ABC

zasad kontroli
przetwarzania
danychosobowych
BIURO GENERALNEGO INSPEKTORA
OCHRONY DANYCH OSOBOWYCH
ul. Stawki 2, 00-193 Warszawa
tel.: (22) 860 70 81
fax: (22) 860 70 86
kancelaria@giodo.gov.pl
www.giodo.gov.pl

Opracowanie: Bogusawa Pilc

Dyrektor Departamentu
Inspekcji Biura GIODO

Copyright by GIODO

ISBN 978-83-7666-152-0

Druk: Wydawnictwo Sejmowe

Wydanie drugie poprawione
Warszawa, grudzie 2011
 Wprowadzenie

Pojcie kontrola naley do poj bdcych w powszechnym uyciu. Wy-

stpuje ono w jzyku potocznym, publicystyce, pimiennictwie naukowym.
Naley rwnie zauway, i rozumienie tego pojcia nie stwarza wikszych
problemw ijego sens znaczeniowy pojmowany jest wsposb wmiar jednoli-
ty. Na potrzeby niniejszego opracowania istotne jest traktowanie kontroli jako
funkcji.
Kontrola traktowana wkategoriach funkcjonalnych iprzedmiotowych znaj-
duje odzwierciedlenie w licznych definicjach formuowanych w doktrynie,
zwaszcza prawa administracyjnego, np. M. Jaroszyski okrela kontrol wspo-
sb bardzo zwizy, stwierdzajc, i jest ni sprawdzenie stanu faktycznego
(M. Jaroszyski, M. Zimmermann, W. Brzeziski, Polskie prawo administracyj-
ne, cz oglna, Warszawa 1956, s.440). Zdaniem E. Iserzona zkolei kontrol
jest og czynnoci zmierzajcych do ustalenia faktycznego stanu rzeczy, po-
czony zporwnaniem stanu istniejcego ze stanem planowanym (E. Iserzon,
Prawo administracyjne, Warszawa 1968, s.174). Wpimiennictwie wystpuj
te bardziej rozbudowane definicje kontroli, np. J. Starociak przedstawia, e
kontrola polega na obserwowaniu, ustalaniu czy wykrywaniu stanu faktycz-
nego, porwnywaniu rzeczywistoci z zamierzeniami, wystpowaniu przeciw
zjawiskom niekorzystnym isygnalizowaniu jednostkom kompetentnym doko-
nanych spostrzee bez decydowania jednak ozmianie kierunku dziaania
jednostki skontrolowanej (J. Starociak, Zarys nauki administracji, Warszawa
1971, s.356). Wedug W. Dawidowicza kontrol mona scharakteryzowa jako
dziaanie obejmujce: zbadanie istniejcego stanu rzeczy; zestawienie tego co
istnieje, ztym co by powinno, co przewiduj odpowiednie wzorce czy normy
postpowania, isformuowanie na tej podstawie odpowiedniej oceny; wprzy-
padku rozbienoci midzy stanem faktycznym astanem podanym usta-
lenie przyczyn tych rozbienoci i sformuowanie zalece, majcych na celu
wskazanie sposobw usunicia niepodanych zjawisk ujawnionych przez kon-
trol (W. Dawidowicz, Zagadnienia ustroju administracji pastwowej wPolsce,
Warszawa 1970, s.34).
Biorc pod uwag powysze pogldy oraz potoczne znaczenie sowa kon-
trola, mona stwierdzi, e kontrola jest funkcj, ktrej istota tkwi w spraw-
dzaniu i ocenianiu okrelonej dziaalnoci. Prawo tworzy instytucje kontroli,
ktre maj uprawnienia do podejmowania dziaa kontrolnych wobec okrelo-
nego krgu podmiotw, apodmioty te nie mog si od kontroli uchyla. Ustawa
zdnia 29sierpnia 1997 r. oochronie danych osobowych (dalej: ustawa; tekst

5
jedn. Dz.U. z 2002 r. Nr 101, poz. 926 z pn. zm.) zobowizuje Generalne-
go Inspektora Ochrony Danych Osobowych (dalej: Generalny Inspektor albo
GIODO) do szeroko pojmowanych zada kontrolnych w zakresie zgodnoci
przetwarzania danych z przepisami o ochronie danych osobowych. Realizo-
wana przez Generalnego Inspektora funkcja kontrolna czy si zmoliwoci
wadczego oddziaywania na podmioty kontrolowane. Dziaalno wadcza
w przypadku naruszenia przepisw o ochronie danych osobowych polega
wszczeglnoci na wydawaniu decyzji administracyjnych nakazujcych przy-
wrcenie stanu zgodnego zprawem.
Niniejsze opracowanie przedstawia podstawowe zasady wykonywania zada
kontrolnych GIODO jako organu, ktry stoi na stray przysugujcego kade-
mu prawa do ochrony danych osobowych.

I. Zadania kontrolne Generalnego Inspektora

Ustawa oochronie danych osobowych wart.12 pkt1 wskazuje, i do zada

Generalnego Inspektora Ochrony Danych Osobowych naley wszczeglnoci
kontrola zgodnoci przetwarzania danych z przepisami o ochronie danych
osobowych. Przepisy te zawarte zostay wustawie oochronie danych osobo-
wych oraz wwydanym na podstawie art.39a ustawy rozporzdzeniu Mini-
stra Spraw Wewntrznych iAdministracji zdnia 29 kwietnia 2004 r. wsprawie
dokumentacji przetwarzania danych osobowych oraz warunkw technicznych
iorganizacyjnych, jakim powinny odpowiada urzdzenia isystemy informa-
tyczne suce do przetwarzania danych osobowych (Dz.U. Nr100, poz.1024;
dalej: rozporzdzenie).
Celem kontroli jest ustalenie stanu faktycznego w zakresie przestrzegania
przez podmiot kontrolowany przepisw o ochronie danych osobowych oraz
udokumentowanie dokonanych ustale.
Kontrole przeprowadzaj inspektorzy wzespoach kontrolnych skadajcych
si najczciej ztrzech osb dwch pracownikw (prawnikw) Departamentu
Inspekcji Biura GIODO oraz jednego pracownika (informatyka) Departamen-
tu Informatyki Biura GIODO. Czynnoci kontrolne na miejscu s dokony-
wane wsiedzibie kontrolowanego podmiotu oraz winnym miejscu (np. jedno-
stce organizacyjnej) wskazanym jako obszar przetwarzania danych osobowych.
Kontroli poddawane s zarwno podmioty sektora publicznego, jak ipodmioty
prywatne, ktre wart.3 ustawy zostay wskazane jako podmioty zobowizane
do ochrony danych osobowych podmioty przetwarzajce dane osobowe.

6
 II. Zakres podmiotowy uprawnie kontrolnych
Generalnego Inspektora

Zakres podmiotowy uprawnie kontrolnych Generalnego Inspektora jest

bardzo szeroki. Jak ju wskazano, kontroli poddawane s podmioty nalece do
sfery publicznej iprywatnej. Mona dokona podziau tych podmiotw, biorc
pod uwag posiadanie przez nie statusu administratora danych, bd brak ta-
kiego statusu. Kontrola przetwarzania danych osobowych obejmuje zarwno
administratorw danych podlegajcych obowizkowi zgoszenia zbioru do re-
jestracji, jak te administratorw danych, ktrzy zmocy ustawy s zobowizku
rejestracji zwolnieni. Ponadto zauway naley, e w przypadku gdy admini-
strator danych sam nie przetwarza danych, lecz zleca to innemu podmiotowi
(zleceniobiorcy) wdrodze umowy zawartej na pimie, na zasadach okrelonych
wart.31 ustawy, kontroli podlega rwnie ten podmiot (zleceniobiorca). Zatem
obowizki zwizane zkontrol ci nie tylko na administratorze danych, lecz
take odpowiednio na podmiocie zajmujcym si przetwarzaniem danych
na podstawie tzw. umowy powierzenia.

1. Podmioty publiczne
Zgodnie zart.3 ust.1 ustawa ma zastosowanie do organw pastwowych,
organw samorzdu terytorialnego oraz do pastwowych ikomunalnych jed-
nostek organizacyjnych. Podmioty te, jako nalece do sektora publicznego,
mog decydowa o celu i rodkach przetwarzania danych w ramach zada
przyznanych im przepisami prawa. Kontrol mog by objte np. Kancelaria
Prezydenta RP, Kancelaria Sejmu, Kancelaria Senatu, Kancelaria Prezesa Rady
Ministrw, ministerstwa, sdy, prokuratury, jednostki policji, urzdy skarbowe,
publiczne zakady opieki zdrowotnej, Zakad Ubezpiecze Spoecznych, gminy,
powiaty, wojewdztwa iinne.

2. Podmioty prywatne
Drug grup podmiotw objtych kontrol stanowi podmioty prywatne:
podmioty niepubliczne realizujce zadania publiczne (np. prywatne za-
kady opieki zdrowotnej, prywatne szkoy iprzedszkola);
osoby fizyczne iosoby prawne (np. spki zo.o., spki akcyjne, stowa-
rzyszenia, fundacje, spdzielnie) oraz jednostki organizacyjne niebd-
ce osobami prawnymi (np. niemajce osobowoci prawnej spki prawa
handlowego); objte s one zakresem stosowania ustawy, jeeli przetwa-

7
 rzaj dane wzwizku zdziaalnoci zarobkow, zawodow lub dla reali-
zacji celw statutowych (art.3 ust.2 pkt2 ustawy).

Ustawa obejmuje te podmioty prywatne, ktre maj siedzib albo miejsce

zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w pastwie trze-
cim, oile przetwarzaj dane osobowe przy wykorzystaniu rodkw technicz-
nych znajdujcych si na terytorium Rzeczypospolitej Polskiej (art. 3 ust. 3
ustawy). Podmioty te mog realizowa takie cele istosowa takie rodki wza-
kresie przetwarzania danych osobowych, ktre wnaturalny sposb wynikaj ze
specyfiki prowadzonej przez nie dziaalnoci.

3. Ograniczenia podmiotowe kontroli

Generalny Inspektor ma ograniczone prawo kontroli wobec nastpujcych
podmiotw:
administratorw danych;
administratorw danych dotyczcych czonkw kocioa lub innego
zwizku wyznaniowego o uregulowanej sytuacji prawnej, przetwarza-
nych na potrzeby kocioa lub zwizku wyznaniowego;
Agencji Bezpieczestwa Wewntrznego, Agencji Wywiadu, Suby
Kontrwywiadu Wojskowego, Suby Wywiadu Wojskowego oraz Cen-
tralnego Biura Antykorupcyjnego wodniesieniu do danych, ktre zo-
stay uzyskane wwyniku czynnoci operacyjno-rozpoznawczych przez
funkcjonariuszy tych podmiotw.

Wobec wymienionych podmiotw Generalny Inspektor lub upowanieni

przez niego pracownicy Biura GIODO (inspektorzy) posiadaj zredukowane
uprawnienia kontrolne. Wszczeglnoci nie maj prawa:
wstpu do pomieszczenia, w ktrym zlokalizowany jest zbir danych
oraz do pomieszczenia, wktrym przetwarzane s dane poza zbiorem;
przeprowadzania wpomieszczeniu kontrolowanego podmiotu niezbd-
nych bada lub innych czynnoci wcelu oceny zgodnoci przetwarzania
danych zustaw;
wgldu do wszelkich dokumentw iwszelkich danych majcych bezpo-
redni zwizek zprzedmiotem kontroli;
sporzdzania kopii dokumentw idanych;
przeprowadzania ogldzin urzdze, nonikw oraz systemw informa-
tycznych sucych do przetwarzania danych;
zlecania sporzdzania ekspertyz iopinii;

8
 wydawania decyzji administracyjnych, w tym decyzji nakazujcych
przywrcenie stanu zgodnego zprawem;
rozpatrywania skarg wsprawach wykonania przepisw oochronie da-
nych osobowych;
dania wszczcia postpowania dyscyplinarnego lub innego przewi-
dzianego prawem postpowania przeciwko osobom winnym dopuszcze-
nia do uchybie.

Wobec tych podmiotw Generalny Inspektor moe jedynie da zoenia

pisemnych lub ustnych wyjanie oraz wzywa iprzesuchiwa osoby wzakre-
sie niezbdnym do ustalenia stanu faktycznego.

III. Zakres przedmiotowy uprawnie kontrolnych

Generalnego Inspektora

Podczas kontroli przestrzegania przepisw oochronie danych osobowych in-

spektor zwraca szczegln uwag na nastpujce kwestie:
1. Przesanki legalnoci przetwarzania danych osobowych podmiot
kontrolowany powinien wykaza co najmniej jedn zprzesanek legal-
noci przetwarzania danych, ktre zostay wymienione wart.23 ustawy.
Gdy np. podstaw prawn przetwarzania danych jest zgoda osoby, ktrej
one dotycz inspektor da udokumentowania zgody; dowodem moe
by wszczeglnoci owiadczenie na pimie, nagranie bd kady inny
nonik informacji dokumentujcy wyraon zgod. Gdy zkolei dane s
niezbdne do realizacji umowy, ktrej dana osoba jest stron inspektor
da przedstawienia treci tej umowy;
2. Przesanki legalnoci przetwarzania danych szczeglnie chronio-
nych podmiot kontrolowany jest obowizany do przedstawienia
dowodw legalnoci przetwarzania danych iwykazania, e spenia co
najmniej jedn z podstaw prawnych wymienionych w art. 27 ust. 2
ustawy. Gdy t podstaw jest przepis szczeglny innej ustawy, wwczas
kontrolowany podmiot powinien precyzyjnie okreli dany przepis
poprzez jego przedstawienie ipodanie nazwy aktu prawnego, zktrego
pochodzi;
3. Zakres icel przetwarzania danych kontrolowany podmiot jest obo-
wizany poda kategorie osb (np. pracownicy, uczniowie, czonkowie,
klienci) oraz kategorie przetwarzanych danych i ich zakres (dane tzw.

9
 zwyke np. imi, nazwisko, adres zamieszkania, data urodzenia, stan
cywilny; dane szczeglnie chronione iich zakres np. stan zdrowia, kod
genetyczny, naogi, pochodzenie rasowe, pogldy polityczne, religijne),
atake wskaza cel, wjakim dane przetwarza (np. marketingowy, podat-
kowy, archiwalny);
4. Merytoryczna poprawno danych iich adekwatno do celu przetwa-
rzania kontrolowany podmiot jest obowizany wykaza merytoryczn
poprawno, np. poprzez okazanie dokumentw, ktre potwierdzaj po-
prawn pisowni kwestionowanego imienia, nazwiska czy daty urodzenia
danej osoby. Badajc adekwatno danych, inspektor szczegowo anali-
zuje wszystkie ich elementy oraz cel, wjakim s przetwarzane. Kontrolo-
wany podmiot musi zkolei uzasadni potrzeb posiadania danych osobo-
wych wstosunku do celu przetwarzania, wjakim je pozyska (podmiot
prywatny). Wprzypadku podmiotw publicznych wymagane jest poda-
nie przepisu uprawniajcego do przetwarzania okrelonych danych.
5. Obowizek informacyjny inspektor sprawdza, wjaki sposb jest reali-
zowany obowizek poinformowania kadej osoby, ktrej dane dotycz,
tj. czy zakres informacji uwzgldnia odrbnie uregulowane dwie sytuacje
dotyczce rda pozyskania danych (od osoby, ktrej dane dotycz
art.24 ustawy, inie od osoby, ktrej dane dotycz art.25), azatem czy
zawiera okrelone przepisami ustawy elementy, aponadto czy poinfor-
mowanie ma indywidualny charakter iczy informacje zostay przedsta-
wione wsposb zrozumiay dla odbiorcy;
6. Zgoszenie zbioru do rejestracji inspektor sprawdza, czy prowadzone
przez podmiot kontrolowany zbiory danych nie podlegaj wmyl art.43
ust.1 ustawy zwolnieniu zobowizku rejestracji. Jeli obowizek rejestracji
zaistnia idokonano zgoszenia zbiorw do rejestracji badana jest bardzo
szczegowo tre wypenionego formularza zgoszenia (wzr zosta opu-
blikowany wakcie wykonawczym do ustawy) oraz stan faktyczny odnosz-
cy si do informacji podanych wzgoszeniu. Inspektor ustala ponadto, czy
ewentualna zmiana, wzakresie informacji podanych wzgoszeniu, zostaa
Generalnemu Inspektorowi zgoszona wterminie wskazanym wustawie;
7. Przekazywanie danych do pastwa trzeciego inspektor sprawdza,
czy kontrolowany podmiot uwzgldni co najmniej jedn zprzesanek
wymienionych w art. 47 ustawy, zezwalajcych na legalne przekazanie
danych poza obszar UE. Ponadto dokonuje oceny, czy zostay zastosowa-
ne odpowiednie rodki techniczne iorganizacyjne zabezpieczajce dane,
oktrych mowa wustawie irozporzdzeniu;

10
 8. Powierzenie przetwarzania danych osobowych (art.31 ustawy) in-
spektor sprawdza, czy umowa powierzenia zostaa sporzdzona na pi-
mie, a nastpnie szczegowo bada jej tre; umowa powinna m.in.
precyzyjnie okrela zakres danych przekazanych do przetwarzania oraz
podstaw icel przetwarzania. Kopia umowy, potwierdzona za zgodno
przez administratora danych, jest zaczana do protokou i szczego-
wo opisywana. Ponadto moe by przeprowadzona kontrola podmiotu,
ktremu zlecono przetwarzanie danych. Wtakim przypadku inspektor
bada, czy dane s przetwarzane zgodnie zpostanowieniami umowy po-
wierzenia (wszczeglnoci, jeli chodzi ozakres danych iwskazany cel)
oraz czy podmiot, ktremu powierzono przetwarzanie danych, podj
rodki zabezpieczajce okrelone wprzepisach oochronie danych oso-
bowych;
9. Zabezpieczenie danych jednym zpodstawowych celw kontroli jest
sprawdzenie zgodnoci przetwarzania danych zprzepisami oochronie
danych osobowych zwizanych zbezpieczestwem przetwarzanych da-
nych (rozdz. V ustawy oraz przywoane rozporzdzenie Ministra Spraw
Wewntrznych i Administracji). Inspektor ocenia, czy administrator
danych zgodnie z art. 36 ust. 1 ustawy zastosowa rodki techniczne
i organizacyjne zapewniajce ochron przetwarzanych danych osobo-
wych odpowiedni do zagroe oraz kategorii danych objtych ochro-
n, awszczeglnoci czy wodpowiedni sposb zabezpieczy dane przed
ich udostpnieniem osobom nieupowanionym, zabraniem przez osob
nieuprawnion, przetwarzaniem znaruszeniem ustawy, zmian, utrat,
uszkodzeniem, lub zniszczeniem.

Przepisy oochronie danych osobowych nie precyzuj, jakimi rodkami naley

si posuy, aby zapewni waciw ochron przetwarzania danych. Ouyciu
rodkw danego rodzaju decyduje administrator, askuteczno zastosowanych
rozwiza podlega badaniom wczasie kontroli. Wymogi dotyczce zabezpie-
czenia danych odnosz si zarwno do danych przetwarzanych wsposb trady-
cyjny, jak ido danych przetwarzanych wsystemach informatycznych.
Wtoku kontroli ustala si, czy:
wszystkie osoby biorce udzia w procesie przetwarzania danych, tj.
uczestniczce w jakichkolwiek operacjach wykonywanych na danych
osobowych, takich jak: zbieranie, utrwalanie, przechowywanie, opraco-
wywanie, zmienianie, udostpnianie, usuwanie posiadaj upowanie-
nie nadane przez administratora danych (art.37 ustawy);

11
 kontrolowany podmiot prowadzi ewidencj osb upowanionych do
przetwarzania danych (art.39 ust.1 ustawy), zawierajc:
a) imi inazwisko osoby upowanionej,
b) dat nadania upowanienia,
c) dat ustania upowanienia,
d) zakres upowanienia,
e) identyfikator, jeeli dane przetwarzane s wsystemie informatycz-
nym;
osoby upowanione do przetwarzania danych zachowuj te dane oraz
sposb ich zabezpieczenia wtajemnicy (art.39 ust.2 ustawy);
administrator danych wyznaczy administratora bezpieczestwa infor-
macji (art.36 ust.3 ustawy), tj. osob lub osoby nadzorujce przestrze-
ganie zasad ochrony, chyba e sam sprawuje nadzr. Inspektor bada
rwnie, wjaki sposb jest wykonywany taki nadzr m.in. czy zostay
opracowane procedury okrelajce obowizki wtym zakresie, czy nad-
zr jest sprawowany sukcesywnie, w jakim przedziale czasowym, czy
obejmuje wszystkie zagadnienia dotyczce zastosowanych zabezpiecze
iczy jest skuteczny;
administrator danych zapewni kontrol nad tym, jakie dane osobowe,
kiedy iprzez kogo zostay do zbioru wprowadzone oraz komu s przeka-
zywane (udostpniane) art.38 ustawy. Inspektor bada rwnie sposb
sprawowania takiej kontroli;
urzdzenia isystemy informatyczne speniaj wymogi bezpieczestwa.
Ocen bezpieczestwa rozpoczyna inspektor od analizy dokumentw
okrelajcych polityk bezpieczestwa kontrolowanego podmiotu wza-
kresie ochrony fizycznej obiektw, kontroli dostpu do poszczeglnych
systemw informatycznych iusug sieciowych oraz wzakresie ochrony
zasobw informatycznych przed nieuprawnionym dostpem, przejciem
lub zniszczeniem przy uyciu szkodliwego programowania i narzdzi
(tzw. wirusy, robaki, konie trojaskie, rootkity itp.).

Elementy kontroli urzdze isystemw informatycznych:

1) bezpieczestwo fizyczne podstawowymi elementami oceny s: sposb
zabezpieczenia obiektw ipomieszcze, gdzie znajduj si systemy in-
formatyczne inoniki informacji, na ktrych przechowywane s kopie
zapasowe lub archiwalne danych, oraz pomieszcze, gdzie zlokalizowane
s urzdzenia sieciowe, serwery i stacje robocze. Pomieszczenia takie,
zgodnie z wymagan polityk bezpieczestwa, powinny by wskazane

12
 jako obszar przetwarzania danych ( 4 pkt 1 rozporzdzenia). Inspek-
tor dokonujc oceny sprawdza m.in.:
form realizacji ochrony fizycznej z udziaem czynnika ludzkiego
(np. system organizacji suby ochrony),
budowlane urzdzenia zabezpieczajce (np. drzwi stalowe, kraty
stalowe, rolety przeciwwamaniowe, okiennice iszyby zabezpiecza-
jce otwory okienne),
urzdzenia fizycznej kontroli dostpu do pomieszcze (np. zamki,
kdki, zasuwy, blokady),
elektroniczne urzdzania zabezpieczajce przed wamaniem ipoa-
rem (np. sygnalizacja wamania lub napadu, sygnalizacja poaru,
system wideo nadzoru),
elektroniczny system kontroli dostpu, zrejestracj operacji otwie-
rania izamykania pomieszcze przez osoby uprawnione.
Stosowanie ktregokolwiek zwymienionych rodkw powinno by uza-
lenione od wystpujcych zagroe wzakresie zapewnienia poufno-
ci, integralnoci itzw. rozliczalnoci przetwarzanych danych;
2) bezpieczestwo systemw informatycznych przed przystpieniem do
kontroli inspektor zapoznaje si z architektur uywanych systemw
oraz lokalizacj i struktur prowadzonych zbiorw danych. Podstawo-
wym dokumentem wymaganym od kontrolowanego podmiotu jest po-
lityka bezpieczestwa (3 rozporzdzenia), ktra zgodnie z4 pkt24
rozporzdzenia powinna zawiera:
wykaz zbiorw danych osobowych wraz ze wskazaniem programw
zastosowanych do przetwarzania danych;
opis struktury zbiorw danych wskazujcy zawarto poszczegl-
nych pl informacyjnych ipowizania midzy nimi;
sposb przepywu danych pomidzy poszczeglnymi systemami.
Na podstawie uzyskanych informacji, ustalonych kategorii danych oraz spo-
sobu korzystania ze rodkw teletransmisji inspektor ocenia poziom bez-
pieczestwa, jaki powinien by zastosowany: podstawowy, podwyszony bd
wysoki.
Zgodnie z6 rozporzdzenia, wyrniajcym poziomy bezpieczestwa prze-
twarzania danych osobowych, przyjmuje si, e:
poziom co najmniej podstawowy stosuje si, gdy:
1) wsystemie informatycznym nie s przetwarzane dane, oktrych mowa
wart.27 ustawy,
oraz

13
 2) adne zurzdze systemu informatycznego, sucego do przetwarzania
danych osobowych nie jest poczone zsieci publiczn (6 pkt2);
poziom co najmniej podwyszony stosuje si, gdy:
1) wsystemie informatycznym przetwarzane s dane osobowe, oktrych
mowa wart.27 ustawy,
oraz
2) adne zurzdze systemu informatycznego, sucego do przetwarzania
danych osobowych nie jest poczone zsieci publiczn (6 pkt3);
poziom wysoki stosuje si, gdy przynajmniej jedno urzdzenie syste-
mu informatycznego, sucego do przetwarzania danych osobowych,
poczone jest zsieci publiczn (6 pkt4).

Ostatnim etapem kontroli bezpieczestwa systemw jest szczegowe spraw-

dzenie stosowanych procedur zarzdzania systemami informatycznymi su-
cymi do przetwarzania danych osobowych oraz kontrola zastosowanych rod-
kw bezpieczestwa. Dokumentem, ktry na tym etapie kontroli inspektor
wnikliwie analizuje, jest wskazana w3 rozporzdzenia instrukcja zarzdzania
systemem informatycznym sucym do przetwarzania danych osobowych,
ktra zgodnie z5 rozporzdzenia powinna okrela:
1) procedury nadawania uprawnie do przetwarzania danych irejestrowa-
nia tych uprawnie wsystemie informatycznym oraz wskazanie osoby odpo-
wiedzialnej za te czynnoci;
2) stosowane metody i rodki uwierzytelnienia oraz procedury zwizane
zich zarzdzaniem iuytkowaniem;
3) procedury rozpoczcia, zawieszenia i zakoczenia pracy przeznaczone
dla uytkownikw systemu;
4) procedury tworzenia kopii zapasowych zbiorw danych oraz programw
inarzdzi programowych sucych do ich przetwarzania;
5) sposb, miejsce iokres przechowywania;
a) elektronicznych nonikw informacji zawierajcych dane osobowe,
b) kopii zapasowych, oktrych mowa wpkt4;
6) sposb zabezpieczenia systemu informatycznego przed dziaalnoci
oprogramowania, oktrym mowa wpktIII ppkt1 zacznika do rozporzdze-
nia [tj. oprogramowania szkodliwego];
7) sposb realizacji wymogw, oktrych mowa w7 ust.1 pkt4 [rozporz-
dzenia, tj. dotyczcych rejestracji informacji, kto, kiedy ijakie dane wprowadza
do systemu, zjakiego rda dane te pochodziy oraz kiedy ijakim odbiorcom
byy udostpniane];

14
 8) procedury wykonywania przegldw ikonserwacji systemw oraz noni-
kw informacji sucych do przetwarzania danych.

Podkrelenia wymaga, e inspektor wtoku czynnoci kontrolnych weryfikuje

zarwno tre instrukcji, jak rwnie sprawdza, czy deklarowane procedury oraz
rodki ochrony s rzeczywicie stosowane. Badany jest mechanizm logowania
iuwierzytelnienia si uytkownika kadego systemu czy te moduu programowe-
go oraz system kontroli uprawnie. Wsytuacji, gdy zakres przetwarzanych danych
wymaga stosowania rnych poziomw uprawnie dla poszczeglnych grup uyt-
kownikw ocenie poddawane s mechanizmy, ktre kontrol tak umoliwiaj.
W przypadku systemw teleinformatycznych szczegowej kontroli pod-
dawane s zastosowane mechanizmy ochrony teletransmisji. Podstawowym
wymogiem jest zabezpieczenie informacji przesyanych drog teletransmisji
przed udostpnieniem ich osobom nieuprawnionym oraz przed utrat, uszko-
dzeniem lub zniszczeniem danych. Podczas kontroli zastosowanych w tym
zakresie rozwiza brane s pod uwag przyjte rodki ochrony kryptogra-
ficznej, jak rwnie sposb zarzdzania kluczami kryptograficznymi ihasami.
Wprzypadku, gdy kontrolowany podmiot wykorzystuje do przetwarzania da-
nych komputery przenone lub do przekazywania danych poza swoj siedzib
korzysta z elektronicznych nonikw informacji przedmiotem kontroli jest
sposb ich kryptograficznego zabezpieczenia.
Elementem kontroli bezpieczestwa systemw teleinformatycznych jest tak-
e ich funkcjonalno. Zgodnie bowiem z 7 rozporzdzenia przedmiotem
szczegowej kontroli wtym zakresie jest ustalenie, czy:
1. Dla kadej osoby, ktrej dane osobowe s przetwarzane wsystemie infor-
matycznym zwyjtkiem systemw sucych do przetwarzania danych oso-
bowych ograniczonych wycznie do edycji tekstu wcelu udostpnienia go na
pimie system ten zapewnia odnotowanie:
1) daty pierwszego wprowadzenia danych do systemu;
2) identyfikatora uytkownika wprowadzajcego dane osobowe do systemu,
chyba e dostp do systemu informatycznego iprzetwarzanych wnim danych
posiada wycznie jedna osoba;
3) rda danych, w przypadku zbierania danych nie od osoby, ktrej one
dotycz;
4) informacji oodbiorcach, wrozumieniu art.7 pkt6 ustawy, ktrym dane
osobowe zostay udostpnione, dacie i zakresie tego udostpnienia, chyba e
system informatyczny uywany jest do przetwarzania danych zawartych wzbio-
rach jawnych;

15
 5) sprzeciwu, oktrym mowa wart.32 ust.1 pkt8 ustawy.
2. Odnotowanie informacji, oktrych mowa wust.1 pkt1 ipkt2, nastpu-
je automatycznie po zatwierdzeniu przez uytkownika operacji wprowadzenia
danych.
3. Dla kadej osoby, ktrej dane osobowe s przetwarzane wsystemie infor-
matycznym, system zapewnia sporzdzenie iwydrukowanie raportu zawieraj-
cego wpowszechnie zrozumiaej formie informacje, oktrych mowa wust.1.
4. W przypadku przetwarzania danych osobowych, w co najmniej dwch
systemach informatycznych, wymagania, oktrych mowa wust.1 pkt4, mog
by realizowane wjednym znich lub wodrbnym systemie informatycznym
przeznaczonym do tego celu.

IV. Rodzaje kontroli

Kontrola zurzdu wykonywana zinicjatywy wasnej Generalnego Inspek-

tora. Stanowi ona konsekwencj obowizku zrealizowania zada kontrolnych
naoonych przez ustaw, wszczeglnoci wtoku postpowa rejestracyjnych
prowadzonych przez Departament Rejestracji Zbiorw Danych Osobowych
oraz wtoku rozpatrywania skarg dokonywanych przez Departament Legislacji,
Orzecznictwa iSkarg.
Kontrola na wniosek pozostaje rwnie wsferze wykonywania zada kon-
trolnych przez Generalnego Inspektora, natomiast inspiracja do podjcia ipro-
wadzenia okrelonej kontroli pochodzi zzewntrz, od innego podmiotu (np.
Najwyszej Izby Kontroli, Pastwowej Inspekcji Pracy, prokuratury, zwizkw
zawodowych, pracodawcw, osoby fizycznej).
Kontrola kompleksowa dotyczy wszystkich zbiorw danych osobowych
prowadzonych przez kontrolowanego administratora danych oraz obejmuje
swoim zakresem wszystkie wymogi okrelone wprzepisach oochronie danych
osobowych, majce zastosowanie wdziaalnoci danego podmiotu.
Kontrola czciowa dotyczy zwykle poszczeglnych zagadnie wprocesie
przetwarzania danych bdcych przedmiotem skargi, takich jak legalno po-
zyskiwania danych skarcego, sposb dopenienia obowizku informacyjnego
wobec skarcego, czy te problemw pojawiajcych si w toku postpowa
rejestracyjnych, np. podstawy prawnej, zakresu danych, celu przetwarzania da-
nych czyli zgodnoci informacji podanych wzgoszeniu zbioru ze stanem fak-
tycznym. Przedmiotem kontroli moe te by wycznie kwestia zabezpieczenia
danych osobowych, dopenienie obowizku rejestracyjnego lub tym podobne.

16
 Kontrola sektorowa kompleksowa lub czciowa wskazana wrocznym har-
monogramie kontroli, dotyczca wybranej kategorii podmiotw lub zagadnie.

V. Uprawnienia inspektora ochrony danych osobowych

Wcelu wykonania zada wzakresie kontroli zgodnoci przetwarzania danych

zprzepisami oochronie danych osobowych, Generalny Inspektor, zastpca Gene-
ralnego Inspektora lub upowanieni przez niego inspektorzy wyposaeni zostali
wszerokie kompetencje do podejmowania okrelonych czynnoci kontrolnych
(art.14 ustawy). Zatem uprawnienie do kontroli wynika bezporednio zustawy
oochronie danych osobowych. Zasad jest, e kontrole, prowadzane przez in-
spektorw upowanionych przez Generalnego Inspektora lub jego zastpc, s
zazwyczaj zapowiadane zkilkudniowym wyprzedzeniem. Podmioty, ktre maj
by poddane kontroli, informowane s wpierwszej kolejnoci telefonicznie, ana-
stpnie na pimie (faksem) przedstawiany jest oglny przedmiot kontroli, ter-
min dokonania czynnoci oraz proba oprzygotowanie dokumentacji dotyczcej
przetwarzania danych. Odpowiednie przygotowanie si danego podmiotu do
kontroli GIODO istotnie wpywa na zapewnienie sprawnego jej przebiegu, co ma
znaczenie zarwno dla tego podmiotu, jak idla inspektorw. Kontrola trwa zwy-
kle kilka dni, jednak jeli dotyczy duych podmiotw, moe zaj ikilka tygodni.
Zgodnie zustaw inspektorzy przeprowadzaj czynnoci kontrolne wgodzi-
nach od 6.00 do 22.00. Wpraktyce zazwyczaj umawiaj si zkontrolowanym
wgodzinach pracy, np. midzy 8.00 a16.00. Zdarza si jednak, e ze wzgldu
na okolicznoci sprawy czynnoci s dokonywane winnych godzinach, np. od
9.00 do 18.00 lub duej.

1. Legitymacja iupowanienie.
Kontrol przeprowadza si wycznie po okazaniu legitymacji subowej in-
spektora Biura GIODO oraz upowanienia imiennego, ktrych wzr okrelony
zosta wzacznikach do rozporzdzenia Ministra Spraw Wewntrznych iAd-
ministracji zdnia 22 kwietnia 2004 r. wsprawie wzorw imiennego upowanie-
nia ilegitymacji subowej inspektora Biura Generalnego Inspektora Ochrony
Danych Osobowych (Dz.U. nr94, poz.923 zpn. zm.) zmienionego rozporz-
dzeniem Ministra Spraw Wewntrznych iAdministracji zdnia 11 maja 2011r.
zmieniajcym rozporzdzenie wsprawie wzorw imiennego upowanienia ile-
gitymacji subowej inspektora Biura Generalnego Inspektora Ochrony Danych
Osobowych (Dz.U. Nr103, poz.601).

17
 Opis wzoru legitymacji inspektora GIODO
awers legitymacji:
legitymacja koloru niebieskiego,
napisy w kolorze czarnym: Rzeczpospolita Polska, Biuro Generalnego
Inspektora Ochrony Danych Osobowych,
numer legitymacji,
orze zgoda RP,
pasek przektny koloru biao-czerwonego;
rewers legitymacji:
legitymacja koloru niebieskiego,
napisy w kolorze czarnym: LEGITYMACJA SUBOWA Inspektora
Ochrony Danych Osobowych wana do..., miejsce na fotografi, miejsce
na piecz, nazwisko, imi, nrewidencyjny PESEL, (podpis wystawcy),
(podpis waciciela),
hologram zliterami wkolorze niebieskim;
wymiary legitymacji:
wysoko legitymacji 90 mm,
szeroko legitymacji 65 mm,
wysoko fotografii 35 mm,
szeroko fotografii 25 mm;
rodzaj papieru izabezpiecze:
gramatura papieru 200,
papier kredowany dwustronnie matowy,
hologram,
wmiejscach wpisu nazwiska iimienia oraz numeru ewidencyjnego PE-
SEL nadruk cienkich linii zabezpieczajcych.

Wzr
upowanienia imiennego do przeprowadzenia czynnoci kontrolnych
....................................................................
(piecz poduna Generalnego Inspektora
Ochrony Danych Osobowych)

L.dz. .....................
Upowanienie imienne
Na podstawie art.12 pkt1 i2wzwizku zart.14 ustawy zdnia 29 sierpnia 1997 r.
oochronie danych osobowych (Dz.U. z2002 r. Nr101, poz.926 iNr153, poz.1271,

18
 z2004 r. Nr25, poz.219 iNr33, poz.285, z2006 r. Nr104, poz.708 i711, z2007 r.
Nr165, poz.1170 iNr176, poz.1238 orazz2010 r. Nr41, poz.233, Nr182, poz.1228
iNr229, poz.1497)
upowaniam

Pani/Pana ................................................................................................................
(imi inazwisko inspektora)
stanowisko subowe ...............................................................................................
nrlegitymacji subowej ..........................................................................................
do przeprowadzenia kontroli:
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
(okrelenie: podmiotu objtego kontrol albo zbioru danych, albo miejsca
poddawanego kontroli)

wzakresie:
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
(okrelenie zakresu przedmiotowego kontroli)

Data rozpoczcia kontroli: ......................................................................................

Przewidywany termin zakoczenia kontroli: .......................................................

Upowanienie jest wane jedynie zrwnoczesnym okazaniem legitymacji

subowej.

...................................................
(miejsce idata
wystawienia upowanienia)

piecz urzdowa
...................................................
(podpis Generalnego Inspektora
Ochrony Danych Osobowych)

19
 Pouczenie kontrolowanego podmiotu ojego prawach iobowizkach
1. Zgodnie zart.15 ust.1 ustawy zdnia 29 sierpnia 1997 r. oochronie danych oso-
bowych kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba
fizyczna bdca administratorem danych osobowych s obowizani umoliwi inspekto-
rowi przeprowadzenie kontroli, awszczeglnoci umoliwi przeprowadzenie czynnoci
oraz speni dania, oktrych mowa wart.14 pkt14 ustawy zdnia 29 sierpnia 1997 r.
oochronie danych osobowych, polegajce na:
umoliwieniu wstpu inspektorom, wgodzinach od 6.00 do 22.00, za okazaniem
niniejszego imiennego upowanienia ilegitymacji subowej, do pomieszczenia,
wktrym jest zlokalizowany zbir danych, oraz pomieszczenia, wktrym prze-
twarzane s dane poza zbiorem danych, iprzeprowadzenia niezbdnych bada
lub innych czynnoci kontrolnych wcelu oceny zgodnoci przetwarzania danych
zustaw oochronie danych osobowych,
daniu zoenia pisemnych lub ustnych wyjanie oraz wzywania iprzesuchi-
wania osoby wzakresie niezbdnym do ustalenia stanu faktycznego,
umoliwieniu wgldu do wszelkich dokumentw iwszelkich danych majcych
bezporedni zwizek zprzedmiotem kontroli oraz sporzdzania ich kopii,
przeprowadzaniu ogldzin urzdze, nonikw oraz systemw informatycznych
sucych do przetwarzania danych.
2. Zgodnie zart.16 ust.1 ustawy zdnia 29 sierpnia 1997 r. oochronie danych oso-
bowych, zczynnoci kontrolnych inspektor sporzdza protok, ktrego jeden egzem-
plarz dorcza kontrolowanemu administratorowi danych. Protok podpisuj inspektor
ikontrolowany administrator danych, ktry moe wnie do protokou umotywowane
zastrzeenia iuwagi (art.16 ust.2 ustawy zdnia 29 sierpnia 1997 r. oochronie danych
osobowych). Wrazie odmowy podpisania protokou przez kontrolowanego administra-
tora danych inspektor czyni otym wzmiank wprotokole, aodmawiajcy podpisu moe,
wterminie 7 dni, przedstawi swoje stanowisko na pimie Generalnemu Inspektorowi
(art.16 ust.3 ustawy zdnia 29 sierpnia 1997 r. oochronie danych osobowych).

..............................................................
(data iczytelny podpis osoby
reprezentujcej kontrolowany podmiot)

Inspektorzy przedstawiaj kontrolowanemu administratorowi wskazane do-

kumenty przed podjciem czynnoci kontrolnych. Wystawc ich jest Generalny
Inspektor lub jego zastpca.

20
 2. Termin iczas kontroli
Inspektorzy Biura GIODO s uprawnieni do przeprowadzenia, bez uprze-
dzenia wgodzinach od 6.00 do 22.00 kontroli zgodnoci przetwarzania danych
osobowych zprzepisami oochronie danych osobowych. Termin kontroli jest
ustalany przez GIODO. Przepisy ustawy zdnia 2 lipca 2004 r. oswobodzie dzia-
alnoci gospodarczej (Dz.U. z2007 r. Nr155 poz.1095) wprowadzaj limity
czasowe wodniesieniu do kontroli odbywajcych si uprzedsibiorcw (art.83
ust.1). Przy ustalaniu terminu iczasu uwzgldnia si wszczeglnoci rodzaj
kontroli (kompleksowa, czciowa), zakres przedmiotowy kontroli i wielko
podmiotu kontrolowanego. Czas trwania czynnoci moe wich toku ulec skr-
ceniu lub przedueniu wzalenoci od okolicznoci danej kontroli.

3. Miejsce kontroli
Kontrol przeprowadza si wsiedzibie podmiotu kontrolowanego oraz win-
nych miejscach wykonywania przez niego zada wprocesie przetwarzania danych,
wtym wmiejscu przechowywania dokumentacji zawierajcej dane osobowe.
Przed podjciem czynnoci kontrolnych inspektorzy Biura GIODO zgaszaj
swoj obecno kontrolowanemu.

4. Wstp do pomieszcze, wktrych przetwarzane s dane osobowe

W ramach powyszego uprawnienia inspektor ma prawo wstpu na teren
kontrolowanego podmiotu oraz do pomieszcze, w ktrych zlokalizowany
jest zbir danych, oraz do pomieszcze, wktrych przetwarzane s dane poza
zbiorem. Jest uprawniony rwnie do przeprowadzania ogldzin budynkw,
pomieszcze lub czci pomieszcze, stanowisk pracy tworzcych obszar,
w ktrym przetwarzane s dane osobowe, jak te przeprowadzania ogldzin
przebiegu procesu ich przetwarzania. Ponadto inspektor ma prawo dokonywa-
nia niezbdnych bada lub innych czynnoci kontrolnych wcelu oceny zgod-
noci przetwarzania danych zustaw.

5. danie pisemnych lub ustnych wyjanie

Inspektor moe zada zoenia pisemnych lub ustnych wyjanie wkwe-
stiach objtych kontrol, zarwno od podmiotu kontrolowanego, jak i od
wszystkich osb, ktre wykonuj na rzecz tego podmiotu jakiekolwiek operacje
na danych osobowych, m.in. takie, jak: zbieranie, utrwalanie, przechowywa-
nie, opracowywanie, zmienianie, udostpnianie iusuwanie, zwaszcza operacje
w systemach informatycznych. Kontrolujcy inspektor decyduje otym, ktre
osoby oka si niezbdne, aby wyjani stan faktyczny. Zasad jest, e wpierw-

21
szej kolejnoci wyjanienia skada administrator danych, ktry opisuje poszcze-
glne etapy procesu przetwarzania danych. Nastpnie informacje przekazuj
pozostae osoby biorce bezporedni udzia wtym procesie.

6. Wzywanie iprzesuchiwanie osb

Inspektor ma prawo wzywa i przesuchiwa osoby w zwizku z przepro-
wadzan kontrol. Moe to by kada osoba, ktra posiada okrelon wiedz
na temat okolicznoci majcych istotne znaczenie dla rozstrzygnicia sprawy.
Przesuchanie osb wcharakterze wiadka nastpuje zwykle podczas badania
legalnoci przetwarzania danych oraz w sytuacji, gdy inne rodki dowodowe
okazay si niewystarczajce do ustalenia stanu faktycznego.

7. Wgld do dokumentw isporzdzanie ich kopii

Korzystajc ze swych uprawnie, inspektor moe da okazania wszelkich
dokumentw idanych majcych bezporedni zwizek zprzedmiotem kontroli,
takich jak statut, pozwolenie na prowadzenie okrelonej dziaalnoci, regulamin
organizacyjny, instrukcja kancelaryjna, wypis zKrajowego Rejestru Sdowego,
umowy (np. umowa powierzenia), decyzje, postanowienia, zarzdzenia i inne
dokumenty okrelajce procedury dotyczce ocenianego procesu przetwarzania
danych. Ponadto inspektor da przedstawienia dokumentacji, ktrej opracowa-
nie jest obowizkowe, tj. polityki bezpieczestwa, instrukcji zarzdzania syste-
mem informatycznym sucym do przetwarzania danych osobowych oraz ewi-
dencji osb upowanionych do przetwarzania danych. Inspektor ma take prawo
sporzdzania kopii wskazanych dokumentw, niezbdnych dla celw kontroli.

8. Ogldziny urzdze, nonikw oraz systemw informatycznych

Wczasie kontroli inspektor moe dokona ogldzin urzdze, elektronicz-
nych nonikw informacji zawierajcych dane osobowe oraz systemu infor-
matycznego. Wykonujc te czynnoci, inspektorzy bior pod uwag w szcze-
glnoci lokalizacj sprztu oraz zastosowane rodki zapewnienia poufnoci,
integralnoci irozliczalnoci danych (2 pkt7, 8 i10 rozporzdzenia), jak te
zapewnienie funkcjonalnoci systemw informatycznych.

9. Zlecanie ekspertyz iopinii

Gdy wtrakcie kontroli inspektor napotka szczeglnie skomplikowane kwe-
stie, wymagajce specjalistycznej wiedzy lub zastosowania odpowiedniego
sprztu, jest uprawniony do zamwienia ekspertyzy czy te opinii na ten temat.
Wpraktyce s to zwykle rzadkie przypadki imaj charakter wyjtkowy.

22
 VI. Organizacja kontroli

W celu przeprowadzenia wszystkich niezbdnych czynnoci kontrolnych

wsposb zgodny zprawem, zapewnienia sprawnego ich przebiegu oraz podj-
cia wszelkich dziaa niezbdnych do dokadnego wyjanienia stanu faktyczne-
go inspektorzy podejmuj okrelone dziaania przygotowawcze.

1. Zebranie materiaw dotyczcych kontroli

Przed podjciem czynnoci kontrolnych inspektorzy wnikliwie przygotowu-
j informacje dotyczce podmiotw, wobec ktrych bd prowadzone kontrole.
Wtym celu m.in. zapoznaj si ze wszelkimi materiaami bdcymi wdyspozycji
statutowych jednostek organizacyjnych Biura GIODO, gwnie Departamentu
Orzecznictwa, Legislacji iSkarg oraz Departamentu Rejestracji Zbiorw Danych
Osobowych. Jednoczenie pozyskuj informacje dostpne wInternecie iinnych
mediach. Analizuj rwnie przepisy, na podstawie ktrych dziaa dany podmiot,
atake orzecznictwo wzakresie problemw stanowicych przedmiot kontroli.

2. Opracowanie planu kontroli

Wcelu wyznaczenia zakresu przedmiotowego kontroli, opracowywany jest
projekt upowanienia do przeprowadzenia kontroli, ktry jest zatwierdzany
przez Generalnego Inspektora lub jego zastpc, zawierajcy m.in. oznaczenie
podmiotu objtego kontrol albo zbioru danych, albo miejsca poddawanego
kontroli, szczegowy zakres kontroli, dat rozpoczcia iprzewidywany termin
zakoczenia kontroli.

VII. Przebieg kontroli

Celem kontroli, jak ju wskazywano, jest ustalenie stanu faktycznego wzakre-

sie przestrzegania przez podmiot kontrolowany przepisw oochronie danych
osobowych oraz udokumentowanie dokonanych ustale. Uczestnikami proce-
su kontroli jest organ kontrolny GIODO oraz podmiot kontrolowany. Ustawa
oochronie danych osobowych wskazuje prawa iobowizki uczestnikw, ktre
maj zapewni osignicie celu kontroli.

1. Obowizki inspektora
Inspektor przeprowadzajcy kontrol jest zobowizany do przestrzegania
uprawnie, ktre przysuguj kontrolowanemu podmiotowi. Zapoznanie kon-

23
trolowanego z jego prawami i obowizkami nastpuje poprzez przedstawienie
mu upowanienia do kontroli zawierajcego pouczenie kontrolowanego pod-
miotu ojego prawach iobowizkach. Osoba uprawniona do reprezentacji tego
podmiotu powiadcza zapoznanie si zpouczeniem poprzez zoenie pod nim
podpisu. Inspektor ma obowizek poinformowa, wjaki sposb kontrolowany
moe domaga si np. wniesienia uwag, zastrzee, poprawek isprostowa do
protokou kontroli. Wadnym wypadku inspektor nie moe przekracza zakresu
upowanienia udzielonego przez Generalnego Inspektora nie moe domaga si
okazania dokumentw lub podawa informacji ookolicznociach, ktre nie maj
zwizku zprzedmiotem kontroli, np. dotyczcych sytuacji finansowej. Wswoim
dziaaniu powinien wykaza si obiektywizmem oraz zachowa wtajemnicy in-
formacje, ktre uzyska wzwizku zwykonywaniem obowizkw subowych.

2. Obowizki kontrolowanego
Kontrolowany ma obowizek umoliwi inspektorowi przeprowadzenie
czynnoci kontrolnych oraz powinien udostpni wszelkie dane dokumen-
ty i noniki informacji zwizane z zakresem kontroli. Na danie inspektora
kontrolowany jest obowizany wyda kopie wskazanych dokumentw oraz tzw.
zrzuty (wydruki) zekranu komputera. Powinien czynnie uczestniczy wpro-
wadzonej kontroli: udziela wyjanie, zapewni terminowe udzielanie infor-
macji przez podlegych pracownikw i inne osoby uczestniczce w procesie
przetwarzania danych, by do dyspozycji w czasie trwania kontroli w celu
zapewnienia sprawnego jej przebiegu.

VIII. Dokumentowanie czynnoci kontrolnych

Poszczeglne czynnoci kontrolne s dokumentowane (utrwalane) w celu

wczenia ich do materiau dowodowego, na podstawie ktrego ustalany jest
stan faktyczny. Inspektorzy sporzdzaj z poszczeglnych czynnoci kontrol-
nych protokoy, ktre stanowi zaczniki do protokou kontroli.
1. Rodzaje protokow zposzczeglnych czynnoci
1) Protok przyjcia ustnych wyjanie zawiera oznaczenie organu
kontroli i jego siedziby, wskazanie wykonujcego t czynno in-
spektora (imi, nazwisko, stanowisko subowe, numer legitymacji
subowej i upowanienia), podstawy prawnej uprawniajcej do
przyjcia wyjanie (art. 14 pkt 2 ustawy), wskazanie osoby ska-
dajcej wyjanienia (imi, nazwisko istanowisko), tre zoonych

24
 wyjanie, dat sporzdzenia protokou, podpis osoby skadajcej
wyjanienia ipodpis inspektora przyjmujcego wyjanienia.
2) Protok przesuchania wiadka zawiera oznaczenie organu kon-
troli ijego siedziby, wskazanie wykonujcego t czynno inspektora
(imi, nazwisko, stanowisko subowe, numer legitymacji subowej
iupowanienia), podstawy prawnej uprawniajcej do przesuchania
(art.14 pkt2 ustawy), pouczenie wiadka ojego prawach iobowiz-
kach, wskazanie osoby przesuchiwanej (imi, nazwisko, adres, miej-
sce pracy, stanowisko subowe), dat sporzdzenia protokou, pod-
pis osoby przesuchiwanej ipodpis inspektora przesuchujcego.
3) Protok ogldzin zawiera oznaczenie organu kontroli ijego sie-
dziby, oznaczenie przedmiotu ogldzin (np. miejsca, pomieszcze,
dokumentw, urzdze, nonikw informacji, systemw informa-
tycznych), podstaw prawn uprawniajc do przeprowadzenia
ogldzin (art.14 pkt4 ustawy), wskazanie wykonujcego t czyn-
no inspektora (imi, nazwisko, stanowisko subowe), wskazanie
osb uczestniczcych w ogldzinach (imi, nazwisko, zajmowane
stanowisko subowe), dat imiejsce ogldzin, szczegowe ustale-
nia, sposb utrwalenia stanu wtoku ogldzin, podpisy osb uczest-
niczcych wczynnoci ogldzin, podpisy inspektora.
2. Protok kontroli zawiera elementy wskazane wart.16 ust.1a ustawy:
1) nazw podmiotu kontrolowanego wpenym brzmieniu ijego adres;
2) imi inazwisko, stanowisko subowe, numer legitymacji subowej
oraz numer upowanienia inspektora;
3) imi inazwisko osoby reprezentujcej podmiot kontrolowany oraz
nazw organu reprezentujcego ten podmiot;
4) dat rozpoczcia izakoczenia czynnoci kontrolnych, zwymienie-
niem dni przerw wkontroli;
5) okrelenie przedmiotu izakresu kontroli;
6) opis stanu faktycznego stwierdzonego wtoku kontroli oraz inne in-
formacje majce istotne znaczenie dla oceny zgodnoci przetwarza-
nia danych zprzepisami oochronie danych osobowych;
7) wyszczeglnienie zacznikw stanowicych skadow cz protokou;
8) omwienie dokonanych wprotokole poprawek, skrele iuzupenie;
9) parafy inspektora iosoby reprezentujcej podmiot kontrolowany na
kadej stronie protokou;
10) wzmiank odorczeniu egzemplarza protokou osobie reprezentu-
jcej podmiot kontrolowany;

25
 11) wzmiank owniesieniu lub niewniesieniu zastrzee iuwag do pro-
tokou;
12) dat i miejsce podpisania protokou przez inspektora oraz przez
osob lub organ reprezentujcy podmiot kontrolowany.

Zacznikami do protokou kontroli s protokoy zposzczeglnych czynno-

ci oraz inne dowody zwizane zkontrol.
Protok kontroli jest sporzdzany przez inspektorw wdwch jednobrzmi-
cych egzemplarzach, zktrych jeden dorcza si kontrolowanemu podmiotowi
lub osobie przez niego upowanionej. Drugi egzemplarz pozostaje w aktach
kontroli. Kontrolowany ma prawo wnie na pimie umotywowane zastrzee-
nia iuwagi zarwno do treci, jak ido ustale zawartych wprotokole. Inspek-
tor jest obowizany rozpatrzy zoone zastrzeenia iuwagi oraz ustosunkowa
si do nich. Osposobie rozpatrzenia tych kwestii kontrolowany podmiot infor-
mowany jest na pimie.
Gdy kontrolowany podmiot odmwi podpisania protokou, inspektor czyni
otym wzmiank wprotokole kontroli. Kontrolowany moe wterminie 7 dni,
od dnia przedstawienia protokou, przedstawi swoje stanowisko na pimie Ge-
neralnemu Inspektorowi.

3. Wnioski zkontroli
Na podstawie zebranego wtoku kontroli materiau dowodowego inspektor
przedstawia wnioski zkontroli. Jeeli na podstawie wynikw kontroli inspek-
tor stwierdzi naruszenie przepisw oochronie danych osobowych, wystpuje
do Generalnego Inspektora o zastosowanie rodkw okrelonych w ustawie
oochronie danych osobowych.

IX. Uprawnienia pokontrolne

Ustawa oochronie danych osobowych wyranie okrela, jakie rodki przy-

suguj Generalnemu Inspektorowi, gdy naruszone zostan przepisy oochronie
danych osobowych.

1. Wszczcie postpowania
Na podstawie wynikw kontroli nastpuje wszczcie postpowania admini-
stracyjnego (art.61 4 k.p.a.). Zawiadomienie owszczciu postpowania prze-
syane jest kontrolowanemu podmiotowi; zawiera ono m.in. wyszczeglnienie

26
stwierdzonych w toku kontroli uchybie, dotyczcych przedmiotu postpo-
wania. Wzawiadomieniu podane s przepisy oochronie danych osobowych,
ktre zostay naruszone (uzasadnienie prawne), oraz opis stanu faktycznego ze
wskazaniem dowodw, na podstawie ktrych zosta on ustalony (uzasadnienie
faktyczne). Ponadto kontrolowany podmiot jest informowany oprawie zoe-
nia dodatkowych wyjanie i o prawie przesania uzupeniajcych dowodw
(np. dokumentw lub wydrukw z systemu informatycznego), potwierdzaj-
cych usunicie stwierdzonych uchybie. Jednoczenie jest okrelony termin,
wjakim moe nastpi realizacja tego prawa. Wsytuacji, gdy kontrolowany nie
skorzysta zprzysugujcego mu uprawnienia, decyzja koczca postpowanie
zostanie wydana na podstawie materiau dowodowego zebranego wtoku kon-
troli, oczym rwnie informowany jest kontrolowany podmiot.

2. Rodzaje decyzji
Wwyniku przeprowadzonej kontroli Generalny Inspektor wydaje decyzje:
1) nakazujc przywrcenie stanu zgodnego z prawem, jeeli zostay na-
ruszone przepisy o ochronie danych osobowych (tre nakazu wynika
zart.18 ustawy);
lub
2) umarzajc postpowanie jako bezprzedmiotowe, jeeli postpowanie
administracyjne zostao wszczte wwyniku stwierdzonych wtoku kon-
troli uchybie, awtrakcie postpowania kontrolowany podmiot je usu-
n iprzywrci stan zgodny zprawem.

Jeeli kontrolowany podmiot kwestionuje skierowan do niego decyzj, moe

zwrci si do Generalnego Inspektora zwnioskiem oponowne rozpatrzenie
sprawy (art. 21 ust. 1 ustawy). Na decyzj Generalnego Inspektora wydan
wprzedmiocie wniosku oponowne rozpatrzenie sprawy przysuguje kontrolo-
wanemu skarga do sdu administracyjnego (art.21 ust.2 ustawy). Wpozosta-
ym zakresie obowizuj przepisy kodeksu postpowania administracyjnego.

3. Wniosek owszczcie postpowania dyscyplinarnego

Na podstawie ustale kontroli inspektor moe da wszczcia postpowania
dyscyplinarnego lub innego przewidzianego prawem postpowania przeciwko
osobom winnym dopuszczenia do uchybie. Kontrolowany podmiot jest obo-
wizany do poinformowania Generalnego Inspektora wokrelonym terminie
owynikach tego postpowania ipodjtych dziaaniach (art.17 ust.2 ustawy).
Wpraktyce Generalny Inspektor kieruje do wskazanego podmiotu wniosek za-

27
wierajcy m.in. wskazanie osb, wobec ktrych danie wszczcia postpowa-
nia jest kierowane. Jednoczenie przedstawia zebrane wtrakcie kontroli dowo-
dy wiadczce owinie tych osb ida woznaczonym terminie przedstawienia
rozstrzygnicia.

4. Zawiadomienie opopenieniu przestpstwa

Jeeli wyniki kontroli bd wskazywa, e dziaanie lub zaniechanie kierow-
nika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej wyczer-
puje znamiona przestpstwa okrelonego wart.49, art.51, art.52, art.53, art.54
lub art.54a ustawy, wwczas Generalny Inspektor jest obowizany skierowa
zawiadomienie o popenieniu przestpstwa do organu powoanego do ciga-
nia przestpstw. Do zawiadomienia doczane s dowody zgromadzone wtoku
czynnoci kontrolnych, dokumentujce podejrzenie popenienia wskazanego
czynu zabronionego. Materia dowodowy, bdcy podstaw skierowania zawia-
domienia, jest zatem pozyskiwany przez inspektorw wwyniku przeprowadze-
nia bezporedniej i szczegowej kontroli wobec podmiotu przetwarzajcego
dane osobowe.

Wybrane pytania iodpowiedzi

Czy kontrola uadministratora danych powinna by wczeniej zapowie-

dziana?
Ustawa oochronie danych osobowych nie reguluje tej kwestii. Jednak przyj
naley, i administrator danych, u ktrego bd prowadzone czynnoci kon-
trolne, powinien by poinformowany oterminie kontroli. Kontrolowany pod-
miot ma wwczas moliwo przygotowania si do kontroli, awszczeglnoci
sprawdzenia dokumentacji, uzupenienia ewentualnych nieprawidowoci, kt-
re mogyby zosta zakwestionowane przez inspektora. Moe rwnie podj
odpowiednie dziaania organizacyjne, ktre pozwol na usprawnienie iprzy-
spieszenie przeprowadzenia czynnoci kontrolnych. Zaznaczy naley, e in-
spektor moe przeprowadzi kontrol bez uprzedzenia, jeeli okolicznoci spra-
wy wskazuj, i kontrolowany mgby ukry dowody, ktre wiadcz opope-
nieniu przez niego czynu zabronionego wskazanego wustawie. Jednake wod-
niesieniu do przedsibiorcw obowizuj regulacje dotyczce zawiadomienia
okontroli. Stosownie do art.79 ust.4 ustawy zdnia 2lipca 2004r. oswobodzie
dziaalnoci gospodarczej (Dz.U. z2007 r. Nr155 poz.1095) kontrol wszczyna

28
si nie wczeniej ni po upywie 7 dni inie pniej ni przed upywem 30 dni
od dnia dorczenia zawiadomienia ozamiarze wszczcia kontroli.

Czy inspektor moe wykonywa czynnoci kontrolne wycznie na

podstawie legitymacji subowej?
Inspektor nie jest uprawniony do wykonywania czynnoci kontrolnych, jeeli
okae wycznie legitymacj subow. Zgodnie zart.14 pkt1 ustawy inspek-
tor przeprowadzajcy kontrol jest obowizany przedstawi kontrolowanemu
podmiotowi rwnie upowanienie imienne wystawione przez Generalnego
Inspektora lub jego zastpc.

Czy wtoku kontroli mog by wzywani iprzesuchiwani wcharakterze

wiadka pracownicy podmiotu kontrolowanego?
Tak. Inspektor moe w czasie trwania postpowania kontrolnego wzywa
iprzesuchiwa osoby, wmyl art.14 pkt2 ustawy, wzakresie niezbdnym do
ustalenia stanu faktycznego. Zatem pracownicy kontrolowanego podmiotu s
obowizani zoy zeznania wsprawie prowadzonej przez inspektora kontroli.

Wjakim terminie inspektor moe przedstawi kontrolowanemu admi-

nistratorowi danych protok kontroli?
Ustawodawca nie wskazuje terminu do przedstawienia kontrolowanemu
administratorowi danych protokou kontroli. W praktyce dokument ten jest
przedstawiany niezwocznie po zakoczeniu wszystkich czynnoci zwizanych
z kontrol. Na termin ma wpyw w szczeglnoci zakres kontroli, wielko
podmiotu kontrolowanego oraz charakter danej sprawy. Gdy np. sprawa jest
szczeglnie skomplikowana, protok kontroli jest dorczany wterminie p-
niejszym.

Kto jest uprawniony do podpisania protokou kontroli?

Protok kontroli podpisuje osoba lub osoby upowanione do reprezentowa-
nia kontrolowanego podmiotu. Wprzypadku penomocnictwa do podpisania
protokou inspektor da jego przedstawienia.

Jak dugo moe trwa kontrola?

Termin trwania kontroli jest uzaleniony m.in. od rodzaju kontroli, zakre-
su kontroli oraz wielkoci kontrolowanego podmiotu. Termin jest ustalany
przez Generalnego Inspektora, gdy przepisy nie przewiduj czasu trwania
kontroli. Jednake w odniesieniu do przedsibiorcw przepisy ustawy z dnia

29
2 lipca 2004 r. oswobodzie dziaalnoci gospodarczej (Dz.U. z2007 r. Nr155
poz. 1095) wskazuj limity czasowe w obrbie danego roku kalendarzowego
(art.83 ust.1).

Czy kontrola moe by przeprowadzona wmieszkaniu prywatnym kon-

trolowanego podmiotu?
Czynnoci kontrolne mog by wykonane wmieszkaniu prywatnym, jeeli
kontrolowany wskaza to mieszkanie jako siedzib swojej firmy imiejsce pro-
wadzenia dziaalnoci.

Czy inspektorzy posiadaj powiadczenie bezpieczestwa dostpu

doinformacji niejawnych?
Inspektorzy, zgodnie zustaw zdnia 5 sierpnia 2010 r. oochronie informacji
niejawnych (Dz.U. Nr182, poz.1228) posiadaj powiadczenie bezpieczestwa,
upowaniajce do dostpu do informacji niejawnych, stanowicych tajemnic
subow, oznaczonych klauzul poufne.

30