Kontrole planowe Prezesa Urzędu Ochrony Danych Osobowych w 2026 roku – jak się do nich przygotować?

W planie kontroli sektorowych UODO na rok 2026 (opublikowanym w styczniu) znalazły się m.in. te obszary, w których odnotowywano incydenty związane z ochroną danych osobowych, oraz te, które – z uwagi w szczególności na napływające do Urzędu skargi i zgłaszane naruszenia – Prezes UODO uznał za szczególnie problematyczne.

Zgodnie z tym planem kontrole sektorowe będą obejmowały pięć głównych obszarów:

•podmioty lecznicze – w zakresie przetwarzania danych osobowych przy wykorzystaniu monitoringu wizyjnego, w szczególności dotyczących dzieci;

•podmioty prowadzące Biuletyn Informacji Publicznej  – w szczególności w zakresie anonimizacji danych oraz udostępniania przebiegu sesji rad gminy;

•podmioty marketingowe – w szczególności w zakresie podstaw prawnych przetwarzania danych osobowych w celach marketingowych;

•internetowe platformy dostaw – w zakresie przetwarzania danych osobowych w związku ze świadczeniem usług pośrednictwa w sprzedaży towarów i usług za pomocą aplikacji internetowych;

•organy, które przetwarzają dane osobowe w Wielkoskalowych Systemach Unii Europejskiej, w tym przetwarzanie danych osobowych SIS/VIS.

Kontrolę przeprowadzają upoważnieni przez Prezesa Urzędu pracownicy UODO (art. 79 ust. 1 ustawy).

Prawa i obowiązki kontrolowanego

Czynności kontrolne dokonywane są w obecności kontrolowanego lub osoby przez niego upoważnionej. Kontrolowany jest obowiązany do pisemnego wskazania osoby upoważnionej do reprezentowania go w trakcie kontroli.

Kontrolujący w ramach prowadzonych czynności kontrolnych mają prawo (art. 84 ust. 1 ustawy):

• wstępu w godzinach od 6:00 do 22:00 na grunt oraz do budynków, lokali lub innych pomieszczeń;

• wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli;

• przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych;

• żądania złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchiwania w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego;

• zlecania sporządzania ekspertyz i opinii.

Powyższym uprawnieniom kontrolujących towarzyszą obowiązki nałożone na kontrolowanych. Kontrolowany ma obowiązek zapewnić kontrolującemu warunki i środki niezbędne do sprawnego przeprowadzenia kontroli, a w szczególności sporządza we własnym zakresie kopie lub wydruki dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub systemach informatycznych. Kontrolowany ma także obowiązek potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków (art. 84 ust.  2 i ust. 3 ustawy).

W trakcie kontroli kontrolowany i jego pracownicy mają obowiązek składania wyjaśnień i zeznań.

Uwaga: Ustawa o ochronie danych osobowych (art. 108 ust. 1) przewiduje odpowiedzialność karną za czyn polegający na udaremnieniu lub utrudnianiu kontrolującemu prowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych. 

Jak przygotować się do kontroli, by przebiegła ona sprawnie?

W celu umożliwienia sprawnego przeprowadzenia czynności kontrolnych kontrolowany powinien m.in.:

• zgromadzić i posiadać przygotowane dokumenty mające bezpośredni związek z zakresem przedmiotowym kontroli, wskazane podczas zawiadamiania o kontroli, oraz dokumenty tłumaczone na język polski (w przypadku, gdy dokumentacja jest sporządzona w języku obcym);

• zapewnić obecność osób posiadających szczegółową wiedzę dotyczącą procesów przetwarzania danych osobowych, w tym wykorzystywanych do tego celu nośników i systemów informatycznych, zarówno w kwestiach dotyczących ich funkcjonalności, jak i sposobu zapewnienia poufności, rozliczalności oraz integralności danych osobowych przetwarzanych w tych systemach;

• sprawdzić procedury uaktualniania oprogramowania (zarówno systemów operacyjnych, oprogramowania użytkowego, systemów antywirusowych, jak i firmware urządzeń sieciowych), czy też procedury wykonywania i testowania kopii zapasowych;

• zweryfikować, czy zalecenia powstałe w wyniku przeprowadzenia uprzedniego audytu/sprawdzenia zostały wdrożone;

• zapewnić kontrolującym warunki i środki niezbędne do sprawnego przeprowadzenia kontroli, w tym przygotować dla kontrolujących miejsce do pracy (pomieszczenie o charakterze biurowym, w którym będą mogły być dokonywane czynności kontrolne);

Rekomendowane jest także dokonanie przed kontrolą przeglądu procesów przetwarzania danych osobowych oraz przeanalizowanie dokumentacji związanej z przetwarzaniem danych osobowych (takiej jak m.in.: rejestr czynności przetwarzania danych osobowych, rejestr kategorii czynności – jeśli podmiot działa jako podmiot przetwarzający, wewnętrzne polityki i procedury ochrony danych osobowych, np. procedura dotycząca realizacji obowiązku dokumentowania wszelkich naruszeń ochrony danych osobowych, umowy powierzenia przetwarzania danych osobowych, analiza ryzyka, ocena skutków dla ochrony danych – jeśli jest wymagana).

Ważne: Należy pamiętać, że dokumentacja ochrony danych osobowych musi być aktualna i zgodna z rzeczywistymi procesami przetwarzania danych osobowych w podmiocie.