27 pytań, które zada Ci UODO podczas kontroli

UODO prowadzi kontrole także w placówkach ochrony zdrowia
UODO prowadzi kontrole także w placówkach ochrony zdrowia

Urząd Ochrony Danych Osobowych (UODO), korzystając z uprawnień wynikających z art. 58 RODO, rozpoczął działania kontrolne mające na celu weryfikację przestrzegania przepisów dotyczących pracy inspektorów ochrony danych (IOD). Forma tej weryfikacji jest bezprecedensowa, gdyż organ nadzorczy przesyła do wybranych podmiotów z sektora publicznego i prywatnego listę zagadnień w formie pytań kontrolnych, do których w wyznaczonym czasie będą musieli odnieść się wskazani przez organ administratorzy i podmioty przetwarzające.

Jak wyglądają kontrole UODO?

O rozpoczęciu działań kontrolnych UODO poinformował pod koniec marca 2022 r. na swojej stronie internetowej (uodo.gov.pl). Wiemy, iż pierwsza grupa administratorów danych otrzymała już od organu nadzorczego wezwania do udzielenia odpowiedzi na zestaw pytań. Zgodnie z zapowiedzią UODO, działania takie nie mają charakteru doraźnego i będą kontynuowane w odniesieniu do innych podmiotów.

Na udzielenie odpowiedzi na pytania UODO wezwany podmiot ma 14 dni. UODO za pośrednictwem swojej strony internetowej ujawnił pełną listę 27 pytań, które zamierza przesyłać kolejnym podmiotom. Oto ich pełna lista:

  1. Czy u administratora został wyznaczony inspektor ochrony danych (IOD)?
  2. Czy na administratorze ciąży obowiązek wyznaczenia IOD (jeżeli tak, to na jakiej podstawie prawnej), czy też IOD został wyznaczony mimo braku takiego obowiązku?
  3. Czy administrator opublikował imię i nazwisko oraz kontakt do IOD na swojej stronie internetowej lub – jeżeli nie prowadzi swojej strony internetowej – w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności?
  4. Czy ww. informacje znajdują się w ogólnie dostępnym miejscu (proszę wskazać to miejsce, w przypadku strony internetowej, proszę wskazać jej adres oraz link do tej informacji)?
  5. Czy Inspektor Ochrony Danych jest pracownikiem administratora, a jeśli nie, to na jakiej podstawie prawnej wykonuje swoje obowiązki?
  6. Czy IOD został powołany na wyłączność u administratora, czy wykonuje swoje obowiązki również u innych administratorów?
  7. Na podstawie jakich kwalifikacji administrator wyznaczył IOD (np. wykształcenie, doświadczenie, wiedza)?
  8. Jakie niezbędne zasoby, o których mowa w art. 38 ust. 2 rozporządzenia 2016/679 administrator zapewnia IOD?
  9. W jaki sposób administrator zapewnia zasoby na utrzymanie wiedzy fachowej IOD?
  10. Jakie stanowisko zajmuje IOD i komu podlega w strukturze organizacyjnej administratora?
  11. Czy administrator powołał zastępcę IOD, jeżeli tak, to kiedy?
  12. Czy u administratora funkcjonuje zespół IOD lub inna forma stałego wsparcia IOD w zakresie wykonywania jego zadań?
  13. W jaki sposób administrator zapewnia by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych
  14. W jaki sposób administrator zapewnia IOD dostęp do danych osobowych i operacji przetwarzania?
  15. Czy administrator przyjął jakiekolwiek regulacje wewnętrzne dotyczące funkcjonowania IOD (w szczególności w celu zapewnienia poszanowania gwarancji jego niezależności oraz jego uprawnień w zakresie dostępu do danych osobowych i operacji przetwarzania, włączania we wszystkie sprawy dotyczące ochrony danych osobowych, unikania konfliktu interesów), a jeżeli tak, to w jakim akcie wewnętrznym zostały one przewidziane?
  16. W jaki sposób administrator zapewnia, aby od IOD nie były wydawane instrukcje co do wykonywania zadań przez IOD?
  17. W jaki sposób administrator zapewnia, aby IOD nie był karany i odwoływany za wykonywanie swoich zadań?
  18. W jaki sposób ADO postępuje w przypadku, gdy nie uwzględnia wskazówek lub rekomendacji IOD, np. czy dokumentuje powody niezastosowania tych wskazówek?
  19. W jaki sposób osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych zgodnie z art. 38 ust. 4 rozporządzenia 2016/679?
  20. Czy inspektor ochrony danych wykonuje również inne obowiązki lub sprawuje inną funkcję poza obowiązkami związanymi z ochroną danych osobowych, jeżeli tak to: A) jakie oraz w jakim wymiarze czasu pełni funkcję IOD, a w jakim inne zadania; B) w jaki sposób administrator ocenił, że w przypadku każdego z tych zadań nie występuje konflikt interesów, o którym mowa w art. 38 ust 6 rozporządzenia 2016/679?; D)  czy w zakresie wykonywania innych zadań IOD podlega innym osobom niż najwyższe kierownictwo administratora?
  21. Czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów?
  22. Czy IOD wykonuje swoje zadania jedynie w siedzibie administratora, a jeżeli nie, to w jakim miejscu i w jaki sposób zapewniona jest stała dostępność IOD dla kierownictwa i pracowników administratora?
  23. Czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń, audytów?
  24. Czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny, czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami?
  25. Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?
  26. Czy administrator występował do IOD o udzielenie zaleceń co do oceny skutków dla ochrony danych, a jeśli tak, to w jakich sytuacjach?
  27. Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?

Pobierz bezpłatny raport na temat bezpieczeństwa danych w placówkach ochrony zdrowia >

Raport na temat bezpieczeństwa danych medycznych
Raport na temat bezpieczeństwa danych medycznych

Check-lista dla placówek medycznych

Biorąc pod uwagę, że pomiot kontrolowany na odpowiedź na powyższe pytania ma tylko 14 dni, warto przygotować się do kontroli wcześniej. Szczególnie, że kontrola UODO może być też podstawą do zastosowania przez UODO sankcji za brak zgodności z przepisami dotyczącymi ochrony danych osobowych.

Zalecamy więc przyjrzeć się pytaniom oraz regulacjom dotyczącym IOD wdrożonym w podmiocie medycznym w celu zidentyfikowania i uzupełnienia ewentualnych braków.

Aby ułatwić Państwu przygotowanie się do ewentualnej kontroli w tym obszarze proponujemy przeanalizować następujące kwestie:

  • Czy są Państwo objęci obowiązkiem powołania IOD zgodnie z art. 37 ust. 1 RODO oraz art. 9 ustawy o ochronie danych osobowych? Jeżeli odpowiedź na to pytanie jest twierdząca to:
  • Czy wyznaczyli Państwo IOD i skutecznie zawiadomili o tym fakcie organ nadzorczy?
  • Czy opublikowali Państwo na swojej stronie internetowej dane IOD (imię i nazwisko oraz dane kontaktowe) lub – w przypadku braku strony internetowej czy udostępnili Państwo takie dane w inny ogólnie dostępny sposób w miejscu prowadzenia działalności?
  • Czy powołany przez Państwa IOD posiada odpowiednie kwalifikacje i jest w stanie je wykazać (doświadczenie, odpowiedni poziom wiedzy i znajomości przepisów)?
  • Czy IOD ma zapewnione niezbędne zasoby do wykonywania swoich działań (np. wsparcie zespołu lub innych kompetentnych osób, dostęp do wymaganych informacji, odpowiedni wymiar czasu pracy, dostęp do szkoleń)?
  • Czy IOD ma zapewnioną niezależność w wykonywaniu swoich zadań, w szczególności czy IOD podlega bezpośrednio najwyższemu kierownictwu, czy inspektor posiada gwarancje, że nie będą wydawane mu żadne wiążące polecenia? – Jeśli IOD wykonuje także inne zadania w Państwa organizacji, czy będą w stanie wykazać Państwo, że nie dochodzi pomiędzy tymi zadaniami do konfliktu interesów?

Czytaj więcej: Co miesiąc w czasopiśmie OSOZ Polska prezentujemy porady dotyczące bezpieczeństwa danych w placówkach ochrony zdrowia. Pobierz bezpłatny egzemplarz magazynu >