Generalny Inspektor Danych Osobowych może kontrolować nie tylko podmioty publiczne, takie jak jednostki samorządu terytorialnego czy sądy. Ma prawo także sprawdzić ochronę danych osobowych m.in. w spółkach z o.o. i spółkach akcyjnych.
Kontrolą GIODO mogą być objęte podmioty publiczne, np. Kancelaria Prezydenta RP, Kancelaria Sejmu, Kancelaria Senatu, Kancelaria Prezesa Rady Ministrów, ministerstwa, sądy, prokuratury, jednostki policji, urzędy skarbowe, publiczne zakłady opieki zdrowotnej, Zakład Ubezpieczeń Społecznych, gminy, powiaty, województwa i inne.
Ale legalność, zabezpieczenie i przetwarzanie danych osobowych mogą być kontrolowane także w podmiotach prywatnych.
Podmioty prywatne podlegające kontroli
Poza podmiotami publicznymi, drugą grupę podmiotów objętych kontrolą stanowią następujące podmioty prywatne:
- podmioty niepubliczne realizujące zadania publiczne (np. prywatne zakłady opieki zdrowotnej, prywatne szkoły i przedszkola),
- osoby fizyczne i osoby prawne (np. spółki z o.o., spółki akcyjne, stowarzyszenia, fundacje, spółdzielnie)
- jednostki organizacyjne niebędące osobami prawnymi (np. niemające osobowości prawnej spółki prawa handlowego);
Wszystkie one podlegają kontroli, jeżeli przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Ustawa o ochronie danych obejmuje bowiem te podmioty prywatne, które _ mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej _(art. 3 ust. 3 ustawy).
Termin i czas kontroli
Chociaż kontrola GIODO nie musi być zapowiedziana, nie może być tajna.
Inspekcja z biura GIODO może być przeprowadzona bez uprzedzenia. Kontroler powinien odwiedzić firmę w godzinach od 6.00 do 22.00. Czas trwania kontroli jest ustalany przez GIODO, przy czym przepisy nie przewidują w tej kwestii łącznych limitów.
Przy określaniu terminu kontroli uwzględnia się w szczególności rodzaj kontroli (czy ma być ona całościowa, czy tylko częściowa), zakres przedmiotowy kontroli i wielkość podmiotu kontrolowanego.
Przed rozpoczęciem kontroli inspektorzy biura GIODO zawsze zgłaszają swoją obecność kontrolowanemu.
Miejsce kontroli
Kontrolę przeprowadza się w siedzibie podmiotu kontrolowanego, ale nie tylko. Kontroler może np. odwiedzić miejsce przechowywania dokumentacji zawierającej dane osobowe, jeśli znajduje się ono poza główną siedzibą firmy kontrolowanej.
W niektórych przypadkach kontroler może być też uprawniony do przeprowadzania oględzin budynków, pomieszczeń lub części pomieszczeń, stanowisk pracy tworzących obszar, w którym przetwarzane są dane osobowe. Inspektor może też mieć prawo przeprowadzania oględzin przebiegu procesu przetwarzania danych (np. ich przesyłu).
Materiał powstał w oparciu o informację Generalnego Inspektora Ochrony Danych Osobowych