Fajgielski Paweł, Kontrola przeprowadzana przez GIODO

Kontrola przeprowadzana przez GIODO

Zgodnie z art. 175 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), art. 1, art. 2, art. 3 ust. 1, art. 4-7, art. 14-22, art. 23-28, art. 31 oraz rozdziały 4, 5 i 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723) zachowują moc w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie, w terminie do dnia wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016, str. 89).

Zgodnie z art. 166 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), z dniem wejścia w życie przedmiotowej ustawy Generalny Inspektor Ochrony Danych Osobowych staje się Prezesem Urzędu Ochrony Danych Osobowych. Osoba, która została powołana na stanowisko Generalnego Inspektora Ochrony Danych Osobowych, na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723), pozostaje na stanowisku do czasu upływu kadencji, na którą została powołana.

Jednym z podstawowych zadań Generalnego Inspektora Ochrony Danych Osobowych jest sprawowanie kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych (art. 12 pkt 1 u.o.d.o.). Uprawnienia kontrolne GIODO są typowymi uprawnieniami inspekcyjnymi, z uwagi na to, że inspekcja stanowi jedną z form kontroli administracyjnej, charakteryzującą się tym, że wykonywana jest przez bezpośredni wgląd organu kontrolującego w działalność jednostki kontrolowanej (por. J. Jagielski, Kontrola administracji publicznej, Warszawa 2006, s. 35). Kontrola sprawowana jest w oparciu o kryterium legalności, natomiast organ właściwy w sprawach ochrony danych osobowych nie ma uprawnień do dokonywania kontroli według innych kryteriów (np. gospodarności). Kontrola inicjowana być może z urzędu lub na wniosek. Ustawa o ochronie danych osobowych określa zakres uprawnień kontrolerów i obowiązki kontrolowanych.

Kontrola sprawowana przez inspektorów Biura GIODO nie stanowi postępowania administracyjnego kończącego się wydaniem decyzji. Jednakże stwierdzone podczas kontroli nieprawidłowości mogą być podstawą wszczęcia przez GIODO postępowania administracyjnego zmierzającego do wydania nakazu przywrócenia stanu zgodności z prawem. Kontrola może być także elementem postępowania wyjaśniającego, służącego ustaleniu, czy doszło do naruszenia przepisów o ochronie danych osobowych, w przypadku gdy w danej sprawie wszczęto już wcześniej postępowanie administracyjne.

Kontrola może być przeprowadzona na wniosek. Najczęściej inicjatywa taka pochodzi od osób, których dane poddawane są przetwarzaniu (podmiotów danych, składających skargi do GIODO, bądź wnioskujących o przeprowadzenie kontroli) lub od podmiotów publicznych (m.in. Najwyższej Izby Kontroli, Państwowej Inspekcji Pracy).

Kontrola może być podjęta z inicjatywy GIODO. W praktyce kontrola z urzędu ma miejsce w sytuacji, gdy ujęta została uprzednio w harmonogramie kontroli (kontrola planowa) albo w przypadku, gdy organ uzyskał informacje uzasadniające przeprowadzenie kontroli (np. w mediach opisane zostały nieprawidłowości związane z przetwarzaniem danych osobowych).