KIEDY WYZNACZYĆ INSPEKTORA OCHRONY DANYCH (IOD)?
Inspektor ochrony danych powinien być wyznaczony zawsze, gdy przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. W sektorze prywatnym administrator danych/podmiot przetwarzający zobowiązany jest do wyznaczenia IOD, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych na dużą skalę. Obowiązek taki pojawi się również gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Przepisy RODO w tym zakresie zawierają jednak wiele niedopowiedzeń, a pojęcia takie jak „główna działalność” czy „duża skala” wymagają doprecyzowania. Motyw 97 preambuły RODO wskazuje, że dana działalność może być uznana za główną, jeśli oznacza jego zasadnicze, a nie poboczne czynności. Obejmie to sytuację, gdy dana działalność administratora/podmiotu przetwarzającego dla prawidłowego i efektywnego wykonywania wymaga przetwarzania danych osobowych (nawet jeśli samo przetwarzanie nie należy do statutowej, głównej działalności podmiotu. Dla przykładu, jeśli główną działalnością spółki jest dostarczanie prywatnej opieki medycznej, można domniemywać, że dla zapewnienia prawidłowej działalności spółka ta będzie musiała również przetwarzać dane osobowe.
Oceniając, czy administrator danych/podmiot przetwarzający przetwarza dane na „dużą skalę” warto wziąć pod uwagę wytyczne Grupy Roboczej Art. 29. Konieczne jest przeanalizowanie takich aspektów jak: liczba osób, których dane są przetwarzane; zakres przetwarzania danych osobowych; okres, przez jak są przetwarzane oraz zakres geograficznego przetwarzania danych. Brak jest jednak obecnie dalszych wytycznych w tym zakresie, a każdy przypadek powinien podlegać indywidualnej ocenie.
Niezależnie od tego, administratorzy danych/podmioty przetwarzające mogą dobrowolnie wyznaczyć inspektora ochrony danych. Może to ułatwić przestrzeganie przepisów, jak również przyczynić się do wzrostu konkurencyjności przedsiębiorstwa. Należy jednak pamiętać, że niezależnie od tego, czy na administratorze ciążył obowiązek wyznaczenia IOD czy zrobił to dobrowolnie, konieczne jest aby zagwarantować osobie wykonującej te obowiązku odpowiednią pozycję w przedsiębiorstwie administratora oraz pełną niezależność.
Zobacz również: Jak legalnie stosować profilowanie z RODO?
KTO MOŻE PEŁNIĆ FUNKCJĘ INSPEKTORA OCHRONY DANYCH (IOD) ?
Rozporządzenie o ochronie danych osobowych nie przewiduje szczególnie wysokich wymagań w stosunku do osoby pełniącej funkcje inspektora ochrony danych. Powinna ona jedynie wykazywać odpowiednie kwalifikacje zawodowe, w szczególności posiadać fachową wiedzę na temat prawa i praktykę w dziedzinie ochrony danych oraz umiejętności niezbędne do wykonywania zadań IOD. Na pełnienie tej funkcji może być wyznaczona zarówno osoba zatrudniona w oparciu o umowę o pracę (np. dotychczasowy pracownik) jak również osoba wykonująca obowiązki IOD na podstawie umowy o świadczenie usług. Konieczne jest jednak zapewnienie takiej osobie odpowiedniego stopnia niezależności, zatem nie rekomenduje się, aby funkcję tę sprawował członek zarządu.
Obecnie zawód inspektora ochrony danych nie jest zawodem regulowanym. Podmiot wyznaczający osobę do pełnienia funkcji IOD powinien zatem samodzielnie przeanalizować dotychczasowe doświadczenie kandydata, jego znajomość regulacji prawnych w dziedzinie ochrony danych osobowych, jak również ukończone szkolenia i uzyskane certyfikaty.
Ustawa o ochronie danych osobowych zobowiązuje podmioty, które wyznaczyły inspektora ochrony danych do zawiadomienia o tym fakcie Prezesa Urzędu Ochrony Danych Osobowych w terminie 14 dni od dnia jego wyznaczenia. Zawiadomienia można dokonać pisemnie bądź elektronicznie, samodzielnie lub przez pełnomocnika. Informacja o wyznaczeniu inspektora ochrony danych powinna również znaleźć się na stronie internetowej podmiotu wyznaczającego IOD, a jeśli nie prowadzi on takiej strony – dane inspektora powinny być ujawnione w sposób ogólnie dostępny w miejscu prowadzenia działalności.
Zobacz również: Powierzenie przetwarzania danych i umowa z procesorem
POZYCJA INSPEKTORA OCHRONY DANYCH (IOD) W PRZEDSIĘBIORSTWIE
Rozporządzenie o ochronie danych osobowych wskazuje, że inspektorowi ochrony danych powinno się zapewnić odpowiednią pozycję w organizacji niezbędna do wykonywania jego zadań. Do środków to umożliwiających należy zaliczyć: udział inspektora w spotkaniach przedstawicieli wyższego i średniego szczebla w organizacji; uczestnictwo inspektora przy podejmowaniu decyzji dotyczących przetwarzania danych osobowych; branie pod uwagę stanowiska inspektora przy podejmowaniu decyzji dotyczących poszczególnych procesów w organizacji, w trakcie których dochodzi do przetwarzania danych.
Zapewnieniu odpowiedniej pozycji IOD ma pomóc również obowiązek nałożony na podmiot wyznaczający włączania inspektora we wszelkie sprawy dotyczące danych osobowych. Obowiązek ten występuje zarówno w ramach toczących się już procesów, jak również w fazie ich projektowania, a przede wszystkim – w przypadku wystąpienia naruszeń bądź w razie wszczęcia postępowania przez Prezesa Urzędu Ochrony Danych Osobowych.
Inspektorowi ochrony danych nie można wydawać instrukcji w zakresie wykonywania przez niego zadań określonych w art. 39 RODO. Zakaz ten obejmuje instrukcje dotyczące sposobu rozpoznania sprawy, środków, jakie mają zostać podjęte, celu, jaki powinien zostać osiągnięty czy decyzji o skontaktowaniu się z organem nadzorczym. Inspektor ochrony danych nie może zostać zmuszony do przyjęcia określonego stanowiska. Ograniczenia związane z pozycją IOD w organizacji mają zmierzać do zapewnienia jego pełnej niezależności w wykonywaniu zadań, dla których został wyznaczony.
Zobacz również: Incydent RODO
NIEZALEŻNOŚĆ INSPEKTORA OCHRONY DANYCH (IOD)
Niezależność inspektora ochrony danych jest kluczowa dla swobodnego wykonywania przez niego zadań określonych w art. 39 RODO oraz zapewnienia odpowiedniego poziomu ochrony danych. Gwarancje niezależności inspektora ochrony danych zostały ujęte w art. 38 RODO. Obejmują one nie tylko wspomniany już wcześniej obowiązek włączania inspektora ochrony danych we wszystkie sprawy dotyczące przetwarzania danych osobowych, ale również zapewnienie mu zasobów niezbędnych do wykonywania jego zadań. Inspektor ochrony danych powinien mieć również dostęp do danych osobowych i operacji przetwarzania, a także zostać wyposażonym w zasoby niezbędne do aktualizowania jego fachowej wiedzy.
Niezależność inspektora ochrony danych musi mieć charakter faktyczny, nie wystarczy zatem jedynie zamieszczenie odpowiednich postanowień w regulaminie pracy czy umowie pomiędzy podmiotem wyznaczającym a pełniącym funkcje IOD. Konieczne jest zagwarantowanie funkcjonowania narzędzi przeciwdziałającym konfliktom interesów. Z tego względu nie rekomenduje się, aby funkcje IOD pełnili np. dyrektorzy czy menagerowie poszczególnych działów w przedsiębiorstwie. Każdy przypadek powinien być oceniany indywidualnie biorąc pod uwagę takie kryteria jak np. możliwość swobodnego podejmowania decyzji, istnienie w przedsiębiorstwie polityki mających na celu przeciwdziałanie konfliktom interesów, jak również przejmowanie przez IOD odpowiedzialności za proces przetwarzania danych osobowych.
Zapewnieniu niezależności inspektora ochrony danych ma służyć również zakaz jego odwoływania bądź karania z tytułu wykonywania przez niego obowiązków określonych w art. 39 RODO. Nie oznacza to jednak, że raz wyznaczonego IOD nie można odwołać. Jeśli wystąpią inny przyczyny niż te związane z wykonywaniem jego obowiązków, podmiot wyznaczający IOD może zadecydować o jego odwołaniu zgodnie z regułami wynikającymi z prawa pracy czy prawa cywilnego, a środek ten może być stosowany tak samo jak w przypadku każdego innego pracownika bądź zleceniobiorcy czy w przypadku zaistnienia uzasadnionych przyczyn. Zakaz karania inspektora ochrony danych za wykonywanie obowiązków określonych w art. 39 RODO powinien być rozumiany szeroko i obejmować również między innymi: utrudnienia w otrzymywaniu awansów, zakaz pracy z domu, jeśli przysługuje ona pozostałym pracownikom, nieuzasadnione pozbawianie możliwości wzięcia udziału w szkoleniach czy brania na siebie dodatkowych obowiązków.
Zobacz również: Compliance w zakresie ochrony danych osobowych. Co obejmuje i na co trzeba zwrócić uwagę?
INSPEKTOR OCHRONY DANYCH – WSPARCIE KANCELARII
Poniższej przedstawiamy zakres obsługi w ramach pełnienia funkcji Inspektora Ochrony Danych przez kancelarię RPMS.
Wsparcie jest podzielone na trzy obszary działania:
a) Zadania cykliczne realizowane raz w roku:
- przeprowadzenie audytu oraz opracowanie raportu w obszarze ochrony danych osobowych
- koordynowanie oraz wsparcie podczas przeprowadzania analizy ryzyka ochrony danych osobowych zgodnie z przyjętą metodyką, wsparcie przy identyfikacji ryzyka, pomoc w doborze mechanizmów kontrolnych, opracowanie raportu,
- aktualizacja rejestru czynności przetwarzania,
- przegląd regulacji wewnętrznych pod kątem ich aktualności i adekwatności – przygotowywanie lub aktualizacja dokumentacji dotyczącej ochrony danych osobowych oraz wewnętrznych procedur, instrukcji oraz innej dokumentacji w zakresie ochrony danych osobowych oraz przekazywanie rekomendacji w zakresie ich wdrożenia,
b) Zadania realizowane w ramach stałego wsparcia:
- opracowywanie treści zgód na przetwarzanie danych osobowych i klauzul informacyjnych,
- w ramach zarządzania naruszeniami ochrony danych osobowych – prowadzenie postępowania wyjaśniającego (we współpracy ze Zleceniodawcą), wydawanie rekomendacji w zakresie oceny ryzyka naruszenia praw lub wolności osób fizycznych, przygotowywanie treści notyfikacji do UODO i Podmiotu danych,
- wsparcie merytoryczne przy przeprowadzaniu Privacy by design,
- w ramach procedury realizacji praw Podmiotu danych – wsparcie merytoryczne w zakresie oceny formalnej wniosku i realizacji dyspozycji,
- wsparcie merytoryczne w zakresie ochrony danych osobowych w przypadku nawiązywania współpracy z kontrahentami/klientami (element zarządzania Procesorami),
- wsparcie w ramach zewnętrznych audytów w obszarze ochrony danych osobowych, w ramach uzasadnionej potrzeby wsparcie będzie udzielone w siedzibie Zamawiającego,
- wsparcie w prowadzeniu rejestru kategorii i rejestru czynności przetwarzania,
- w ramach Procedury oceny skutków dla ochrony danych (DPIA) – udzielanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35
- współpraca z organem nadzorczym,
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach,
- budowanie świadomości pracowników i osób zaangażowanych w utrzymanie systemu ODO: przygotowanie i wysyłka materiałów edukacyjnych z zakresu ochrony danych osobowych (w formie mailingu) – raz w miesiącu:
c) Szkolenie dla pracowników w zakresie ochrony danych osobowych,
- przypomnienie podstawowych zasad bezpieczeństwa,
- informacje o istotnych zmianach w przepisach dotyczących ochrony danych osobowych oraz o wydanych decyzjach organu nadzorczego,
d) Pozostałe, bieżące konsultacje w ramach obsługi:
- stałe doradztwo w zakresie ochrony danych osobowych obejmujące zagadnienia prawne oraz wypełnianie innych obowiązków wynikających z przepisów prawa dotyczących ochrony danych osobowych.
Zobacz również: Szkolenie RODO
JEŚLI NIE IOD TO CO?
Jeśli dany administrator/podmiot przetwarzający uważa, że nie ma obowiązku wyznaczania inspektora ochrony danych powinien zachować dokumentację wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia inspektora, aby wykazać, że stosowne czynniki zostały uwzględnione. Ma to umożliwić administratorowi/podmiotowi przetwarzającemu wywiązanie się z zasady rozliczalności i wykazanie przed organem nadzorczym, że wyznaczenie inspektora nie było konieczne. Jednocześnie warto rozważyć powierzenie chociaż części obowiązków IOD w ręce bądź to wyznaczonego pracownika bądź zespołu prawnego w przedsiębiorstwie. Przyczynić się to może do zwiększenia poziomu ochrony danych osobowych w przedsiębiorstwie oraz podniesienia świadomości pracowników. Część podmiotów decyduje się na wyznaczenie np. komitetu ochrony danych bądź administratora informacji. W razie kontroli takie podmioty nie zostaną jednak uznane za pełniące funkcje inspektora ochrony danych.
Konieczne jest dokonywanie okresowego przeglądu procesów przetwarzania danych osobowych, aby wykluczyć pojawienie się obowiązku wyznaczenia inspektora ochrony danych w przyszłości.
Zobacz również: Ochrona danych osobowych we współpracy z kontrahentami spoza UE – na co zwrócić szczególną uwagę?
Pytania i odpowiedzi
Inspektor ochrony danych nie musi mieć ukończonego dedykowanego kursu, jeżeli w inny sposób jest w stanie wykazać swoją specjalistyczną wiedzę. Z drugiej strony natomiast, nie każda osoba, która jedynie ukończyła kurs inspektora danych będzie miała odpowiednie kwalifikacje do pełnienia tej roli- zgodnie z RODO, kandydat na inspektora powinien wykazywać odpowiednie kwalifikacje zawodowe, w szczególności fachową wiedzę na temat prawa i praktykę w dziedzinie ochrony danych.
Inspektorem ochrony danych osobowych, zgodnie z art. 37 ust. 6 RODO, może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak również osoba spoza grona pracowników ww. podmiotów (outsourcing).
Warto wskazać, że nie każdy przedsiębiorca musi wyznaczyć IOD. Muszą to zrobić w szczególności podmioty zajmujące się w znacznej mierze na przeprowadzaniu operacji przetwarzania danych, takie jak brokerzy baz danych czy agencje rekrutacyjne.
Zaufali nam: