Jednym z uprawnień Prezesa Urzędu Ochrony Danych Osobowych jest m.in. prowadzenie postępowań w formie audytów ochrony danych. Kontrolerzy co do zasady mogą uzyskać od administratora i podmiotu przetwarzającego dostęp do wszelkich danych osobowych i informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań. Poza tym, mają prawo dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i  środków służących do przetwarzania danych. Organ upoważniony jest do przeprowadzenia postępowania kontrolnego jak i postępowania w sprawie naruszenia. Urząd, co do zasady, wcześniej powiadamia o tym, że ma zostać przeprowadzona kontrola w podmiocie medycznym. Kontrola jest wszczynana nie wcześniej niż po upływie 7 dni i nie później nie przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli. Osoba przeprowadzająca kontrolę zobligowana jest do pokazania upoważnienia zawierającego zakres kontroli. Poza tym, wskazuje osoby upoważnione do jej przeprowadzenia. Najczęściej kontrolę przeprowadzają minimum dwie osoby (prawnik i informatyk). Zgodnie z obowiązującymi przepisami, kontrola nie powinna trwać dłużej niż 30 dni od okazania upoważnienia. Należy sprawdzić, czy osoby podające się za kontrolerów rzeczywiście nimi są! Dopóki podmiot medyczny nie otrzyma upoważnienia z UODO, czy też swojego IOD, to osób nie wpuszczamy na teren placówki medycznej. Podczas kontroli należy umożliwić dostęp kontrolującym od godziny 6:00 do 22:00 do budynków, lokali, pomieszczeń oraz dokumentów i informacji związanych z zakresem kontroli. Sprawdzane będą też systemy informatyczne i ich zabezpieczenia. Kontrolerzy mają prawo zrobić kopię lub wydruki dokumentacji, którą posiada placówka medyczna. Mają także możliwość zwrócenia się o pomoc do policji, aby ta „usprawniła” działania kontrolne w przypadku wystąpienia oporu ze strony podmiotu medycznego. W związku z tym, że funkcję Inspektora Ochrony Danych pełni dla Państwa osoba wyznaczona z ramienia DPAG, prosimy o niezwłoczne powiadomienie nas o planowanej kontroli. Pracownicy DPAG będą obecni podczas kontroli, a przy wcześniejszym zawiadomieniu przeprowadzimy wewnętrzne sprawdzenie i odpowiednio przygotujemy placówkę medyczną.