Wskazówka: Kluczowe jest wcześniejsze zgromadzenie dokumentów, o które mogą prosić kontrolujący. Dzięki temu będziemy w stanie udzielić dokładniejszych wyjaśnień oraz sprostować ewentualne nieścisłości. Aby uniknąć przygotowywania dokumentów tuż przed kontrolą, najlepszym rozwiązaniem jest podejście kompleksowe, tzn. przygotowanie i formalne przyjęcie polityk, procedur i rejestrów, obejmujących te aspekty RODO, które odnoszą się do typowego upoważnienia do kontroli (patrz lista powyżej). Posiadanie takich procedur, a także dowodu, że pracownicy się z nimi zapoznali (a najlepiej – że zostali z nich przeszkoleni), będzie wskazywać na zgodność z RODO. Ze względu na to, że nie sposób przewidzieć wszystkich materiałów, o które kontrolujący będą się zwracać, warto zadbać o stały dostęp do kolorowej drukarki.
Przygotowanie kompletnych protokołów z kontroli
Podczas kontroli będą sporządzane protokoły cząstkowe – m.in. z wyjaśnień poszczególnych osób oraz z oględzin (tzn. wizji lokalnej). Na ich podstawie zostanie przygotowany protokół końcowy. Każdy z protokołów powinien zostać podpisany zarówno przez kontrolujących, jak i przez osoby reprezentujące podmiot kontrolowany. Każdy z protokołów należy dokładnie przeczytać – najlepiej, jeśli zrobią to przynajmniej dwie osoby. Nawet jeśli stanowi powtórzenie ustaleń z protokołów końcowych, to przeczytajmy go na spokojnie jeszcze raz, aby upewnić się, że żaden z istotnych dla nas faktów nie został pominięty.
Przykład: Może się zdarzyć, że kontrolujący, którzy otrzymują od nas wiele informacji i wyjaśnień, zapomną zawrzeć w protokole korzystnych dla nas ustaleń, np. o stosowaniu szyfrowania czy stosowaniu polityki czystego biurka i ekranu. Kontrolujący mogą także źle zrozumieć nasze wyjaśnienia, o czym dowiemy się dopiero z treści protokołu.
Wskazówka: W razie potrzeby, a w szczególności w razie zawarcia w protokole ustaleń, z którymi się nie zgadzamy, warto skorzystać z art. 88 ust. 4 ustawy o ochronie danych osobowych, który daje kontrolowanemu prawo złożenia pisemnych zastrzeżeń do treści protokołu, w terminie 7 dni od dnia przedstawienia go do podpisu.
Podsumowanie
Przygotowanie do kontroli może być traktowane jak ostatnia deska ratunku – tak będzie, jeśli do czasu zawiadomienia o jej przeprowadzeniu nie będziemy dbać o zgodność z RODO. O wiele lepiej, jeśli przygotowanie do kontroli stanie się swoistą filozofią wdrożenia i utrzymania zgodności z RODO. Skoro kontrola stanowi jedną z końcowych form weryfikacji zgodności z RODO, to przygotowanie organizacji pod jej kątem będzie zarazem najlepszym sposobem na sprawnie funkcjonujący system ochrony danych.