoby ich rozwiązania.

Krok: ocena, czy istnieje potrzeba podjęcia inicjatywy ustawodawczej albo wydania lub zmiany aktów prawnych

Krok: skierowanie wniosku o podjęcie inicjatywy ustawodawczej albo o wydanie lub zmianę aktów prawnych

Jeżeli Prezes Urzędu uzna, że konieczne jest wydanie lub zmiana przepisów szczególnych dotyczących ochrony danych osobowych, powinien skorzystać z przysługującego mu uprawnienia do skierowania wniosku o podjęcie inicjatywy ustawodawczej albo o wydanie lub zmianę aktów prawnych.