Jak przygotować firmę do kontroli UODO lub GIIF?

Co kontroluje UODO?

UODO (Urząd Ochrony Danych Osobowych) sprawdza zgodność przetwarzania danych osobowych z przepisami RODO. Pod lupę trafiają m.in.:

• legalność zbierania danych (np. zgody marketingowe, podstawy przetwarzania),
• realizacja praw klientów (np. prawo dostępu, usunięcia, sprostowania),
• bezpieczeństwo danych (organizacyjne i techniczne środki ochrony),
• dokumentacja RODO (rejestry czynności przetwarzania, polityki prywatności, umowy powierzenia),
• zgłaszanie naruszeń danych osobowych.

Co kontroluje GIIF?

GIIF (Generalny Inspektor Informacji Finansowej) – działający przy Ministerstwie Finansów – kontroluje przestrzeganie ustawy AML, czyli przepisów o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Kluczowe obszary kontroli to:

• realizacja obowiązków identyfikacji i weryfikacji klienta,
• analiza transakcji podejrzanych,
• prowadzenie rejestru transakcji ponadprogowych,
• zgłaszanie transakcji do systemu STIR lub GIIF,
• polityki wewnętrzne AML i procedury KYC (Know Your Customer),
• szkolenia personelu i nadzór wewnętrzny.

Jak przygotować się do kontroli? – Lista kontrolna

✅ 1. Kompletna dokumentacja RODO i AML

• Rejestr czynności przetwarzania (RODO, art. 30)
• Polityka ochrony danych i polityka bezpieczeństwa
• Umowy powierzenia danych osobowych
• Procedura realizacji praw osób fizycznych
• Polityka AML (wymagana ustawowo!)
• Procedura weryfikacji klienta (KYC)
• Rejestr transakcji i zgłoszeń do GIIF (jeśli dotyczy)

✅ 2. Aktualne szkolenia pracowników

• Minimum 1 raz w roku: szkolenie z RODO i AML
• Potwierdzenie odbycia szkoleń (lista obecności, testy wiedzy, certyfikaty)
• Osoba wyznaczona do nadzoru nad zgodnością (np. Inspektor Ochrony Danych lub osoba ds. AML)

✅ 3. Gotowość operacyjna i techniczna

• System backupów danych i dostęp do archiwów
• Zabezpieczenia informatyczne (hasła, dostęp, szyfrowanie)
• Uprawnienia do danych (kto ma dostęp i do czego)

✅ 4. Procedury w sytuacjach kryzysowych

• Procedura zgłaszania naruszeń danych (do UODO w 72h)
• Procedura zgłoszenia transakcji podejrzanej do GIIF
• Plan działań naprawczych w razie stwierdzenia uchybień

Czego najczęściej brakuje firmom pośredniczącym?

❌ brak rejestru czynności przetwarzania (RODO)

❌ brak udokumentowanej polityki AML

❌ brak szkolenia personelu (lub brak potwierdzenia jego odbycia)

❌ brak reakcji na prośby klientów o dostęp do danych

❌ nieaktualne lub niepodpisane umowy powierzenia danych z dostawcami systemów CRM

Jak wygląda kontrola w praktyce?

Zazwyczaj kontrola jest zapowiedziana – urząd wysyła zawiadomienie i wskazuje, jakie dokumenty mają być przygotowane. Inspektorzy mogą przyjechać na miejsce lub poprosić o przesłanie dokumentacji.

Masz obowiązek współpracować, udostępnić żądane informacje i zapewnić dostęp do systemów. W przypadku uchybień możesz otrzymać zalecenia pokontrolne, a w poważniejszych sytuacjach – decyzję administracyjną lub nawet karę finansową.

Podstawy prawne i źródła

• RODO (Rozporządzenie UE 2016/679) – art. 30–33, 5–6:
• https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679
• Ustawa AML z dnia 1 marca 2018 r. (Dz.U. 2018 poz. 723 z późn. zm.):
• https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20180000723
• UODO – oficjalna strona z wzorami dokumentów i wyjaśnieniami:
• https://uodo.gov.pl
• GIIF – informacje, raporty i formularze zgłoszeń:
• https://www.gov.pl/web/finanse/generalny-inspektor-informacji-finansowej

Podsumowanie

Dla pośrednika finansowego kontrola UODO lub GIIF nie musi być stresująca – pod warunkiem, że wcześniej zadbał o dokumentację, szkolenia i procedury. Zaskoczenie i chaos to najgorszy możliwy scenariusz. Warto więc już dziś zrobić audyt zgodności, przeszkolić zespół i uaktualnić polityki. Pamiętaj – niewiedza nie chroni przed odpowiedzialnością, a dobrze przygotowana firma wygrywa nie tylko z urzędami, ale też z konkurencją.