Generalny inspektor ochrony danych osobowych może skontrolować każdy podmiot, nawet ten który nie przetwarza żadnych danych – choćby po to, aby upewnić się, że rzeczywiście tak jest.
Kontrola najczęściej prowadzona jest na podstawie skargi poszczególnych osób dotyczących naruszenia przez podmiot przepisów o ochronie danych osobowych. Generalny inspektor podkreśla, że skupia się przede wszystkim na kontrolowaniu podmiotów, na które wpływają skargi, ponieważ jest to sygnał, że może w nich dochodzić do poważnego naruszenia przepisów.
Generalny inspektor ochrony danych osobowych ponadto przeprowadza kontrolę z urzędu. Co roku wybierane są różne branże, albo sektory działalności, którym organ chce się lepiej przyjrzeć i sprawdzić, czy dane osobowe są przetwarzane zgodnie z prawem. Podmiot podlegający kontroli, zazwyczaj jest informowany o planowanej kontroli z pewnym wyprzedzeniem, wynoszącym minimum 7 dni.
Należy nadmienić, iż kontrole mogą być również przeprowadzane przez Państwową Inspekcję Pracy oraz Najwyższą Izbę Kontroli. Organy na podstawie zawartych z GIODO porozumień, zobowiązały się m.in. do zawiadomienia GIODO o stwierdzonych w czasie swoich kontroli, nieprawidłowościach w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych.
Przedsiębiorcy, którzy przetwarzają dane osobowe zgodnie z prawem, posiadający odpowiednią dokumentację oraz stosujący odpowiednie środki organizacyjne i techniczne, mogą skutecznie zmniejszyć ryzyko wpłynięcia na nich skarg i w konsekwencji kontroli przeprowadzonej przez GIODO. Biorąc pod uwagę wysokość przewidzianych kar za nieprzestrzeganie prawa o ochronie danych osobowych, należy stwierdzić, że jak najszybszy proces wdrażania stosownych zmian wydaje się być jedynym rozsądnym rozwiązaniem.
