Szczegółowe zasady przetwarzania danych osobowych, kontroli jego prawidłowości oraz zasady udostępniania danych spisano w u stawie z 29.08.1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) – dalej u.o.d.o.
Przystępując do analizy prawnej procedury kontroli przeprowadzanej przez GIODO, stwierdzić należy, że przepisy ustawy o ochronie danych osobowych nie zawierają regulacji ogólnych dotyczących przygotowania kontroli oraz sposobu i terminów informowania podmiotu kontrolowanego o terminie oraz zakresie kontroli. W związku z powyższym konieczne się staje pomocnicze zastosowanie przywołanych już wcześniej przepisów ustawy o kontroli w administracji rządowej, w której art. 20  czytamy, że o planowanej kontroli zawiadamia się kierownika jednostki kontrolowanej, podając przewidywany czas trwania czynności kontrolnych. Z przepisu tego nie wynika, z jakim wyprzedzeniem organ kontrolujący ma obowiązek poinformować o zamiarze realizacji kontroli, przyjmuje się jednak, że winien to być okres konieczny do przygotowania się do kontroli przez podmiot kontrolowany, czyli powinien uwzględniać specyfikę jego działalności oraz zakres kontroli. Ustawa z 2.07.2004 r. o swobodzie działalności gospodarczej (tekst jedn.: Dz. U. z 2013 r. poz. 672 ze zm.) określa ten termin na 7 do 30 dni od dnia doręczenia zawiadomienia o zamiarze kontroli.
Zgodnie z dyspozycją art.  15 ust. 3 u.o.d.o . kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową. Wzory imiennego upoważnienia i legitymacji służbowej określone zostały w załączniku do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 22.04.2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. Nr 94, poz. 923 ze zm.). Z punktu widzenia podmiotu kontrolowanego upoważnienie, o którym mowa w tym przepisie, ma znaczenie podstawowe, określa bowiem m.in. zakres kontroli, a co za tym idzie – zakres danych, do których dostępu GIODO będzie żądał.

Jest to fragment artykułu Artura Tomasza Olszewskiego "Kontrola przetwarzania danych osobowych", opublikowanego w "Dyrektorze Szkoły" nr 3/2014>> @page_break@Zgodnie z  art. 15 ust. 4 u.o.d.o . upoważnienie imienne zawiera:
- wskazanie podstawy prawnej przeprowadzenia kontroli,
- oznaczenie organu kontroli,
-  imię i nazwisko, stanowisko służbowe osoby upoważnionej do przeprowadzenia kontroli oraz numer jej legitymacji służbowej,
- określenie zakresu przedmiotowego kontroli,
- oznaczenie podmiotu objętego kontrolą albo zbioru danych, albo miejsca poddawanego kontroli,
- wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia danej kontroli, 
- podpis GIODO,
- pouczenie kontrolowanego podmiotu o jego prawach i obowiązkach,
- datę i miejsce wystawienia imiennego upoważnienia.
Dane zawarte w pkt 4, 5 i 6 mają dla podmiotu kontrolowanego znaczenie podstawowe, a ich prawidłowe zinterpretowanie daje możliwość należytego przygotowania się do przebiegu kontroli. Pamiętać jednak należy i o tym, że poza oceną zabezpieczenia danych osobowych w określonym, będącym przedmiotem kontroli wycinku działalności szkoły kontrolujący nie pozostanie obojętny wobec sposobu zabezpieczenia danych osobowych w pozostałym dostępnym dla niego zakresie. Wbrew pozorom zakres ten jest dość szeroki i wynikać będzie z kontaktu kontrolującego z poszczególnymi osobami oraz pomieszczeniami w szkole. Pierwszym takim pomieszczeniem będzie sekretariat szkoły oraz gabinet dyrektora. Usytuowanie komputerów względem osób wchodzących do sekretariatu lub gabinetu będzie jednym z pierwszych spostrzeżeń kontrolerów. Analogicznie ocenie będzie podlegał sposób przechowywania dokumentów, ich zabezpieczenie oraz to, czy w chwili wejścia kontrolera dokumenty te znajdowały się w miejscu powszechnie dostępnym.

Jest to fragment artykułu Artura Tomasza Olszewskiego "Kontrola przetwarzania danych osobowych", opublikowanego w "Dyrektorze Szkoły" nr 3/2014>>