Ustawa o ochronie danych osobowych zawiera zamknięty katalog osób, które są uprawnione do wszczęcia kontroli przestrzegania przepisów o ochronie danych osobowych.

I tak wśród podmiotów właściwych do wszczęcia kontroli znajdują się:

a) pracownicy Urzędu Ochrony Danych Osobowych;
b) w przypadku prowadzenia wspólnych operacji organów nadzorczych – członkowie lub pracownicy innego organu nadzorczego państwa członkowskiego Unii Europejskiej.

Pomimo tego, że w określonych sytuacjach inne osoby spoza katalogu wskazanego powyżej będą mogły wziąć udział w prowadzeniu kontroli, to jednak tylko te enumeratywnie wymienione podmioty mogą doprowadzić do skutecznego jej wszczęcia.

Więcej na ten temat przeczytasz i o innych zmianach przeczytasz w książce:

RODO Jak przygotować się do kontroli>>>

Kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową, a w przypadku kontrolującego, po okazaniu imiennego upoważnienia wraz z dokumentem potwierdzającym tożsamość.

Imienne upoważnienie do przeprowadzenia kontroli powinno zawierać:

1) wskazanie podstawy prawnej przeprowadzenia kontroli;
2) oznaczenie organu;
3) imię i nazwisko, stanowisko służbowe kontrolującego oraz numer legitymacji
służbowej, a w przypadku kontrolującego, imię i nazwisko oraz numer dokumentu potwierdzającego tożsamość;
4) określenie zakresu przedmiotowego kontroli;
5) oznaczenie kontrolowanego;
6) wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia czynności
kontrolnych;
7) podpis Prezesa Urzędu;
8) pouczenie kontrolowanego o jego prawach i obowiązkach;
9) datę i miejsce jego wystawienia.

Aktualnie obowiązująca ustawa o ochronie danych osobowych z 10 maja 2018 r. w przeciwieństwie do swojego odpowiednika z 29 sierpnia 1997 r. nie zawiera upoważnienia do uregulowania w drodze rozporządzenia treści imiennego upoważnienia do przeprowadzenia kontroli.

Niezbędne przy kontroli jest pouczenie kontrolowanego o jego prawach i obowiązkach. Zgodnie z art. 15 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie kontroli, a w szczególności umożliwić przeprowadzenie czynności oraz spełnić żądania, o których mowa w art. 14 pkt 1–4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, polegające na:

– umożliwieniu wstępu inspektorom, w godzinach od 6.00 do 22.00, za okazaniem niniejszego imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym jest zlokalizowany zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą o ochronie danych osobowych,

– żądaniu złożenia pisemnych lub ustnych wyjaśnień oraz wzywania i przesłuchiwania osoby w zakresie niezbędnym do ustalenia stanu faktycznego,

– umożliwieniu wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii,

– przeprowadzaniu oględzin urządzeń, nośników oraz systemów in informatycznych służących do przetwarzania danych.

Z czynności kontrolnych inspektor sporządza protokół, którego jeden egzemplarz doręcza kontrolowanemu administratorowi danych. Protokół podpisują inspektor i kontrolowany administrator danych, który może wnieść do protokołu umotywowane zastrzeżenia i uwagi. W razie odmowy podpisania protokołu przez kontrolowanego administratora danych inspektor czyni o tym wzmiankę w protokole, a odmawiający podpisu może, w terminie 7 dni, przedstawić swoje stanowisko na piśmie Generalnemu Inspektorowi.

Czytaj też:

RODO 2019. Plusy i minusy zmian od 4 maja>>>

Poza upoważnieniem, osoby uprawnione do wszczęcia kontroli, obowiązane są przedstawić również:

- legitymację służbową – w przypadku pracownika Urzędu Ochrony Danych Osobowych;

- dokument potwierdzający tożsamość – w przypadku członka lub pracownika innego organu nadzorczego państwa członkowskiego Unii Europejskiej.

Z uwagi na to, że utrudnianie przeprowadzenia kontroli zagrożone jest odpowiedzialnością karną, należy podejmować tylko takie działania, które są uzasadnione okolicznościami. W przypadku dostrzeżenia braków w upoważnieniu czy legitymacji służbowej uniemożliwienie rozpoczęcia i przeprowadzenia kontroli przez osoby je przedstawiające jako niezawinione nie będzie się mieściło w dyspozycji art. 108 ustawy o ochronie danych osobowych i jako takie nie będzie karalne.