Die polnische Datenschutzaufsichtsbehörde hat einen Plan der Kontrollverfahren für 2019 veröffentlicht. Somit können sich Unternehmen darauf vorbereiten. Dabei sollten sie die Vorschriften des polnischen Datenschutzgesetzes berücksichtigen.
Plan der Kontrolle durch die polnische Aufsichtsbehörde
Dem veröffentlichten Plan[1] ist zu entnehmen, dass die Kontrollen vor allem jene Unternehmen betreffen können, die im Rahmen ihrer Tätigkeit personenbezogene Daten in großem Umfang verarbeiten (z.B. Anbieter von Telemarketing-Dienstleistungen, Banken, Versicherungsunternehmen). Das polnische Datenschutzamt hat jedoch auch vor, die Videoüberwachung und die Bewerbungsprozesse bei den Arbeitgebern zu kontrollieren. Das bedeutet nicht, dass bei sonstigen Unternehmen, die in dem Plan nicht berücksichtigt wurden, keine Kontrollen durchgeführt werden können. Der Präsident des Datenschutzsamtes kann eine Kontrolle jederzeit aufgrund erhaltener Information oder im Rahmen seiner Überwachungskompetenzen einleiten.
Ankündigung einer Kontrolle
Das Datenschutzkontrollverfahren unterliegt dem polnischen Datenschutzgesetz[2]. Die Kontrolle fängt mit der Vorlage einer Ermächtigung zur Durchführung der Kontrolle durch zuständige Mitarbeiter des Datenschutzamtes an und dauert max. 30 Tage. Die in der Ermächtigung enthaltenen Informationen bestimmen den Umgang der Kontrolle. Vorherige Ankündigung der Kontrolle ist nicht erforderlich, aber in der Praxis werden Unternehmen in der Regel von dem beabsichtigten Kontrollverfahren benachrichtigt.
Kontrollablauf
Die Kontrolltätigkeiten finden in der Anwesenheit des Unternehmers oder einer von ihm ermächtigten Person statt. Während der Kontrolle steht der Datenschutzaufsichtsbehörde das Recht zu, Zugang zu sämtlichen Immobilien, Gebäuden und Räumen sowie Einsicht in mit der Kontrolle verbundenen Unterlagen und Angaben zu bekommen, Sichtprüfungen (u.a. von Räumen, Gegenständen und IT-Systemen) und Zeugenvernehmungen durchzuführen sowie die Erstellung eines Gutachtens zu beauftragen. In begründeten Fällen darf der Ablauf der Kontrolle aufgenommen werden, wobei das Unternehmen davon benachrichtigt werden muss.
Im Rahmen des Verfahrens sollte das betroffene Unternehmen auch den Schutz seiner Geschäftsgeheimnisse berücksichtigen. Bestimmte Informationen oder Unterlagen des Unternehmens können als Geschäftsgeheimnis vorbehalten werden. Dann können die Unterlagen an die Datenschutzbehörde in zwei Fassungen übermittelt werden, und zwar mit und ohne Informationen, die als Geschäftsgeheimnis gelten. Die Datenschutzbehörde kann jedoch den Vorbehalt des Geschäftsgeheimnises nicht anerkennen, wenn die Voraussetzungen für das Vorliegen eines Geschäftsgeheimnisses nicht erfüllt sind.
Zum Abschluss der Kontrolle wird ein Kontrollbericht erstellt. Der Bericht beinhaltet u.a. die Beschreibung des Sachverhalts und sonstige Informationen zur Überprüfung der Einhaltung der datenschutzrechtlichen Vorschriften und wird dem kontrollierten Unternehmen zur Unterzeichnung übermittelt. Der Bericht stellt eine Grundlage für die Entscheidung des Präsidenten des Datenschutzsamtes über weitere Schritte dar. Deswegen sollte das Unternehmen den Bericht überprüfen und ggf. innerhalb von 7 Tagen ab Erhalt beanstanden, sofern Bedenken bzw. Unstimmigkeiten bestehen.
Verfahren nach der Kontrolle
Aufgrund des Kontrollberichts trifft der Präsident des Datenschutzsamtes eine Entscheidung, ob gegen das Unternehmen ein Verfahren wegen Verletzungen des Schutzes personenbezogener Daten eingeleitet werden soll. Die im Rahmen des Kontrollverfahrens erworbene Dokumentation stellt ggf. Beweismaterial fürs weitere Verfahren dar. In diesem Verfahren kann das Datenschutzamt dem Unternehmen eine Geldbuße auferlegen oder andere Maßnahmen gegenüber dem Unternehmen vorzunehmen (z.B. Warnungen, Anweisungen zur Beschränkung der Datenverarbeitung oder zur Berichtigung oder Löschung personenbezogener Daten).
[1] Plan zu den sektorspezifischen Kontrollen des polnischen Datenschutzamtes für 2019, Quelle: https://uodo.gov.pl/pl/138/679.
[2] Gesetz vom 10. Mai 2018 – Datenschutzgesetz (Gesetzblatt „Dziennik Ustaw“ von 2018 Pos. 1000).
