- Kontrola może być prowadzona z urzędu lub na podstawie wniosku innego podmiotu (np. Urząd Gminy, Urząd Miasta, PIP, NIK).
- Kontroli poddawane są podmioty należące do sfery publicznej i prywatnej.
- Kontrola przetwarzania danych osobowych obejmuje zarówno administratorów danych podlegających obowiązkowi zgłoszenia zbioru do rejestracji, jak też administratorów danych, którzy z mocy ustawy są z obowiązku rejestracji zwolnieni.
Podczas kontroli przestrzegania przepisów Ustawy badane są głównie następujące kwestie:
- przesłanki legalności przetwarzania danych osobowych,
- przesłanki legalności przetwarzania danych szczególnie chronionych,
- zakres i cel przetwarzania danych,
- merytoryczna poprawność danych i ich adekwatność do celu przetwarzania,
- obowiązki informacyjne ADO,
- zasadność zgłaszania zbioru do rejestracji,
- sposób zabezpieczania danych.
Podczas kontroli ustala się, czy:
- wszystkie osoby biorące udział w procesie przetwarzania danych, tj. uczestniczące w jakichkolwiek operacjach wykonywanych na danych osobowych, takich jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie, posiadają upoważnienie nadane przez administratora danych,
- kontrolowany podmiot prowadzi ewidencję osób upoważnionych do przetwarzania danych,
- osoby upoważnione do przetwarzania danych zachowują poufność danych,
- administrator danych wyznaczył administratora bezpieczeństwa informacji,
- administrator danych zapewnił kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane,
- urządzenia i systemy informatyczne spełniają wymogi bezpieczeństwa.
Uprawnienia pokontrolne Generalnego Inspektora Ochrony Danych Osobowych w przypadku stwierdzenia naruszenia przepisów Ustawy
- Wszczęcie postępowania administracyjnego i wydanie decyzji:
- nakazujące przywrócenie stanu zgodnego z prawem,
- umarzające postępowanie jako bezprzedmiotowe, jeżeli postępowanie administracyjne zostało wszczęte w wyniku stwierdzonych w toku kontroli uchybień, a w trakcie postępowania kontrolowany podmiot je usunął i przywrócił stan zgodny z prawem;
- skierowanie do kontrolowanej jednostki wniosku o wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień;
- skierowanie zawiadomienie o popełnieniu przestępstwa jeżeli wyniki kontroli będą wskazywać, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej wyczerpuje znamiona przestępstwa określonego w Ustawie.
Decyzja nakazująca przywrócenie stanu zgodnego z prawem może zobowiązywać jednostkę w szczególności do:
- usunięcia uchybień,
- uzupełnienia, uaktualnienia, sprostowania, udostępnienia lub nieudostępnienia danych osobowych,
- zastosowania dodatkowych środków zabezpieczających zgroma-dzone dane osobowe,
- wstrzymania przekazywania danych osobowych do państwa trzeciego,
- zabezpieczenia danych,
- usunięcia danych osobowych.
Decyzje GIODO podlegają egzekucji administracyjnej.