Kontrole

Podstawa prawna

W ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2024 r. poz. 1077) (dalej: UKSC) znajduje się rozdział 11 – „Nadzór i kontrola operatorów usług kluczowych, dostawców usług cyfrowych i podmiotów świadczących usługi w zakresie cyberbezpieczeństwa”. Reguluje on kwestie związane z prowadzeniem kontroli i nadzorem nad operatorami usług kluczowych w tym z sektora energii.

Zgodnie z art. 53 ust. 1 UKSC, nadzór w zakresie stosowania przepisów ustawy sprawują organy właściwe do spraw cyberbezpieczeństwa w zakresie wykonywania przez operatorów usług kluczowych wynikających z ustawy obowiązków dotyczących przeciwdziałania zagrożeniom cyberbezpieczeństwa i zgłaszania incydentów poważnych. Organ właściwy ds. cyberbezpieczeństwa dla sektora energii, którym jest minister właściwy ds. energii (obecnie Minister Energii), może prowadzić kontrole u operatorów usług kluczowych.

Zgodnie z UKSC do kontroli, której zakres określony jest w art. 53 ust. 1 pkt 2 UKSC, realizowanej wobec podmiotów będących przedsiębiorcami stosuje się przepisy rozdziału 5 ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców (t.j. Dz.U. z 2025 r. poz. 1480) (dalej: UPP).

Do podmiotów niebędących przedsiębiorcami stosuje się przepisy ustawy z dnia 15 lipca 2011 r. o kontroli w administracji rządowej określające zasady i tryb przeprowadzania kontroli.

Planowanie i przebieg kontroli

Rozdział 5 ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców (przedstawia ograniczenia kontroli działalności gospodarczej).

Zgodnie z art. 47 UPP kontrole planuje się i przeprowadza po uprzednim dokonaniu analizy prawdopodobieństwa naruszenia prawa w ramach wykonywania działalności gospodarczej. Analiza obejmuje identyfikację obszarów podmiotowych i przedmiotowych, w których ryzyko naruszenia przepisów jest największe. Sposób przeprowadzenia analizy określa organ kontroli lub organ nadrzędny.

Organ kontroli ma obowiązek zawiadomić przedsiębiorcę o zamiarze wszczęcia kontroli. Kontrolę wszczyna się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli. Jeżeli kontrola nie zostanie wszczęta w terminie 30 dni od dnia doręczenia zawiadomienia, wszczęcie kontroli wymaga ponownego zawiadomienia.

Zawiadomienie o zamiarze wszczęcia kontroli zawiera:

oznaczenie organu;
datę i miejsce wystawienia;
oznaczenie przedsiębiorcy;
wskazanie zakresu przedmiotowego kontroli;
imię, nazwisko oraz podpis osoby upoważnionej do zawiadomienia z podaniem zajmowanego stanowiska lub funkcji.

Czynności kontrolne mogą być wykonywane przez pracowników organu kontroli po okazaniu przedsiębiorcy albo osobie przez niego upoważnionej legitymacji służbowej upoważniającej do wykonywania takich czynności oraz po doręczeniu upoważnienia do przeprowadzenia kontroli.

Zmiana osób upoważnionych do przeprowadzenia kontroli, zakresu przedmiotowego kontroli oraz miejsca wykonywania czynności kontrolnych wymaga każdorazowo wydania odrębnego upoważnienia. Zmiany te nie mogą prowadzić do wydłużenia przewidywanego wcześniej terminu zakończenia kontroli.

Upoważnienie, o którym mowa powyżej, zawiera w szczególności:

1. wskazanie podstawy prawnej;
2. oznaczenie organu kontroli;
3. datę i miejsce wystawienia;
4. imię i nazwisko pracownika organu kontroli uprawnionego do przeprowadzenia kontroli oraz numer jego legitymacji służbowej;
5. oznaczenie przedsiębiorcy objętego kontrolą;
6. określenie zakresu przedmiotowego kontroli;
7. wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia kontroli;
8. imię, nazwisko oraz podpis osoby udzielającej upoważnienia z podaniem zajmowanego stanowiska lub funkcji;
9. pouczenie o prawach i obowiązkach przedsiębiorcy.

Dokument, który nie spełnia wymagań, o których mowa wyżej, nie stanowi podstawy do przeprowadzenia kontroli.

Zakres kontroli nie może wykraczać poza zakres wskazany w upoważnieniu.

Czynności kontrolne wykonuje się w obecności przedsiębiorcy lub osoby przez niego upoważnionej. Przedsiębiorca wskazuje na piśmie osobę upoważnioną w szczególności w czasie swojej nieobecności. W przypadku nieobecności przedsiębiorcy lub osoby przez niego upoważnionej albo niewykonania przez przedsiębiorcę obowiązku, o którym mowa w art. 50 ust. 3 UPP, czynności kontrolne mogą być wykonywane w obecności innego pracownika przedsiębiorcy lub osoby zatrudnionej u przedsiębiorcy w ramach innego stosunku prawnego, którzy mogą być uznani za osobę, o której mowa w art. 97 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny, lub w obecności przywołanego świadka, którym powinien być funkcjonariusz publiczny, niebędący jednak pracownikiem organu przeprowadzającego kontrolę.

Kontrolę przeprowadza się w siedzibie przedsiębiorcy lub w miejscu wykonywania działalności gospodarczej oraz w godzinach pracy lub w czasie faktycznego wykonywania działalności gospodarczej przez przedsiębiorcę.

Za zgodą lub na wniosek przedsiębiorcy kontrolę przeprowadza się w miejscu przechowywania dokumentacji, w tym ksiąg podatkowych, innym niż siedziba lub miejsce wykonywania działalności gospodarczej, jeżeli może to usprawnić prowadzenie kontroli.

Za zgodą przedsiębiorcy kontrola lub poszczególne czynności kontrolne mogą być przeprowadzane również w siedzibie organu kontroli, jeżeli może to usprawnić prowadzenie kontroli.

Za zgodą przedsiębiorcy kontrola lub poszczególne czynności kontrolne mogą być przeprowadzone w sposób zdalny za pośrednictwem operatora pocztowego w rozumieniu ustawy z dnia 23 listopada 2012 r. - Prawo pocztowe (t.j. Dz.U. z 2025 r. poz. 366) lub za pomocą środków komunikacji elektronicznej w rozumieniu art. 2 pkt 5 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz.U. z 2024 r. poz. 1513), jeżeli może to usprawnić prowadzenie kontroli lub przemawia za tym charakter prowadzonej przez przedsiębiorcę działalności gospodarczej.

Ustalenia kontroli zamieszcza się w protokole kontroli.