Generalny Inspektor Ochrony Danych Osobowych (GIODO)

• Rafał Stępniewski
• /
• 6 maja 2016

Przepisami ustawy powołano organ do spraw ochrony danych osobowych — Generalnego Inspektora Ochrony Danych Osobowych (GIODO), którego zadaniem jest kontrolowanie zgodności szeroko rozumianego przetwarzania danych osobowych z obowiązującymi przepisami.

Osoba sprawująca urząd jest powoływana i odwoływana przez Sejm RP za zgodą Senatu RP. Kadencja GIODO trwa 4 lata, natomiast ta sama osoba nie może sprawować urzędu więcej niż przez dwie kadencje. GIODO nie może ponadto zajmować innego stanowiska, z wyjątkiem stanowiska profesora szkoły wyższej, ani wykonywać innych zajęć zawodowych, a także nie może należeć do partii politycznej, związku zawodowego ani prowadzić działalności publicznej niedającej się pogodzić z godnością jego urzędu.

Powołanie pierwszej osoby na urząd GIODO nastąpiło w kwietniu 1998 roku, a obecny Generalny Inspektor sprawuje urząd jako czwarta osoba.

Do zadań Generalnego Inspektora w szczególności należy:

• kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
• wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych,
• stosowanie środków egzekucyjnych w celu zapewniania wykonania wydanych decyzji,
• prowadzenie rejestru zbiorów danych oraz rejestru administratorów bezpieczeństwa informacji, a także udzielanie informacji o zarejestrowanych zbiorach danych i zarejestrowanych administratorach bezpieczeństwa informacji,
• opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,
• inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,
• uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

Ustawa przyznaje GIODO kompetencje mające umożliwić wykonywanie powyższych zadań, w ramach których inspektorzy GIODO mają prawo:

• wstępu, w godzinach od 6⁰⁰ do 22⁰⁰, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą,
• żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego,
• wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii,
• przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych,
• zlecać sporządzanie ekspertyz i opinii.

Po przeprowadzeniu kontroli inspektor przygotowuje protokół, którego jeden egzemplarz przekazuje administratorowi danych, którego kontrola dotyczyła. W przypadku, gdy inspektor stwierdzi naruszenie przez administratora danych przepisów, występuje do GIODO o zastosowanie środków mających na celu przywrócenie stanu zgodnego z prawem. W szczególności GIODO może nakazać:

• usunięcie uchybień,
• uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
• zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
• wstrzymanie przekazywania danych osobowych do państwa trzeciego,
• zabezpieczenie danych lub przekazanie ich innym podmiotom,
• usunięcie danych osobowych.

Najpoważniejsze konsekwencje może rodzić zastosowanie przez GIODO środków opisanych w pkt 3 – 6, ponieważ w praktyce może to oznaczać np. konieczność zmiany firmy hostingowej mającej siedzibę w państwie trzecim (pkt 4) albo nawet wstrzymanie działalności firmy poprzez konieczność usunięcia bazy klientów (pkt 6). W przypadku, gdy GIODO stwierdzi naruszenie przepisów karnych ustawy o ochronie danych osobowych może wystąpić do organów ścigania z wnioskiem o wszczęcie stosownego postępowania.

Nowelizacja ustawy o ochronie danych osobowych, która weszła w życie 1 stycznia 2015 roku, wraz z bardziej szczegółowym określeniem roli administratora bezpieczeństwa informacji nadała GIODO nowe uprawnienie w tym kontekście. W przypadku, gdy administrator danych powoła administratora bezpieczeństwa informacji GIODO może zwrócić się do administratora bezpieczeństwa informacji o dokonanie sprawdzenia, wskazując zakres i termin tego sprawdzenia. Po dokonaniu sprawdzenia administrator bezpieczeństwa informacji obowiązany jest przedstawić GIODO sprawozdanie z jego przeprowadzenia.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.