Dokumentowanie czynności kontrolnych
Podejmowane przez kontrolujących w toku kontroli działania mają na celu ustalenie stanu faktycznego1, a następnie udokumentowanie go. Zgodnie zasadą pisemności, gwarantującą pewność, jawność oraz trwałość dokonywanych czynności, obowiązkiem organów jest dokumentowanie spraw (w postaci dokumentacji papierowej lub cyfrowej). Dlatego wszelkie czynności dokonywane przez kontrolujących w toku kontroli są dokumentowane.
Do realizacji tego celu służą protokoły, będące pisemnymi sprawozdaniami z przebiegu konkretnych czynności. Należy sporządzać je tak, aby zawierały informacje, kto, kiedy, gdzie i jakich czynności dokonał, kto i w jakim charakterze był przy tym obecny, co i w jaki sposób w wyniku tych czynności ustalono i jakie uwagi zgłosili uczestnicy czynności. Protokół odczytuje się wszystkim osobom biorącym udział w czynności urzędowej, które powinny go następnie podpisić.2
W trakcie kontroli sporządzane są: protokoły przyjęcia ustnych wyjaśnień, protokoły przesłuchania świadka i protokoły oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych. Ww. dokumenty stanowią załączniki do protokołu kontroli. Szczególną formę ma protokół przesłuchania świadka (pracownika podmiotu kontrolowanego), któremu przysługuje prawo odmowy zeznań i odpowiedzi na określone pytania oraz ponosi on odpowiedzialność za fałszywe zeznania. O powyższym należy świadka poinformować przed odebraniem zeznania.3
Na potwierdzenie składanych wyjaśnień lub zeznań kontrolujący pozyskują dokumenty, oświadczenia oraz wydruki i zrzuty ekranu z systemów informatycznych. Takimi dokumentami, w zależności od zakresu kontroli, mogą być np.: polityki bezpieczeństwa informacji, polityki ochrony danych, procedury zgłaszania naruszeń, rejestry naruszeń, umowy powierzenia przetwarzania danych, ocena skutków dla ochrony danych, analiza ryzyka naruszenia praw i wolności osób, których dane dotyczą, upoważnienia do przetwarzania danych, rejestr czynności przetwarzania, rejestr kategorii czynności przetwarzania, test równowagi,4 klauzule informacyjne, procedura realizacji praw osób, których dane dotyczą, procedura retencji danych. Kontrolowany dokonuje potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków. W przypadku odmowy potwierdzenia za zgodność z oryginałem kontrolujący czyni o tym wzmiankę w protokole kontroli.
Następnie przebieg czynności kontrolnych kontrolujący przedstawia w protokole kontroli.5 Protokół kontroli zawiera:
1) wskazanie nazwy albo imienia i nazwiska oraz adresu kontrolowanego;
2) imię i nazwisko osoby reprezentującej kontrolowanego oraz nazwę organu reprezentującego kontrolowanego;
3) imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer imiennego upoważnienia kontrolującego, a w przypadku kontrolującego, z organu innego państwa członkowskiego UE, imię i nazwisko, numer dokumentu potwierdzającego tożsamość oraz numer imiennego upoważnienia;
4) datę rozpoczęcia i zakończenia czynności kontrolnych;
5) określenie zakresu przedmiotowego kontroli;
6) opis stanu faktycznego ustalonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
7) wyszczególnienie załączników;
8) omówienie dokonanych w protokole kontroli poprawek, skreśleń i uzupełnień;
9) pouczenie kontrolowanego o prawie zgłaszania zastrzeżeń do protokołu kontroli oraz o prawie odmowy podpisania protokołu kontroli;
10) datę i miejsce podpisania protokołu kontroli przez kontrolującego i kontrolowanego.
W uzasadnionych przypadkach przebieg kontroli lub poszczególne czynności w jej toku, po uprzednim poinformowaniu kontrolowanego, mogą być utrwalane przy pomocy urządzeń rejestrujących obraz lub dźwięk. Informatyczne nośniki danych na których zarejestrowano przebieg kontroli lub poszczególne czynności w jej toku, stanowią załączniki do protokołu kontroli6.
Protokół kontroli podpisuje kontrolujący i przekazuje kontrolowanemu w celu podpisania7. Terminem zakończenia kontroli jest dzień podpisania protokołu przez kontrolowanego albo dzień dokonania wzmianki (kontrolujący czyni wzmiankę w protokole o odmowie podpisania protokołu, zawierającą datę jej dokonania). Jeżeli na podstawie informacji zgromadzonych w postepowaniu kontrolnym Prezes Urzędu uzna, że mogło dojść do naruszenia przepisów o ochronie danych osobowych, obowiązany jest do niezwłocznego wszczęcia postępowania administracyjnego w tym zakresie.
- Art. 87 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781 ze zm.), dalej u.o.d.o. ↩︎
- Art. 68 §1 i 2 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2025 r. poz. 1981). ↩︎
- Art. 86 u.o.d.o. ↩︎
- W przypadku przetwarzania danych w oparciu o przesłankę wskazaną w art. 6 ust. lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE. L 119 z 04.05.2016 r., str. 1, ze zm.). ↩︎
- Art. 88 ust. 1 u.o.d.o. ↩︎
- Art. 84 ust. 3 i ust. 4 u.o.d.o. ↩︎
- Art. 88 ust. 2 i 3 u.o.d.o ↩︎
