Każdy podmiot, który przetwarza dane osobowe, (instytucja publiczna, organizacja pozarządowa, podmiot prywatny) może zostać poddany kontroli, którą przeprowadza UODO.
Istnieją cztery źródła kontroli: skargi wnoszone przez osoby fizyczne, których dane dotyczą (podmiot danych), incydent ochrony danych osobowych zgłoszony przez m.in. podmiot przetwarzający, sam Prezes UODO, który swobodnie wybiera do kontroli podmiot, który przetwarza dane oraz właśnie standardowa kontrola tzw. kontrola planowa.
Warto zwrócić szczególną uwagę na kontrolę podmiotów prywatnych. Bez wątpliwości stwierdzić należy, iż podmiot prywatny to pojęcie bardzo pojemne. Za podmiot prywatny może zostać uznany praktycznie każdy przedsiębiorca, dlatego warto, aby przygotował się on do ewentualnej kontroli planowej.
Założenia kontroli podmiotów prywatnych
Kontrola podmiotów prywatnych będzie dotyczyła prawidłowości spełniania obowiązku informacyjnego określonego w art. 13 i 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Obowiązek informacyjny jest bardzo istotny, gdyż wynika bezpośrednio z RODO, ponadto stwarza podmiotowi danych przestrzeń do uzyskania wiedzy na temat np. danych administratora. W konsekwencji osoba, której dane dotyczą może skorzystać z uprawnień przypisanych jej na gruncie RODO np. skorzystać z prawa do wycofania zgody, złożenia sprzeciwu.
Za nieprzestrzeganie lub naruszenie przepisów RODO, w tym za brak spełnienia obowiązku informacyjnego organ nadzorczy może nałożyć na podmiot administracyjną karę pieniężną, a także może nakazać spełnienie tego obowiązku. W praktyce, kara finansowa może okazać się dla podmiotu przetwarzającego dane bardzo dotkliwa. Znamiennym pozostaje fakt, że Prezes UODO nakłada administracyjne kary pieniężne niezależne od wielkości, branży czy specyfiki danej organizacji.
Działania zgodnie z RODO
Kluczowe jest zrozumienie jak właściwie wypełnić obowiązek informacyjny, aby działać zgodnie z RODO. Zacznijmy zatem od pytania czym jest obowiązek informacyjny? Obowiązek informacyjny to obowiązek przypisany administratorowi danych osobowych, który w sposób prawidłowy musi przekazać informacje o przetwarzaniu danych osobie, której dane dotyczą.
Artykuł 13 RODO dotyczy sytuacji, w których dane osobowe są zbierane bezpośrednio od osoby, której te dane dotyczą. W takim przypadku, administrator danych osobowych musi już w momencie zbierania danych poinformować osobę m.in. o: tożsamości i danych kontaktowych administratora oraz inspektora ochrony danych (jeżeli został wyznaczony), celach przetwarzania danych oraz podstawie prawnej, odbiorcach danych, okresie przechowywania danych, prawach osoby, której dane dotyczą (np. prawo dostępu do danych, prawo do sprostowania, ograniczenia przetwarzania, usunięcia danych) oraz możliwości wniesienia skargi do organu nadzorczego.
Z kolei artykuł 14 RODO dotyczy informacji przekazywanych, które nie zostały pozyskane bezpośrednio od osoby której dotyczą. W takiej sytuacji, administrator musi poinformować o źródle, z którego dane osobowe pochodzą, celu i podstawie prawnej przetwarzania danych, potencjalnych odbiorcach danych, przysługujących prawach.
RODO stanowi, że obowiązek informacyjny można spełnić na piśmie lub w inny sposób (art. 12 ust. 1 RODO). Oznacza to, że katalog możliwych opcji jest otwarty. Warto jednak zapamiętać, że forma pisemna nie jest tożsama z formą elektroniczną. Forma pisemna to przetwarzanie informacji w postaci dokumentów papierowych, natomiast forma elektroniczna to przetwarzanie informacji w postaci plików na komputerze lub innym urządzeniu elektronicznym. Dopuszczalna jest zatem także forma telefoniczna, ustna. Na marginesie należy wskazać, iż forma może być w konkretnych przypadkach narzucona przez przepisy prawa.
RODO wprost wskazuje, że informacje powinny być przekazywane podmiotowi danych w sposób zwięzły, przejrzysty, zrozumiały i w łatwo dostępnej formie, jasnym i prostym językiem.
Klauzula informacyjna
Klasycznym przykładem na spełnienie obowiązku informacyjnego jest zamieszczenie klauzul informacyjnych na stronach internetowych podmiotu. Pamiętajmy, że każda klauzula informacyjna musi być m.in. łatwo dostępna i zrozumiała dla podmiotu danych, odnalezienie klauzul na stronie internetowej nie powinno być zatem trudne i zajmować podmiotowi danych poszukującemu takiego dokumentu zbyt wiele czasu.
Nie zapominajmy o cyklicznych audytach klauzul informacyjnych i innych dokumentów, jeżeli takie istnieją. Sprawdźmy czy w dokumentach znajdują się aktualne dane m.in. w zakresie tożsamości i danych kontaktowych administratora oraz ewentualnego inspektora ochrony danych osobowych. Nie możemy pozostawać także bierni na ewentualnie zmieniające się przepisy o ochronie danych, audyt aktualności dokumentów powinien zatem obejmować także weryfikację poprawności i aktualności przepisów RODO.
W kontekście przestrzegania RODO ma zastosowanie tzw. zasada rozliczalności. Podmiot, który przetwarza dane osobowe jest zobowiązany do wykazania (zarówno UODO jak i podmiotowi danych), iż spełnił obowiązek informacyjny. W konsekwencji, podmiot prywatny musi być przygotowany na przedstawienie dowodów świadczących o spełnieniu przez niego obowiązków informacyjnych. Istnieje wiele narzędzi za pomocą, których możemy udowodnić spełnienie obowiązku informacyjnego, tutaj również mamy do czynienia z tzw. otwartym katalogiem. Tytułem przykładu można wskazać na polityki prywatności, raporty z audytów dokumentacji (w tym klauzul informacyjnych), dokumenty potwierdzające szkolenia z zakresu RODO, powołanie inspektora danych osobowych).
W czasach, gdy świadomość osób fizycznych dotycząca ich uprawnień na gruncie RODO wzrasta, podmiot prywatny nie może pozwolić sobie na nierzetelne przestrzeganie przepisów RODO. Podmiot prywatny działający zgodnie z RODO, w szczególności w sposób prawidłowy realizujący obowiązek informacyjny nie tylko uniknie np. administracyjnych kar pieniężnych, ale także zbuduje w oczach podmiotów danych poczucie profesjonalizmu, bezpieczeństwa, zaufania i transparentności relacji.