Wejście w życie rozporządzenia o ochronie danych osobowych (RODO) po raz pierwszy w historii prawa unijnego nałożyło na wielu administratorów danych/podmiotów przetwarzających obowiązek wyznaczenia inspektora ochrony danych. Szacuje się, że jedynie w Europie, RODO wymusiło wyznaczenie 28 tysięcy inspektorów ochrony danych (IOD), a na całym świecie około 75 tysięcy . Chociaż u wielu administratorów danych/podmiotów przetwarzających, jeszcze przed wejściem w życie regulacji funkcjonowały podobne stanowiska, to RODO precyzyjnie określa kiedy należy wyznaczyć inspektora ochrony danych, warunki, jakie trzeba spełnić aby zapewnić jego niezależność,zadania i wymagania przed nim stawiane. Postaramy się zatem przybliżyć czytelnikom praktyczne aspekty funkcjonowania inspektora ochrony danych w strukturze administratora danych.
KIEDY WYZNACZYĆ INSPEKTORA OCHRONY DANYCH?
Inspektor ochrony danych powinien być wyznaczony zawsze, gdy przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. W sektorze prywatnym administrator danych/podmiot przetwarzający zobowiązany jest do wyznaczenia IOD, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych na dużą skalę. Obowiązek taki pojawi się również gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Przepisy RODO w tym zakresie zawierają jednak wiele niedopowiedzeń, a pojęcia takie jak „główna działalność” czy „duża skala” wymagają doprecyzowania. Motyw 97 preambuły RODO wskazuje, że dana działalność może być uznana za główną, jeśli oznacza jego zasadnicze, a nie poboczne czynności. Obejmie to sytuację, gdy dana działalność administratora/podmiotu przetwarzającegodla prawidłowego i efektywnegowykonywania wymaga przetwarzania danych osobowych (nawet jeśli samo przetwarzanie nie należy do statutowej, głównej działalności podmiotu. Dla przykładu, jeśli główną działalnością spółki jest dostarczanie prywatnej opieki medycznej, można domniemywać, że dla zapewnienia prawidłowej działalności spółka ta będzie musiała również przetwarzać dane osobowe.
Oceniając, czy administrator danych/podmiot przetwarzający przetwarza dane na „dużą skalę” warto wziąć pod uwagę wytyczne Grupy Roboczej Art. 29. Konieczne jest przeanalizowanie takich aspektów jak: liczba osób, których dane są przetwarzane; zakres przetwarzania danych osobowych; okres, przez jak są przetwarzane oraz zakres geograficznego przetwarzania danych. Brak jest jednak obecnie dalszych wytycznych w tym zakresie, a każdy przypadek powinien podlegać indywidualnej ocenie.
Niezależnie od tego, administratorzy danych/podmioty przetwarzające mogą dobrowolnie wyznaczyć inspektora ochrony danych. Może to ułatwić przestrzeganie przepisów, jak również przyczynić się do wzrostu konkurencyjności przedsiębiorstwa. Należy jednak pamiętać, że niezależnie od tego, czy na administratorze ciążył obowiązek wyznaczenia IOD czy zrobił to dobrowolnie, konieczne jest aby zagwarantować osobie wykonującej te obowiązku odpowiednią pozycję w przedsiębiorstwie administratora oraz pełną niezależność.
KTO MOŻE PEŁNIĆ FUNKCJĘ INSPEKTORA OCHRONY DANYCH?
Rozporządzenie o ochronie danych osobowych nie przewiduje szczególnie wysokich wymagań w stosunku do osoby pełniącej funkcje inspektora ochrony danych. Powinna ona jedynie wykazywać odpowiednie kwalifikacje zawodowe, w szczególności posiadać fachową wiedzę na temat prawa i praktykę w dziedzinie ochrony danych oraz umiejętności niezbędne do wykonywania zadań IOD. Na pełnienie tej funkcji może być wyznaczona zarówno osoba zatrudniona w oparciu o umowę o pracę (np. dotychczasowy pracownik) jak również osoba wykonująca obowiązki IOD na podstawie umowy o świadczenie usług. Konieczne jest jednak zapewnienie takiej osobie odpowiedniego stopnia niezależności, zatem nie rekomenduje się, aby funkcję tę sprawował członek zarządu.
Obecnie zawód inspektora ochrony danych nie jest zawodem regulowanym. Podmiot wyznaczający osobę do pełnienia funkcji IOD powinien zatem samodzielnie przeanalizować dotychczasowe doświadczenie kandydata, jego znajomość regulacji prawnych w dziedzinie ochrony danych osobowych, jak również ukończone szkolenia i uzyskane certyfikaty.
Ustawa o ochronie danych osobowych zobowiązuje podmioty, które wyznaczyły inspektora ochrony danych do zawiadomienia o tym fakcie Prezesa Urzędu Ochrony Danych Osobowych w terminie 14 dni od dnia jego wyznaczenia. Zawiadomienia można dokonać pisemnie bądź elektronicznie, samodzielnie lub przez pełnomocnika. Informacja o wyznaczeniu inspektora ochrony danych powinna również znaleźć się na stronie internetowej podmiotu wyznaczającego IOD, a jeśli nie prowadzi on takiej strony – dane inspektora powinny być ujawnione w sposób ogólnie dostępny w miejscu prowadzenia działalności.
POZYCJA INSPEKTORA OCHRONY DANYCH W PRZEDSIĘBIORSTWIE
Rozporządzenie o ochronie danych osobowych wskazuje, że inspektorowi ochrony danych powinno się zapewnić odpowiednią pozycję w organizacji niezbędna do wykonywania jego zadań. Do środków to umożliwiających należy zaliczyć: udział inspektora w spotkaniach przedstawicieli wyższego i średniego szczebla w organizacji; uczestnictwo inspektora przy podejmowaniu decyzji dotyczących przetwarzania danych osobowych; branie pod uwagę stanowiska inspektora przy podejmowaniu decyzji dotyczących poszczególnych procesów w organizacji, w trakcie których dochodzi do przetwarzania danych.
Zapewnieniu odpowiedniej pozycji IOD ma pomóc również obowiązek nałożony na podmiot wyznaczający włączania inspektora we wszelkie sprawy dotyczące danych osobowych. Obowiązek ten występuje zarówno w ramach toczących się już procesów, jak również w fazie ich projektowania, a przede wszystkim – w przypadku wystąpienia naruszeń bądź w razie wszczęcia postępowania przez Prezesa Urzędu Ochrony Danych Osobowych.
Inspektorowi ochrony danych nie można wydawać instrukcji w zakresie wykonywania przez niego zadań określonych w art. 39 RODO. Zakaz ten obejmuje instrukcje dotyczące sposobu rozpoznania sprawy, środków, jakie mają zostać podjęte, celu, jaki powinien zostać osiągnięty czy decyzji o skontaktowaniu się z organem nadzorczym. Inspektor ochrony danych nie może zostać zmuszony do przyjęcia określonego stanowiska. Ograniczenia związane z pozycją IOD w organizacji mają zmierzać do zapewnienia jego pełnej niezależności w wykonywaniu zadań, dla których został wyznaczony.
NIEZALEŻNOŚĆ INSPEKTORA OCHRONY DANYCH
Niezależność inspektora ochrony danych jest kluczowa dla swobodnego wykonywania przez niego zadań określonych w art. 39 RODO oraz zapewnienia odpowiedniego poziomu ochrony danych. Gwarancje niezależności inspektora ochrony danych zostały ujęte w art. 38 RODO. Obejmują one nie tylko wspomniany już wcześniej obowiązek włączania inspektora ochrony danych we wszystkie sprawy dotyczące przetwarzania danych osobowych, ale również zapewnienie mu zasobów niezbędnych do wykonywania jego zadań. Inspektor ochrony danych powinien mieć również dostęp do danych osobowych i operacji przetwarzania, a także zostać wyposażonym w zasoby niezbędne do aktualizowania jego fachowej wiedzy.
Niezależność inspektora ochrony danych musi mieć charakter faktyczny, nie wystarczy zatem jedynie zamieszczenie odpowiednich postanowień w regulaminie pracy czy umowie pomiędzy podmiotem wyznaczającym a pełniącym funkcje IOD. Konieczne jest zagwarantowanie funkcjonowania narzędzi przeciwdziałającym konfliktom interesów. Z tego względu nie rekomenduje się, aby funkcje IOD pełnili np. dyrektorzy czy menagerowie poszczególnych działów w przedsiębiorstwie. Każdy przypadek powinien być oceniany indywidualnie biorąc pod uwagę takie kryteria jak np. możliwość swobodnego podejmowania decyzji, istnienie w przedsiębiorstwie polityki mających na celu przeciwdziałanie konfliktom interesów, jak również przejmowanie przez IOD odpowiedzialności za proces przetwarzania danych osobowych.
Zapewnieniu niezależności inspektora ochrony danych ma służyć również zakaz jego odwoływania bądź karania z tytułu wykonywania przez niego obowiązków określonych w art. 39 RODO. Nie oznacza to jednak, że raz wyznaczonego IOD nie można odwołać. Jeśli wystąpią inny przyczyny niż te związane z wykonywaniem jego obowiązków, podmiot wyznaczający IOD może zadecydować o jego odwołaniu zgodnie z regułami wynikającymi z prawa pracy czy prawa cywilnego, a środek ten może być stosowany tak samo jak w przypadku każdego innego pracownika bądź zleceniobiorcy czy w przypadku zaistnienia uzasadnionych przyczyn. Zakaz karania inspektora ochrony danych za wykonywanie obowiązków określonych w art. 39 RODO powinien być rozumiany szeroko i obejmować również między innymi: utrudnienia w otrzymywaniu awansów, zakaz pracy z domu, jeśli przysługuje ona pozostałym pracownikom, nieuzasadnione pozbawianie możliwości wzięcia udziału w szkoleniachczy brania na siebie dodatkowych obowiązków.
JEŚLI NIE IOD TO CO?
Jeśli dany administrator/podmiot przetwarzający uważa, że nie ma obowiązku wyznaczania inspektora ochrony danych powinien zachować dokumentację wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia inspektora, aby wykazać, że stosowne czynniki zostały uwzględnione . Ma to umożliwić administratorowi/podmiotowi przetwarzającemu wywiązanie się z zasady rozliczalności i wykazanie przed organem nadzorczym, że wyznaczenie inspektora nie było konieczne. Jednocześnie warto rozważyć powierzenie chociaż części obowiązków IOD w ręce bądź to wyznaczonego pracownika bądź zespołu prawnego w przedsiębiorstwie. Przyczynić się to może do zwiększenia poziomu ochrony danych osobowych w przedsiębiorstwie oraz podniesienia świadomości pracowników. Część podmiotów decyduje się na wyznaczenie np. komitetu ochrony danych bądź administratora informacji. W razie kontroli takie podmioty nie zostaną jednak uznane za pełniące funkcje inspektora ochrony danych. Konieczne jest dokonywanie okresowego przeglądu procesów przetwarzania danych osobowych, aby wykluczyć pojawienie się obowiązku wyznaczenia inspektora ochrony danych w przyszłości.
Pytania i odpowiedzi
Inspektor ochrony danych nie musi mieć ukończonego dedykowanego kursu, jeżeli w inny sposób jest w stanie wykazać swoją specjalistyczną wiedzę. Z drugiej strony natomiast, nie każda osoba, która jedynie ukończyła kurs inspektora danych będzie miała odpowiednie kwalifikacje do pełnienia tej roli- zgodnie z RODO, kandydat na inspektora powinien wykazywać odpowiednie kwalifikacje zawodowe, w szczególności fachową wiedzę na temat prawa i praktykę w dziedzinie ochrony danych.
Inspektorem ochrony danych osobowych, zgodnie z art. 37 ust. 6 RODO, może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak również osoba spoza grona pracowników ww. podmiotów (outsourcing).
Warto wskazać, że nie każdy przedsiębiorca musi wyznaczyć IOD. Muszą to zrobić w szczególności podmioty zajmujące się w znacznej mierze na przeprowadzaniu operacji przetwarzania danych, takie jak brokerzy baz danych czy agencje rekrutacyjne.
