Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: maj 2013

ZAKTUALIZOWANO: WRZESIEŃ 2014


Kontrola GIODO w przedszkolu


Opracował: Łukasz Zegarek, prawnik, ekspert kancelarii prawnej Lex Artist, specjalizujący się w dziedzinie ochrony danych osobowych


Podstawa prawna:


  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182),
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100 poz. 1024),
  • Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz.U. z 2013 r. poz. 267 ze zm.).


Wszystkie obowiązki związane z ochroną danych osobowych są zawarte w Ustawie o ochronie danych osobowych – dalej zwanej uodo. Wspomniany akt prawny precyzuje, że każdy administrator danych (a więc każda placówka oświatowa) ma obowiązek m.in. odpowiedniego zabezpieczenia przetwarzanych danych osobowych, rejestracji zbiorów danych, opracowania specjalnej dokumentacji, upoważnienia wszystkich pracowników przetwarzających dane osobowe. Na straży wspomnianych obowiązków stoi specjalnie w tym celu powołana instytucja – Generalny Inspektor Ochrony Danych Osobowych (GIODO). Aby uczynić działania tego urzędu skutecznymi, ustawodawca wyposażył go w uprawnienia kontrolne oraz narzędzia mające na celu egzekucję przepisów prawa (od decyzji administracyjnej nakazującej usunięcie uchybień aż po karę finansową do 50 tys. złotych).

       

Istota kontroli

               

Najprościej rzecz ujmując, kontrola jest „ogółem czynności zmierzających do porównania stanu faktycznego ze stanem postulowanym” (E. Iserzon, Prawo administracyjne, Warszawa 1968, s. 174). W tym przypadku będzie to oznaczać, że kontrola GIODO jest zbadaniem faktycznej działalności placówki oświatowej pod kątem realizacji przepisów o ochronie danych osobowych. Przepisami tymi będzie przede wszystkim Ustawa o ochronie danych osobowych oraz Rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.


Oczywiście kontrola GIODO może odbyć się tylko i wyłącznie na mocy ściśle określonych zasad. Zostały one sprecyzowane przede wszystkim we wspomnianej wcześniej Ustawie. Podstawą do przeprowadzania kontroli w przedszkolu jest art. 12 pkt 1 uodo., stanowiący, że „do zadań Generalnego Inspektora w szczególności należy: kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych”. Ponadto art. 14–19 uodo. zawierają szczegółowy opis zasad przeprowadzania kontroli. Wspomniane przepisy określają zarówno niezbędne elementy, z których muszą się składać upoważnienia inspektorów i protokoły kontroli, jak i dokładne uprawnienia inspektorów oraz opis postępowania w przypadku wykrycia nieprawidłowości. O wszystkich powyższych aspektach kontroli będzie mowa w dalszej części artykułu.


Opis kontroli


Co do zasady, kontrole GIODO są zapowiadane – inspektor odpowiedniego departamentu zawiadamia dyrektora o planowanej kontroli z co najmniej tygodniowym wyprzedzeniem. Powiadomienie może dotrzeć do przedszkola w dowolnej formie: za pośrednictwem faksu, telefonu lub poczty. Zapowiadanie kontroli nie jest jednak obowiązkiem GIODO, jest to jedynie przyjęta dobra praktyka, choć trzeba przyznać, że realizowana przez urząd z konsekwencją. Na stronie internetowej GIODO można znaleźć informacje, że niezapowiedziane kontrole przeprowadza się tylko wówczas, gdy istnieje podejrzenie, że kontrolowany mógłby ukryć dowody świadczące o popełnieniu przez niego czynu zabronionego wskazanego w Ustawie.


Jeśli chodzi o czas trwania kontroli, to w przypadku placówek oświatowych nie jest on niestety ograniczony żadnymi przepisami i za każdym razem jest indywidualnie wyznaczany przez GIODO. Będzie on adekwatny do rodzaju i zakresu kontroli oraz wielkości kontrolowanej placówki – zupełnie inny jest czas trwania kontroli w przedszkolach w niewielkich miejscowościach (ok. dwóch dni roboczych), zupełnie inny w placówkach w dużych miastach (ok. pięciu dni roboczych).


Kontrole mogą być przeprowadzane w godzinach 6.00–22.00. Praktyka wskazuje jednak, że odbywają się one najczęściej w godzinach 8.00–16.00, czyli w tzw. godzinach pracy. Miejscem kontroli jest zawsze siedziba kontrolowanego podmiotu. Zakres przestrzenny kontroli może jednak wykroczyć poza mury przedszkola w przypadku, gdyby dane osobowe administrowane przez placówkę były też przetwarzane przez zewnętrzne podmioty.


Inspektorzy GIODO


Kontrole przeprowadzane są przeważnie przez dwóch, maksymalnie trzech inspektorów, przynajmniej jednego prawnika oraz informatyka. Podstawą rozpoczęcia kontroli przez inspektorów są łącznie: imienne upoważnienie nadane przez GIODO oraz ważna legitymacja służbowa. Gdyby więc kontrolę w placówce chciał przeprowadzić inspektor powołujący się wyłącznie na legitymację służbową (bez stosownego upoważnienia do przeprowadzenia kontroli), nie ma obowiązku wpuszczać go na teren przedszkola. Identycznie należy postąpić w odwrotnym przypadku (jest upoważnienie, ale brak legitymacji).