Académique Documents
Professionnel Documents
Culture Documents
zasad kontroli
przetwarzania
danychosobowych
BIURO GENERALNEGO INSPEKTORA
OCHRONY DANYCH OSOBOWYCH
ul. Stawki 2, 00-193 Warszawa
tel.: (22) 860 70 81
fax: (22) 860 70 86
kancelaria@giodo.gov.pl
www.giodo.gov.pl
Copyright by GIODO
ISBN 978-83-7666-152-0
5
jedn. Dz.U. z 2002 r. Nr 101, poz. 926 z pn. zm.) zobowizuje Generalne-
go Inspektora Ochrony Danych Osobowych (dalej: Generalny Inspektor albo
GIODO) do szeroko pojmowanych zada kontrolnych w zakresie zgodnoci
przetwarzania danych z przepisami o ochronie danych osobowych. Realizo-
wana przez Generalnego Inspektora funkcja kontrolna czy si zmoliwoci
wadczego oddziaywania na podmioty kontrolowane. Dziaalno wadcza
w przypadku naruszenia przepisw o ochronie danych osobowych polega
wszczeglnoci na wydawaniu decyzji administracyjnych nakazujcych przy-
wrcenie stanu zgodnego zprawem.
Niniejsze opracowanie przedstawia podstawowe zasady wykonywania zada
kontrolnych GIODO jako organu, ktry stoi na stray przysugujcego kade-
mu prawa do ochrony danych osobowych.
6
II. Zakres podmiotowy uprawnie kontrolnych
Generalnego Inspektora
1. Podmioty publiczne
Zgodnie zart.3 ust.1 ustawa ma zastosowanie do organw pastwowych,
organw samorzdu terytorialnego oraz do pastwowych ikomunalnych jed-
nostek organizacyjnych. Podmioty te, jako nalece do sektora publicznego,
mog decydowa o celu i rodkach przetwarzania danych w ramach zada
przyznanych im przepisami prawa. Kontrol mog by objte np. Kancelaria
Prezydenta RP, Kancelaria Sejmu, Kancelaria Senatu, Kancelaria Prezesa Rady
Ministrw, ministerstwa, sdy, prokuratury, jednostki policji, urzdy skarbowe,
publiczne zakady opieki zdrowotnej, Zakad Ubezpiecze Spoecznych, gminy,
powiaty, wojewdztwa iinne.
2. Podmioty prywatne
Drug grup podmiotw objtych kontrol stanowi podmioty prywatne:
podmioty niepubliczne realizujce zadania publiczne (np. prywatne za-
kady opieki zdrowotnej, prywatne szkoy iprzedszkola);
osoby fizyczne iosoby prawne (np. spki zo.o., spki akcyjne, stowa-
rzyszenia, fundacje, spdzielnie) oraz jednostki organizacyjne niebd-
ce osobami prawnymi (np. niemajce osobowoci prawnej spki prawa
handlowego); objte s one zakresem stosowania ustawy, jeeli przetwa-
7
rzaj dane wzwizku zdziaalnoci zarobkow, zawodow lub dla reali-
zacji celw statutowych (art.3 ust.2 pkt2 ustawy).
8
wydawania decyzji administracyjnych, w tym decyzji nakazujcych
przywrcenie stanu zgodnego zprawem;
rozpatrywania skarg wsprawach wykonania przepisw oochronie da-
nych osobowych;
dania wszczcia postpowania dyscyplinarnego lub innego przewi-
dzianego prawem postpowania przeciwko osobom winnym dopuszcze-
nia do uchybie.
9
zwyke np. imi, nazwisko, adres zamieszkania, data urodzenia, stan
cywilny; dane szczeglnie chronione iich zakres np. stan zdrowia, kod
genetyczny, naogi, pochodzenie rasowe, pogldy polityczne, religijne),
atake wskaza cel, wjakim dane przetwarza (np. marketingowy, podat-
kowy, archiwalny);
4. Merytoryczna poprawno danych iich adekwatno do celu przetwa-
rzania kontrolowany podmiot jest obowizany wykaza merytoryczn
poprawno, np. poprzez okazanie dokumentw, ktre potwierdzaj po-
prawn pisowni kwestionowanego imienia, nazwiska czy daty urodzenia
danej osoby. Badajc adekwatno danych, inspektor szczegowo anali-
zuje wszystkie ich elementy oraz cel, wjakim s przetwarzane. Kontrolo-
wany podmiot musi zkolei uzasadni potrzeb posiadania danych osobo-
wych wstosunku do celu przetwarzania, wjakim je pozyska (podmiot
prywatny). Wprzypadku podmiotw publicznych wymagane jest poda-
nie przepisu uprawniajcego do przetwarzania okrelonych danych.
5. Obowizek informacyjny inspektor sprawdza, wjaki sposb jest reali-
zowany obowizek poinformowania kadej osoby, ktrej dane dotycz,
tj. czy zakres informacji uwzgldnia odrbnie uregulowane dwie sytuacje
dotyczce rda pozyskania danych (od osoby, ktrej dane dotycz
art.24 ustawy, inie od osoby, ktrej dane dotycz art.25), azatem czy
zawiera okrelone przepisami ustawy elementy, aponadto czy poinfor-
mowanie ma indywidualny charakter iczy informacje zostay przedsta-
wione wsposb zrozumiay dla odbiorcy;
6. Zgoszenie zbioru do rejestracji inspektor sprawdza, czy prowadzone
przez podmiot kontrolowany zbiory danych nie podlegaj wmyl art.43
ust.1 ustawy zwolnieniu zobowizku rejestracji. Jeli obowizek rejestracji
zaistnia idokonano zgoszenia zbiorw do rejestracji badana jest bardzo
szczegowo tre wypenionego formularza zgoszenia (wzr zosta opu-
blikowany wakcie wykonawczym do ustawy) oraz stan faktyczny odnosz-
cy si do informacji podanych wzgoszeniu. Inspektor ustala ponadto, czy
ewentualna zmiana, wzakresie informacji podanych wzgoszeniu, zostaa
Generalnemu Inspektorowi zgoszona wterminie wskazanym wustawie;
7. Przekazywanie danych do pastwa trzeciego inspektor sprawdza,
czy kontrolowany podmiot uwzgldni co najmniej jedn zprzesanek
wymienionych w art. 47 ustawy, zezwalajcych na legalne przekazanie
danych poza obszar UE. Ponadto dokonuje oceny, czy zostay zastosowa-
ne odpowiednie rodki techniczne iorganizacyjne zabezpieczajce dane,
oktrych mowa wustawie irozporzdzeniu;
10
8. Powierzenie przetwarzania danych osobowych (art.31 ustawy) in-
spektor sprawdza, czy umowa powierzenia zostaa sporzdzona na pi-
mie, a nastpnie szczegowo bada jej tre; umowa powinna m.in.
precyzyjnie okrela zakres danych przekazanych do przetwarzania oraz
podstaw icel przetwarzania. Kopia umowy, potwierdzona za zgodno
przez administratora danych, jest zaczana do protokou i szczego-
wo opisywana. Ponadto moe by przeprowadzona kontrola podmiotu,
ktremu zlecono przetwarzanie danych. Wtakim przypadku inspektor
bada, czy dane s przetwarzane zgodnie zpostanowieniami umowy po-
wierzenia (wszczeglnoci, jeli chodzi ozakres danych iwskazany cel)
oraz czy podmiot, ktremu powierzono przetwarzanie danych, podj
rodki zabezpieczajce okrelone wprzepisach oochronie danych oso-
bowych;
9. Zabezpieczenie danych jednym zpodstawowych celw kontroli jest
sprawdzenie zgodnoci przetwarzania danych zprzepisami oochronie
danych osobowych zwizanych zbezpieczestwem przetwarzanych da-
nych (rozdz. V ustawy oraz przywoane rozporzdzenie Ministra Spraw
Wewntrznych i Administracji). Inspektor ocenia, czy administrator
danych zgodnie z art. 36 ust. 1 ustawy zastosowa rodki techniczne
i organizacyjne zapewniajce ochron przetwarzanych danych osobo-
wych odpowiedni do zagroe oraz kategorii danych objtych ochro-
n, awszczeglnoci czy wodpowiedni sposb zabezpieczy dane przed
ich udostpnieniem osobom nieupowanionym, zabraniem przez osob
nieuprawnion, przetwarzaniem znaruszeniem ustawy, zmian, utrat,
uszkodzeniem, lub zniszczeniem.
11
kontrolowany podmiot prowadzi ewidencj osb upowanionych do
przetwarzania danych (art.39 ust.1 ustawy), zawierajc:
a) imi inazwisko osoby upowanionej,
b) dat nadania upowanienia,
c) dat ustania upowanienia,
d) zakres upowanienia,
e) identyfikator, jeeli dane przetwarzane s wsystemie informatycz-
nym;
osoby upowanione do przetwarzania danych zachowuj te dane oraz
sposb ich zabezpieczenia wtajemnicy (art.39 ust.2 ustawy);
administrator danych wyznaczy administratora bezpieczestwa infor-
macji (art.36 ust.3 ustawy), tj. osob lub osoby nadzorujce przestrze-
ganie zasad ochrony, chyba e sam sprawuje nadzr. Inspektor bada
rwnie, wjaki sposb jest wykonywany taki nadzr m.in. czy zostay
opracowane procedury okrelajce obowizki wtym zakresie, czy nad-
zr jest sprawowany sukcesywnie, w jakim przedziale czasowym, czy
obejmuje wszystkie zagadnienia dotyczce zastosowanych zabezpiecze
iczy jest skuteczny;
administrator danych zapewni kontrol nad tym, jakie dane osobowe,
kiedy iprzez kogo zostay do zbioru wprowadzone oraz komu s przeka-
zywane (udostpniane) art.38 ustawy. Inspektor bada rwnie sposb
sprawowania takiej kontroli;
urzdzenia isystemy informatyczne speniaj wymogi bezpieczestwa.
Ocen bezpieczestwa rozpoczyna inspektor od analizy dokumentw
okrelajcych polityk bezpieczestwa kontrolowanego podmiotu wza-
kresie ochrony fizycznej obiektw, kontroli dostpu do poszczeglnych
systemw informatycznych iusug sieciowych oraz wzakresie ochrony
zasobw informatycznych przed nieuprawnionym dostpem, przejciem
lub zniszczeniem przy uyciu szkodliwego programowania i narzdzi
(tzw. wirusy, robaki, konie trojaskie, rootkity itp.).
12
jako obszar przetwarzania danych ( 4 pkt 1 rozporzdzenia). Inspek-
tor dokonujc oceny sprawdza m.in.:
form realizacji ochrony fizycznej z udziaem czynnika ludzkiego
(np. system organizacji suby ochrony),
budowlane urzdzenia zabezpieczajce (np. drzwi stalowe, kraty
stalowe, rolety przeciwwamaniowe, okiennice iszyby zabezpiecza-
jce otwory okienne),
urzdzenia fizycznej kontroli dostpu do pomieszcze (np. zamki,
kdki, zasuwy, blokady),
elektroniczne urzdzania zabezpieczajce przed wamaniem ipoa-
rem (np. sygnalizacja wamania lub napadu, sygnalizacja poaru,
system wideo nadzoru),
elektroniczny system kontroli dostpu, zrejestracj operacji otwie-
rania izamykania pomieszcze przez osoby uprawnione.
Stosowanie ktregokolwiek zwymienionych rodkw powinno by uza-
lenione od wystpujcych zagroe wzakresie zapewnienia poufno-
ci, integralnoci itzw. rozliczalnoci przetwarzanych danych;
2) bezpieczestwo systemw informatycznych przed przystpieniem do
kontroli inspektor zapoznaje si z architektur uywanych systemw
oraz lokalizacj i struktur prowadzonych zbiorw danych. Podstawo-
wym dokumentem wymaganym od kontrolowanego podmiotu jest po-
lityka bezpieczestwa (3 rozporzdzenia), ktra zgodnie z4 pkt24
rozporzdzenia powinna zawiera:
wykaz zbiorw danych osobowych wraz ze wskazaniem programw
zastosowanych do przetwarzania danych;
opis struktury zbiorw danych wskazujcy zawarto poszczegl-
nych pl informacyjnych ipowizania midzy nimi;
sposb przepywu danych pomidzy poszczeglnymi systemami.
Na podstawie uzyskanych informacji, ustalonych kategorii danych oraz spo-
sobu korzystania ze rodkw teletransmisji inspektor ocenia poziom bez-
pieczestwa, jaki powinien by zastosowany: podstawowy, podwyszony bd
wysoki.
Zgodnie z6 rozporzdzenia, wyrniajcym poziomy bezpieczestwa prze-
twarzania danych osobowych, przyjmuje si, e:
poziom co najmniej podstawowy stosuje si, gdy:
1) wsystemie informatycznym nie s przetwarzane dane, oktrych mowa
wart.27 ustawy,
oraz
13
2) adne zurzdze systemu informatycznego, sucego do przetwarzania
danych osobowych nie jest poczone zsieci publiczn (6 pkt2);
poziom co najmniej podwyszony stosuje si, gdy:
1) wsystemie informatycznym przetwarzane s dane osobowe, oktrych
mowa wart.27 ustawy,
oraz
2) adne zurzdze systemu informatycznego, sucego do przetwarzania
danych osobowych nie jest poczone zsieci publiczn (6 pkt3);
poziom wysoki stosuje si, gdy przynajmniej jedno urzdzenie syste-
mu informatycznego, sucego do przetwarzania danych osobowych,
poczone jest zsieci publiczn (6 pkt4).
14
8) procedury wykonywania przegldw ikonserwacji systemw oraz noni-
kw informacji sucych do przetwarzania danych.
15
5) sprzeciwu, oktrym mowa wart.32 ust.1 pkt8 ustawy.
2. Odnotowanie informacji, oktrych mowa wust.1 pkt1 ipkt2, nastpu-
je automatycznie po zatwierdzeniu przez uytkownika operacji wprowadzenia
danych.
3. Dla kadej osoby, ktrej dane osobowe s przetwarzane wsystemie infor-
matycznym, system zapewnia sporzdzenie iwydrukowanie raportu zawieraj-
cego wpowszechnie zrozumiaej formie informacje, oktrych mowa wust.1.
4. W przypadku przetwarzania danych osobowych, w co najmniej dwch
systemach informatycznych, wymagania, oktrych mowa wust.1 pkt4, mog
by realizowane wjednym znich lub wodrbnym systemie informatycznym
przeznaczonym do tego celu.
16
Kontrola sektorowa kompleksowa lub czciowa wskazana wrocznym har-
monogramie kontroli, dotyczca wybranej kategorii podmiotw lub zagadnie.
1. Legitymacja iupowanienie.
Kontrol przeprowadza si wycznie po okazaniu legitymacji subowej in-
spektora Biura GIODO oraz upowanienia imiennego, ktrych wzr okrelony
zosta wzacznikach do rozporzdzenia Ministra Spraw Wewntrznych iAd-
ministracji zdnia 22 kwietnia 2004 r. wsprawie wzorw imiennego upowanie-
nia ilegitymacji subowej inspektora Biura Generalnego Inspektora Ochrony
Danych Osobowych (Dz.U. nr94, poz.923 zpn. zm.) zmienionego rozporz-
dzeniem Ministra Spraw Wewntrznych iAdministracji zdnia 11 maja 2011r.
zmieniajcym rozporzdzenie wsprawie wzorw imiennego upowanienia ile-
gitymacji subowej inspektora Biura Generalnego Inspektora Ochrony Danych
Osobowych (Dz.U. Nr103, poz.601).
17
Opis wzoru legitymacji inspektora GIODO
awers legitymacji:
legitymacja koloru niebieskiego,
napisy w kolorze czarnym: Rzeczpospolita Polska, Biuro Generalnego
Inspektora Ochrony Danych Osobowych,
numer legitymacji,
orze zgoda RP,
pasek przektny koloru biao-czerwonego;
rewers legitymacji:
legitymacja koloru niebieskiego,
napisy w kolorze czarnym: LEGITYMACJA SUBOWA Inspektora
Ochrony Danych Osobowych wana do..., miejsce na fotografi, miejsce
na piecz, nazwisko, imi, nrewidencyjny PESEL, (podpis wystawcy),
(podpis waciciela),
hologram zliterami wkolorze niebieskim;
wymiary legitymacji:
wysoko legitymacji 90 mm,
szeroko legitymacji 65 mm,
wysoko fotografii 35 mm,
szeroko fotografii 25 mm;
rodzaj papieru izabezpiecze:
gramatura papieru 200,
papier kredowany dwustronnie matowy,
hologram,
wmiejscach wpisu nazwiska iimienia oraz numeru ewidencyjnego PE-
SEL nadruk cienkich linii zabezpieczajcych.
Wzr
upowanienia imiennego do przeprowadzenia czynnoci kontrolnych
....................................................................
(piecz poduna Generalnego Inspektora
Ochrony Danych Osobowych)
L.dz. .....................
Upowanienie imienne
Na podstawie art.12 pkt1 i2wzwizku zart.14 ustawy zdnia 29 sierpnia 1997 r.
oochronie danych osobowych (Dz.U. z2002 r. Nr101, poz.926 iNr153, poz.1271,
18
z2004 r. Nr25, poz.219 iNr33, poz.285, z2006 r. Nr104, poz.708 i711, z2007 r.
Nr165, poz.1170 iNr176, poz.1238 orazz2010 r. Nr41, poz.233, Nr182, poz.1228
iNr229, poz.1497)
upowaniam
Pani/Pana ................................................................................................................
(imi inazwisko inspektora)
stanowisko subowe ...............................................................................................
nrlegitymacji subowej ..........................................................................................
do przeprowadzenia kontroli:
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
(okrelenie: podmiotu objtego kontrol albo zbioru danych, albo miejsca
poddawanego kontroli)
wzakresie:
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
.....................................................................................................................................
(okrelenie zakresu przedmiotowego kontroli)
...................................................
(miejsce idata
wystawienia upowanienia)
piecz urzdowa
...................................................
(podpis Generalnego Inspektora
Ochrony Danych Osobowych)
19
Pouczenie kontrolowanego podmiotu ojego prawach iobowizkach
1. Zgodnie zart.15 ust.1 ustawy zdnia 29 sierpnia 1997 r. oochronie danych oso-
bowych kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba
fizyczna bdca administratorem danych osobowych s obowizani umoliwi inspekto-
rowi przeprowadzenie kontroli, awszczeglnoci umoliwi przeprowadzenie czynnoci
oraz speni dania, oktrych mowa wart.14 pkt14 ustawy zdnia 29 sierpnia 1997 r.
oochronie danych osobowych, polegajce na:
umoliwieniu wstpu inspektorom, wgodzinach od 6.00 do 22.00, za okazaniem
niniejszego imiennego upowanienia ilegitymacji subowej, do pomieszczenia,
wktrym jest zlokalizowany zbir danych, oraz pomieszczenia, wktrym prze-
twarzane s dane poza zbiorem danych, iprzeprowadzenia niezbdnych bada
lub innych czynnoci kontrolnych wcelu oceny zgodnoci przetwarzania danych
zustaw oochronie danych osobowych,
daniu zoenia pisemnych lub ustnych wyjanie oraz wzywania iprzesuchi-
wania osoby wzakresie niezbdnym do ustalenia stanu faktycznego,
umoliwieniu wgldu do wszelkich dokumentw iwszelkich danych majcych
bezporedni zwizek zprzedmiotem kontroli oraz sporzdzania ich kopii,
przeprowadzaniu ogldzin urzdze, nonikw oraz systemw informatycznych
sucych do przetwarzania danych.
2. Zgodnie zart.16 ust.1 ustawy zdnia 29 sierpnia 1997 r. oochronie danych oso-
bowych, zczynnoci kontrolnych inspektor sporzdza protok, ktrego jeden egzem-
plarz dorcza kontrolowanemu administratorowi danych. Protok podpisuj inspektor
ikontrolowany administrator danych, ktry moe wnie do protokou umotywowane
zastrzeenia iuwagi (art.16 ust.2 ustawy zdnia 29 sierpnia 1997 r. oochronie danych
osobowych). Wrazie odmowy podpisania protokou przez kontrolowanego administra-
tora danych inspektor czyni otym wzmiank wprotokole, aodmawiajcy podpisu moe,
wterminie 7 dni, przedstawi swoje stanowisko na pimie Generalnemu Inspektorowi
(art.16 ust.3 ustawy zdnia 29 sierpnia 1997 r. oochronie danych osobowych).
..............................................................
(data iczytelny podpis osoby
reprezentujcej kontrolowany podmiot)
20
2. Termin iczas kontroli
Inspektorzy Biura GIODO s uprawnieni do przeprowadzenia, bez uprze-
dzenia wgodzinach od 6.00 do 22.00 kontroli zgodnoci przetwarzania danych
osobowych zprzepisami oochronie danych osobowych. Termin kontroli jest
ustalany przez GIODO. Przepisy ustawy zdnia 2 lipca 2004 r. oswobodzie dzia-
alnoci gospodarczej (Dz.U. z2007 r. Nr155 poz.1095) wprowadzaj limity
czasowe wodniesieniu do kontroli odbywajcych si uprzedsibiorcw (art.83
ust.1). Przy ustalaniu terminu iczasu uwzgldnia si wszczeglnoci rodzaj
kontroli (kompleksowa, czciowa), zakres przedmiotowy kontroli i wielko
podmiotu kontrolowanego. Czas trwania czynnoci moe wich toku ulec skr-
ceniu lub przedueniu wzalenoci od okolicznoci danej kontroli.
3. Miejsce kontroli
Kontrol przeprowadza si wsiedzibie podmiotu kontrolowanego oraz win-
nych miejscach wykonywania przez niego zada wprocesie przetwarzania danych,
wtym wmiejscu przechowywania dokumentacji zawierajcej dane osobowe.
Przed podjciem czynnoci kontrolnych inspektorzy Biura GIODO zgaszaj
swoj obecno kontrolowanemu.
21
szej kolejnoci wyjanienia skada administrator danych, ktry opisuje poszcze-
glne etapy procesu przetwarzania danych. Nastpnie informacje przekazuj
pozostae osoby biorce bezporedni udzia wtym procesie.
22
VI. Organizacja kontroli
1. Obowizki inspektora
Inspektor przeprowadzajcy kontrol jest zobowizany do przestrzegania
uprawnie, ktre przysuguj kontrolowanemu podmiotowi. Zapoznanie kon-
23
trolowanego z jego prawami i obowizkami nastpuje poprzez przedstawienie
mu upowanienia do kontroli zawierajcego pouczenie kontrolowanego pod-
miotu ojego prawach iobowizkach. Osoba uprawniona do reprezentacji tego
podmiotu powiadcza zapoznanie si zpouczeniem poprzez zoenie pod nim
podpisu. Inspektor ma obowizek poinformowa, wjaki sposb kontrolowany
moe domaga si np. wniesienia uwag, zastrzee, poprawek isprostowa do
protokou kontroli. Wadnym wypadku inspektor nie moe przekracza zakresu
upowanienia udzielonego przez Generalnego Inspektora nie moe domaga si
okazania dokumentw lub podawa informacji ookolicznociach, ktre nie maj
zwizku zprzedmiotem kontroli, np. dotyczcych sytuacji finansowej. Wswoim
dziaaniu powinien wykaza si obiektywizmem oraz zachowa wtajemnicy in-
formacje, ktre uzyska wzwizku zwykonywaniem obowizkw subowych.
2. Obowizki kontrolowanego
Kontrolowany ma obowizek umoliwi inspektorowi przeprowadzenie
czynnoci kontrolnych oraz powinien udostpni wszelkie dane dokumen-
ty i noniki informacji zwizane z zakresem kontroli. Na danie inspektora
kontrolowany jest obowizany wyda kopie wskazanych dokumentw oraz tzw.
zrzuty (wydruki) zekranu komputera. Powinien czynnie uczestniczy wpro-
wadzonej kontroli: udziela wyjanie, zapewni terminowe udzielanie infor-
macji przez podlegych pracownikw i inne osoby uczestniczce w procesie
przetwarzania danych, by do dyspozycji w czasie trwania kontroli w celu
zapewnienia sprawnego jej przebiegu.
24
wyjanie, dat sporzdzenia protokou, podpis osoby skadajcej
wyjanienia ipodpis inspektora przyjmujcego wyjanienia.
2) Protok przesuchania wiadka zawiera oznaczenie organu kon-
troli ijego siedziby, wskazanie wykonujcego t czynno inspektora
(imi, nazwisko, stanowisko subowe, numer legitymacji subowej
iupowanienia), podstawy prawnej uprawniajcej do przesuchania
(art.14 pkt2 ustawy), pouczenie wiadka ojego prawach iobowiz-
kach, wskazanie osoby przesuchiwanej (imi, nazwisko, adres, miej-
sce pracy, stanowisko subowe), dat sporzdzenia protokou, pod-
pis osoby przesuchiwanej ipodpis inspektora przesuchujcego.
3) Protok ogldzin zawiera oznaczenie organu kontroli ijego sie-
dziby, oznaczenie przedmiotu ogldzin (np. miejsca, pomieszcze,
dokumentw, urzdze, nonikw informacji, systemw informa-
tycznych), podstaw prawn uprawniajc do przeprowadzenia
ogldzin (art.14 pkt4 ustawy), wskazanie wykonujcego t czyn-
no inspektora (imi, nazwisko, stanowisko subowe), wskazanie
osb uczestniczcych w ogldzinach (imi, nazwisko, zajmowane
stanowisko subowe), dat imiejsce ogldzin, szczegowe ustale-
nia, sposb utrwalenia stanu wtoku ogldzin, podpisy osb uczest-
niczcych wczynnoci ogldzin, podpisy inspektora.
2. Protok kontroli zawiera elementy wskazane wart.16 ust.1a ustawy:
1) nazw podmiotu kontrolowanego wpenym brzmieniu ijego adres;
2) imi inazwisko, stanowisko subowe, numer legitymacji subowej
oraz numer upowanienia inspektora;
3) imi inazwisko osoby reprezentujcej podmiot kontrolowany oraz
nazw organu reprezentujcego ten podmiot;
4) dat rozpoczcia izakoczenia czynnoci kontrolnych, zwymienie-
niem dni przerw wkontroli;
5) okrelenie przedmiotu izakresu kontroli;
6) opis stanu faktycznego stwierdzonego wtoku kontroli oraz inne in-
formacje majce istotne znaczenie dla oceny zgodnoci przetwarza-
nia danych zprzepisami oochronie danych osobowych;
7) wyszczeglnienie zacznikw stanowicych skadow cz protokou;
8) omwienie dokonanych wprotokole poprawek, skrele iuzupenie;
9) parafy inspektora iosoby reprezentujcej podmiot kontrolowany na
kadej stronie protokou;
10) wzmiank odorczeniu egzemplarza protokou osobie reprezentu-
jcej podmiot kontrolowany;
25
11) wzmiank owniesieniu lub niewniesieniu zastrzee iuwag do pro-
tokou;
12) dat i miejsce podpisania protokou przez inspektora oraz przez
osob lub organ reprezentujcy podmiot kontrolowany.
3. Wnioski zkontroli
Na podstawie zebranego wtoku kontroli materiau dowodowego inspektor
przedstawia wnioski zkontroli. Jeeli na podstawie wynikw kontroli inspek-
tor stwierdzi naruszenie przepisw oochronie danych osobowych, wystpuje
do Generalnego Inspektora o zastosowanie rodkw okrelonych w ustawie
oochronie danych osobowych.
1. Wszczcie postpowania
Na podstawie wynikw kontroli nastpuje wszczcie postpowania admini-
stracyjnego (art.61 4 k.p.a.). Zawiadomienie owszczciu postpowania prze-
syane jest kontrolowanemu podmiotowi; zawiera ono m.in. wyszczeglnienie
26
stwierdzonych w toku kontroli uchybie, dotyczcych przedmiotu postpo-
wania. Wzawiadomieniu podane s przepisy oochronie danych osobowych,
ktre zostay naruszone (uzasadnienie prawne), oraz opis stanu faktycznego ze
wskazaniem dowodw, na podstawie ktrych zosta on ustalony (uzasadnienie
faktyczne). Ponadto kontrolowany podmiot jest informowany oprawie zoe-
nia dodatkowych wyjanie i o prawie przesania uzupeniajcych dowodw
(np. dokumentw lub wydrukw z systemu informatycznego), potwierdzaj-
cych usunicie stwierdzonych uchybie. Jednoczenie jest okrelony termin,
wjakim moe nastpi realizacja tego prawa. Wsytuacji, gdy kontrolowany nie
skorzysta zprzysugujcego mu uprawnienia, decyzja koczca postpowanie
zostanie wydana na podstawie materiau dowodowego zebranego wtoku kon-
troli, oczym rwnie informowany jest kontrolowany podmiot.
2. Rodzaje decyzji
Wwyniku przeprowadzonej kontroli Generalny Inspektor wydaje decyzje:
1) nakazujc przywrcenie stanu zgodnego z prawem, jeeli zostay na-
ruszone przepisy o ochronie danych osobowych (tre nakazu wynika
zart.18 ustawy);
lub
2) umarzajc postpowanie jako bezprzedmiotowe, jeeli postpowanie
administracyjne zostao wszczte wwyniku stwierdzonych wtoku kon-
troli uchybie, awtrakcie postpowania kontrolowany podmiot je usu-
n iprzywrci stan zgodny zprawem.
27
wierajcy m.in. wskazanie osb, wobec ktrych danie wszczcia postpowa-
nia jest kierowane. Jednoczenie przedstawia zebrane wtrakcie kontroli dowo-
dy wiadczce owinie tych osb ida woznaczonym terminie przedstawienia
rozstrzygnicia.
28
si nie wczeniej ni po upywie 7 dni inie pniej ni przed upywem 30 dni
od dnia dorczenia zawiadomienia ozamiarze wszczcia kontroli.
29
2 lipca 2004 r. oswobodzie dziaalnoci gospodarczej (Dz.U. z2007 r. Nr155
poz. 1095) wskazuj limity czasowe w obrbie danego roku kalendarzowego
(art.83 ust.1).
30