Jak już wiesz z naszego poprzedniego artykułu, kontrola Prezesa Urzędu Danych Osobowych (PUODO) to standardowe działanie tego urzędu i przebiega według ustalonego schematu. Jak każda inna kontrola urzędowa może być stresująca.

Jednak mając uporządkowane tematy RODO w Twoim studio gamedev i wiedząc, czego się możesz spodziewać, możesz to napięcie skutecznie zminimalizować.

Kontrola Prezesa Urzędu Ochrony Danych Osobowych

Kontrola PUODO może mieć kilka źródeł:

1. Plan opracowywany przez Urząd na każdy rok, który przewiduje kontrole w konkretnych branżach [plan na 2022 rok opublikowany został na tej stronie].
2. Kontrola w wyniku zgłoszenia skargi przez osoby, których dane osobowe przetwarzasz, sygnalistów albo też z inicjatywy sądów, prokuratur; a także innych organów, którym przepisy nadają uprawnienia kontrolne.
3. Kontrola spowodowana incydentem ochrony danych osobowych, czyli np. naruszeniem, wyciekiem.
4. Kontrola ad hoc – „wyrywkowa”.

O ile Twoja branża nie jest na liście z punktu pierwszego, kontrola może Cię spotkać najczęściej w wyniku zajścia incydentu ochrony danych osobowych.

Jeśli zatem doszło do naruszenia danych przez Twoje studio i spodziewasz się kontroli, poniżej podpowiadamy Ci, jak dobrze się do niej przygotować.

Teoretycznie możliwa jest kontrola całkowicie niezapowiedziana. Musisz jednak wiedzieć, że urzędnicy też chcą ułatwić sobie pracę i wcześniej kontaktują się z organizacją, którą planują skontrolować. Bardzo istotnym jest, żeby kontroli nie utrudniać ani nie udaremniać! Grozi za to kara grzywny, ograniczenia wolności albo pozbawienia wolności do lat dwóch. Jeśli jest coś, co z tego wpisu koniecznie musisz zapamiętać, to następująca zasada: współpracuj z organem kontrolnym.

Jak długo trwa kontrola PUODO i jak przebiega?

Kontrola trwa nie dłużej niż 30 dni. Zaczyna się od dnia okazania kontrolowanemu (lub innej osobie wskazanej w przepisach) imiennego upoważnienia do przeprowadzenia kontroli oraz legitymacji służbowej lub innego dokumentu potwierdzającego tożsamość. Bardzo ważne, abyś ten dokument sprawdził!

Naturalnie, te 30 dni nie oznaczają, że kontroler tyle czasu spędzi w Twoim studio. Szczególnie, że większość czynności odbywa się poza siedzibą kontrolowanego.

Najważniejszym, co bada urząd, jest dokumentacja

O ile nie masz „gotowców” z internetu, a RODO zostało odpowiednio wdrożone w Twoim studio i je regularnie aktualizujesz – raczej nie masz powodów do niepokoju.

Listę dokumentów, które musisz wdrożyć, przedstawiliśmy Ci naszym poprzednim artykule, a tu przypominamy o najważniejszych:

• Procedury RODO: najczęściej zebrane w Polityce Ochrony Danych (w tym polityka bezpieczeństwa – chodzi w nich o wskazanie jak zabezpieczasz dane np. przed wyciekiem, atakiem hakerskim)
• Rejestr Czynności Przetwarzania i Rejestr Kategorii Czynności Przetwarzania
• Rejestr naruszeń
• Analiza ryzyka
• Upoważnienia do przetwarzania Twoich pracowników lub zleceniobiorców
• Klauzule informacyjne i zgody na przetwarzanie danych (jeśli są potrzebne)

Protokół pokontrolny i zastrzeżenia

Na zakończenie kontroli otrzymasz protokół. Od momentu jego przedstawienia masz 7 dni na podpisanie (gdy się zgadasz z wynikiem kontroli) albo złożenie pisemnych zastrzeżeń do treści tego raportu (gdy się nie zgadzasz).

Jeśli kontroler stwierdzi, że zastrzeżenia podniosłeś słusznie podejmie dodatkowe czynności kontrolne. W razie, gdy zastrzeżenia okażą się zasadne, osoba kontrolująca zmieni lub uzupełni odpowiednią część protokołu kontroli (będzie to aneks).

Pamiętaj, że na każdym etapie kontroli może pomóc Ci profesjonalista. Jeśli obawiasz się kontaktu z urzędnikami, poproś o pomoc prawnika. W sprawach naruszeń danych osobowych lepiej dmuchać na zimne.