Ogólne rozporządzenie o ochronie danych (RODO) nakłada na niektóre podmioty, w tym niemal wszystkie organy i podmioty publiczne – obowiązek wyznaczenia inspektora ochrony danych (IOD). IOD może być scharakteryzowany jako osoba wyznaczona do czuwania nad przestrzeganiem przepisów o ochronie danych osobowych u wskazanego administratora bądź podmiotu przetwarzającego.
Art. 39 RODO nakłada na IOD różne zadania. Po wczytaniu się w ten przepis można szybko zauważyć, iż te zadania koncentrują się na funkcjach doradczo-konsultacyjnych, a nie na wykonywaniu zadań, które rozporządzenie nałożyło na administratora. Zabieg ten jest celowy i ma on na celu ustanowienie IOD w pozycji bezstronnego eksperta czy doradcy w strukturze organizacyjnej administratora, który wykazuje niezależność od działań samego administratora.
Jak wskazuje Grupa Robocza art. 29[1] (obecnie: Europejska Rada Ochrony Danych – EROD) art. 38 ust. 3 RODO wyznacza pewien zakres gwarancji, których celem jest umożliwianie IOD wykonywania obowiązków z odpowiednim stopniem niezależności w ramach organizacji. Administrator / podmiot przetwarzający mają w szczególności zapewnić “by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań.” Motyw 97 uzupełnia to o stwierdzenie, iż “inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny.”
Prezes Urzędu Ochrony Danych Osobowych wskazuje[2] 7 aspektów niezależności IOD.
- Bezpośrednia podległość IOD najwyższemu kierownictwu
Bezpośrednia podległość oznacza, że w ramach podejmowanych przez siebie czynności IOD nie może podlegać jakimkolwiek innym osobom lub jednostkom organizacyjnym wchodzącym w skład struktury administratora danych, nie będących samym najwyższym kierownictwem. W warunkach np. urzędu gminy IOD nie może podlegać np. kierownikowi referatu organizacyjnego, a wyłącznie wójtowi/burmistrzowi/prezydentowi miasta.
Ma to na celu z jednej strony wyraźne wyodrębnienie stanowiska IOD w strukturze organizacyjnej administratora i podkreślenie jego niezależności, a po drugie skraca drogę raportowania, co ma ogromne znaczenie zwłaszcza przy naruszeniach ochrony danych osobowych, które należy zgłaszać do Prezesa UODO w ciągu 72 godzin od stwierdzenia naruszenia.
- Wspieranie IOD w wypełnianiu jego zadań
Administrator danych i podmiot przetwarzający są zobowiązani do wspierania IOD poprzez m.in. zapewnienie mu zasobów niezbędnych do wykonania tych zadań.
Oznacza to, że administrator musi zapewnić IOD m.in.: odpowiedni wymiar czasu pracy do wykonania obowiązków wnikających z RODO, dostęp do działu prawnego i innych komórek organizacji, dostęp do ciągłych szkoleń z zakresu ochrony danych osobowych, w razie potrzeby dokooptowanie innego pracownika do pomocy IOD.
- Zapewnienie udziału IOD we wszystkich zagadnieniach związanych z ochroną danych osobowych
Artykuł 38 RODO zobowiązuje administratora oraz podmiot przetwarzający do zapewnienia, by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych
Grupa Robocza art. 29 podkreśla, iż niektóre przepisy RODO wprost nakazują administratorowi angażowanie IOD w podejmowanie określonych czynności czy decyzji, np. przy dokonywaniu oceny skutków dla ochrony danych z art. 35 RODO. Poza tym IOD powinien być postrzegany jako partner w dyskusji i powinien być włączany w prace grup roboczych poświęconych procesom związanym z przetwarzaniem danych osobowych w ramach organizacji. Grupa Robocza zaleca przy tym, aby w ramach dobrych praktyk dokumentowano przypadki i powody działania wbrew jego zaleceniom.
- Zakaz wydawania instrukcji IOD co do wykonywania przez niego zadań
W zakresie obowiązków dotyczących sfery ochrony danych osobowych administrator nie może wydawać IOD wiążących poleceń (art. 38 ust. 3 RODO) – musi on pozostać niezależny. Nie można Inspektorowi ograniczać lub uniemożliwiać kontaktu z Prezesem UODO.
Grupa Robocza art. 29 wprost wskazywała, iż administrator nie może nakazać IOD zajęcie określonego stanowiska lub obranie określonej wykładni w sprawie z zakresu danych osobowych. Nie oznacza to jednak, że IOD posiada uprawnienia decyzje – za zgodność przetwarzania w organizacji odpowiada administrator danych osobowych i on zawsze może podjąć decyzję sprzeczną z zaleceniami IOD. Nie może jedynie na zalecenia IOD wpływać.
- Unikanie konfliktu interesów IOD
Art. 38 ust. 6 RODO stanowi, iż IOD może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.
Kwestia konfliktu interesów jest kluczowa, gdy dochodzi do sytuowania roli inspektora ochrony danych w strukturze organizacyjnej administratora. Przede wszystkim chodzi tu o to, że IOD nie może zajmować w organizacji stanowiska związanego z określaniem sposobów i celów przetwarzania danych – jest to rola administratora. Z tego względu powierzając pracownikowi funkcję IOD administrator musi poprzedzić decyzję zidentyfikowaniem stanowisk niekompatybilnych z pełnieniem funkcji IOD.
Co do zasady, stanowiskami niekompatybilnymi są stanowiska kierownicze (np. zastępca wójta, kierownik działu kadr, sekretarz gminy, dyrektor operacyjny, członek rady nadzorczej itp.), ale mogą być nimi również stanowiska niższe, jeżeli wpływają one na określanie sposobów i celów przetwarzania. Ponadto, jak wskazuje UODO, zewnętrzny IOD może popaść w konflikt interesów, jeżeli zostanie poproszony o reprezentowanie administratora lub podmiotu przetwarzającego przed sądem w sprawie dotyczącej ochrony danych osobowych.
- Zakaz odwoływania i karania IOD
Jak tłumaczy Grupa Robocza art. 29 IOD nie można karać za działania podjęte przy niego w wykonywaniu obowiązków wynikających z RODO, np. za wydanie interpretacji procesu przetwarzania niezgodnej z wolą administratora.
Zakaz odwoływani i karania osoby pełniącej funkcję IOD nie dotyczy oczywiście innych działań lub zaniechań podjętych poza prawidłowym wykonywaniem obowiązków IOD. W pełni dopuszczalne jest np. ukaranie karą porządkową lub zwolnieniem dyscyplinarnym Inspektora, który stawia się do pracy pijany albo narusza zakaz dyskryminacji.
- Obowiązek zachowania tajemnicy lub poufności co do wykonywania zadań przez IOD
Status niezależności IOD domyka obciążający go obowiązek zachowania tajemnicy lub poufności, co do wykonywania swoich zadań zgodnie z prawem Unii lub państwa członkowskiego (art. 38 ust. 5 RODO). Obowiązek ten – poza ochroną danych osobowych osób, do których dostęp uzyskuje IOD w zw. z pełnieniem swojej funkcji – ma na celu zwiększenie zaufania do IOD ze strony administratora czy podmiotu przetwarzającego.
Należy przy tym pamiętać, że obowiązek zachowania tajemnicy oraz poufności nie uniemożliwia IOD kontaktu z Prezesem Urzędu Ochrony Danych Osobowych i zasięgania jego opinii.
Podsumowanie
Z przepisów RODO oraz interpretacji dokonanych przez Grupę Roboczą art. 29 oraz UODO wyłania się obraz IOD jako podmiotu wspierającego administratora, ale od niego niezależnego. W praktyce największe problemy mogą powstać przy wyborze osoby pełniącej funkcję IOD w taki sposób, aby nie pozostawała w konflikcie interesów ze względu na swoje inne obowiązki. Dobrym wyborem spośród pracowników zatrudnionych w organizacji jest często audytor wewnętrzny, który również musi być niezależny, aby móc w sposób rzetelny przeprowadzać audyty czy kontrole, ale należy pamiętać, że sama nazwa stanowiska pracy nie wystarcza do określenia, czy pracownik jest niezależny. Każdorazowy wybór IOD musi być poprzedzony dokładną analizą w celu wykluczenia konfliktu interesów.
Tak samo należy uczynić przy powierzaniu IOD innych zadań czy obowiązków. Przykładem może być pełnienie przez IOD obowiązków związanych z przyjmowaniem zgłoszeń od sygnalistów, do którego nieprzychylnie (acz niewykluczająco) odnosi się UODO[3]. Co do zasady nie ma przeszkód w łączeniu obowiązków IOD np. z pełnomocnikiem ds. dostępności, pełnomocnikiem ds. cyberbezpieczeństwa czy pełnomocnika ds. informacji niejawnych, jednak każdorazowo należy sprawdzić wewnętrzne regulacje określające konkretne prawa i obowiązki każdego z tych stanowisk, aby wykluczyć konflikt interesów.
Podstawa prawna:
– Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).
[1] Grupa Robocza art. 29 ds. Ochrony Danych, Wytyczne Grupy Roboczej art. 29 dotyczące inspektorów ochrony danych (‘DPO’), Przyjęte w dniu 13 grudnia 2016 r. (WP 243 rew.01), (dostęp: https://ec.europa.eu/newsroom/article29/items/612048/en)
[2] UODO, Jakie gwarancje niezależności zostały przyznane IOD w przepisach RODO? (dostęp: https://uodo.gov.pl/pl/495/2407)
[3] UODO, Czy można łączyć funkcję IOD z zadaniami związanymi z obsługą wniosków od sygnalistów? (dostęp: https://uodo.gov.pl/pl/495/2415)