sobota, 6 czerwca, 2026
Naruszenia i kontrole

Prawa i obowiązki kontrolowanego

Dowiadujesz się, że została zaplanowana u Ciebie kontrola Urzędu Ochrony Danych Osobowych. Zastanawiasz się, co robić? Przedstawimy Ci Twoje prawa i obowiązki jako podmiotu kontrolowanego, abyś wiedział, czego możesz się spodziewać i oczekiwać od nas – kontrolujących.

Czym jest kontrola ochrony danych osobowych

Kontrolę przestrzegania przepisów o ochronie danych osobowych przeprowadza Prezes Urzędu Ochrony Danych Osobowych. Kontrolę prowadzi się zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli lub na podstawie uzyskanych przez Prezesa Urzędu informacji lub w ramach monitorowania przestrzegania stosowania rozporządzenia 2016/679.

W 2024 r. obowiązuje plan kontroli sektorowych, który zakłada kontrole:

  • podmiotów, które przetwarzają dane osobowe przy użyciu aplikacji internetowych (webowych),
  • kontrole prawidłowości spełniania obowiązku informacyjnego określonego w art. 13 i 14 RODO,
  • organów przetwarzających dane osobowe w wielkoskalowych systemach informacyjnych UE do walki z przestępczością i ochrony granic, czyli w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym.

Kontrolę przeprowadza upoważniony przez Prezesa Urzędu pracownik Urzędu. Może zaistnieć sytuacja, w której do kontroli zostanie upoważniony członek lub pracownik organu nadzorczego państwa członkowskiego Unii Europejskiej. Prezes Urzędu może również upoważnić do udziału w kontroli osobę posiadającą wiedzę specjalistyczną, jeżeli przeprowadzenie czynności kontrolnych wymaga takiej wiedzy. Czynności kontrolnych dokonuje się w obecności kontrolowanego lub osoby przez niego upoważnionej. Kontrolowany jest obowiązany do pisemnego wskazania osoby upoważnionej do reprezentowania go w trakcie kontroli. Kontrolujący ustala stan faktyczny na podstawie dowodów zebranych w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń.

Obowiązki kontrolowanego

Kontrolowany ma obowiązek zapewnić kontrolującym warunki i środki niezbędne do sprawnego przeprowadzenia kontroli, a w szczególności sporządzić we własnym zakresie kopie lub wydruki dokumentów oraz informacji zgromadzonych na nośnikach, w urządzeniach lub systemach informatycznych lub teleinformatycznych służących do przetwarzania danych. W tym celu należy zapewnić kontrolującym wstęp na grunt oraz do budynków, lokali lub innych pomieszczeń w godzinach od 600 do 2200. Prezes Urzędu lub kontrolujący może zwrócić się do właściwego miejscowo komendanta Policji o pomoc, jeżeli jest to niezbędne do wykonywania czynności kontrolnych. Kontrolujący może przesłuchać pracownika kontrolowanego w charakterze świadka. Za pracownika kontrolowanego uznaje się osobę zatrudnioną na podstawie stosunku pracy lub wykonującą pracę na podstawie umowy cywilnoprawnej. Kontrolujący ustala stan faktyczny na podstawie dowodów zebranych w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń. Dlatego kontrolowany musi zapewnić wgląd do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli, a także możliwość przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych. Na żądanie kontrolującego kontrolowany musi złożyć pisemne lub ustne wyjaśnienia oraz złożyć w charakterze świadka osoby zeznania w zakresie niezbędnym do ustalenia stanu faktycznego. W przypadku otrzymania od kontrolującego zlecenia, kontrolowany musi sporządzić ekspertyzę i opinię.

Należy zapewnić dostęp do informacji objętych tajemnicą prawnie chronioną, chyba że przepisy szczególne stanowią inaczej. Strona kontrolowana może zastrzec informacje, dokumenty lub ich części zawierające tajemnicę przedsiębiorstwa. W takim przypadku kontrolowany jest zobowiązany przedstawić również wersję dokumentu niezawierającą informacji objętych zastrzeżeniem. W przypadku nieprzedstawienia wersji dokumentu niezawierającej informacji objętych zastrzeżeniem, zastrzeżenie uważa się za nieskuteczne. Prezes Urzędu Ochrony Danych Osobowych może uchylić zastrzeżenie, w drodze decyzji, jeżeli uzna, że informacje, dokumenty lub ich części nie spełniają przesłanek do objęcia ich tajemnicą przedsiębiorstwa. W przypadku ustawowego obowiązku przekazania informacji lub dokumentów otrzymanych od przedsiębiorców innym krajowym lub zagranicznym organom lub instytucjom, informacje i dokumenty przekazuje się wraz z zastrzeżeniem i pod warunkiem jego przestrzegania. Kontrolujący są obowiązani do zachowania w tajemnicy informacji, o których dowiedzieli się w toku kontroli. Kontrolujący mogą żądać od strony przedstawienia tłumaczenia na język polski sporządzonej w języku obcym dokumentacji przedłożonej przez stronę. Tłumaczenia dokumentacji strona jest obowiązana wykonać na własny koszt.

Kontrolowany dokonuje potwierdzenia za zgodność z oryginałem sporządzonych kopii lub wydruków dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli.
W przypadku odmowy potwierdzenia za zgodność z oryginałem, kontrolujący czyni o tym wzmiankę w protokole kontroli. Niezapewnienie dostępu niezbędne do sprawnego przeprowadzenia kontroli skutkuje naruszeniem art. 58 ust. 1 RODO i podlega administracyjnej karze pieniężnej do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa, a w przypadku jednostek sektora finansów publicznych, tj. organów władzy publicznej, w tym organów administracji rządowej, organów kontroli państwowej i ochrony prawa oraz sądów i trybunałów, Narodowego Banku Polskiego – w wysokości do 100 000 złotych, zaś państwowych i samorządowych instytucji kultury do 10 000 złotych.

Przebieg czynności kontrolnych kontrolujący przedstawia w protokole kontroli, który zawiera:

  1. wskazanie nazwy albo imienia i nazwiska oraz adresu kontrolowanego;
  2. imię i nazwisko osoby reprezentującej kontrolowanego oraz nazwę organu reprezentującego kontrolowanego;
  3. imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer imiennego upoważnienia kontrolującego, a w przypadku członka lub pracownika organu nadzorczego państwa członkowskiego Unii Europejskiej, imię i nazwisko, numer dokumentu potwierdzającego tożsamość oraz numer imiennego upoważnienia;
  4. datę rozpoczęcia i zakończenia czynności kontrolnych;
  5. określenie zakresu przedmiotowego kontroli;
  6. opis stanu faktycznego ustalonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
  7. wyszczególnienie załączników;
  8. omówienie dokonanych w protokole kontroli poprawek, skreśleń i uzupełnień;
  9. pouczenie kontrolowanego o prawie zgłaszania zastrzeżeń do protokołu kontroli oraz o prawie odmowy podpisania protokołu kontroli;
  10. datę i miejsce podpisania protokołu kontroli przez kontrolującego i kontrolowanego.

Protokół kontroli podpisuje kontrolujący i przekazuje kontrolowanemu w celu podpisania. Kontrolowany w ciągu 7 dni od dnia przedstawienia protokołu kontroli podpisuje go albo składa pisemne zastrzeżenia do jego treści. W przypadku złożenia zastrzeżeń, kontrolujący dokonuje ich analizy i, w razie potrzeby, podejmuje dodatkowe czynności kontrolne, a w przypadku stwierdzenia zasadności zastrzeżeń, zmienia lub uzupełnia odpowiednią część protokołu kontroli w formie aneksu do protokołu kontroli. W razie nieuwzględnienia zastrzeżeń w całości albo części, kontrolujący przekazuje kontrolowanemu informacje o tym wraz z uzasadnieniem. Brak doręczenia kontrolującemu podpisanego protokołu kontroli i niezgłoszenie zastrzeżeń do jego treści w terminie 7 dni uznaje się za odmowę podpisania protokołu kontroli. O odmowie podpisania protokołu kontroli kontrolujący czyni wzmiankę w tym protokole, zawierającą datę jej dokonania. W przypadku braku doręczenia protokołu kontrolujący dokonuje wzmianki po upływie 7 dni.

Przedsiębiorco – Pamiętaj, że kontrola podlega ograniczeniom

Kontrola nie wiąże się jednak wyłącznie z obowiązkami ze strony podmiotu kontrolowanego. Polskie prawo wymaga, aby wobec przedsiębiorcy były spełnione dodatkowe wymogi ze strony kontrolującego organu. W szczególności organ kontroli musi zawiadomić przedsiębiorcę o zamiarze wszczęcia kontroli. Kontrolę można wszczynać nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli. Jeżeli kontrola nie zostanie wszczęta w terminie 30 dni od dnia doręczenia zawiadomienia, wszczęcie kontroli wymaga ponownego zawiadomienia. Przedsiębiorca nie może podlegać więcej niż jednej kontroli w tym samym czasie. Dlatego jeżeli działalność gospodarcza przedsiębiorcy jest już objęta kontrolą innego organu, organ kontroli odstąpi od podjęcia czynności kontrolnych oraz może ustalić z przedsiębiorcą inny termin przeprowadzenia kontroli. Ważne jest, aby przedsiębiorca prowadził i przechowywał w swojej siedzibie książkę kontroli oraz upoważnienia i protokoły kontroli.

Źródła prawne

  • 1. Art. 58 ust. 1 lit. b Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz. U. UE L. z 2016 r. poz. 119
  • 2. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, Rozdział 9 Kontrola przestrzegania przepisów o ochronie danych osobowych, Dz. U. z 2019 r. poz. 1781
  • 3. Ustawa z dnia 6 marca 2018 r. Prawo Przedsiębiorców, Rozdział 5 Ograniczenia kontroli działalności gospodarczej, Dz. U. z 2024 r. poz. 236

Pobierz PDF

Zobacz również

Poczta elektroniczna jako środowisko przetwarzania danych i potencjalne źródło naruszeń

Komunikat publiczny jako wyjątkowa forma zawiadomienia osób fizycznych o naruszeniu ochrony danych osobowych

Zalecenia Schengen dla Polski w obszarze ochrony danych osobowych