Inspektor Ochrony Danych Osobowych – wykonawca, doradca czy nadzorca?

W okresie maja i czerwca tego roku wiele firm szukało pracowników na stanowisko inspektora ochrony danych osobowych. Związane to było rzecz jasna z przepisami RODO, które w znacznej ilości przypadków wymagają, by taką osobę powołać. W najbliższym czasie, po ostudzeniu RODOpaniki, przyjdzie pewnie czas refleksji i rozliczania powołanych Inspektorów z kompetencji i powierzonych zadań.

Należy jednak przeanalizować jakie dokładnie zadania i pozycję powinny być stawiane przez Inspektorem – by móc go prawidłowo ocenić. Powszechnie w Polsce przyjęło się, że IOD odpowiada za cały obszar ochrony danych osobowych – od wdrożenia, po stosowanie procedur. Przepisy kształtują jednak jego pozycję trochę inaczej..

Pozycja IOD:

Do zadań inspektora ochrony danych zgodnie z art. art. 39 ust. 1 oraz 38 ust. 4 RODO należą:

  1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,
  2. monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych,
  3. działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
  4. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych – DPIA (czy należy ją przeprowadzić i w jaki sposób) oraz monitorowanie jej wykonania zgodnie z art. 35 RODO (czy wykonano ją w sposób prawidłowy),
  5. pełnienie funkcji punktu kontaktowego dla Prezesa UODO w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach,
  6. pełnienie roli punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO.

Jednocześnie Grupa Robocza wskazała, że priorytetem IOD powinno być zapewnienie przestrzegania RODO. Inspektor powinien zatem czynnie i aktywnie wspierać rozwój „kultury ochrony danych” oraz pomagać implementacji niezbędnych elementów RODO tj.: zasady przetwarzania danych osobowych; prawa osób, których dane dotyczą; ochrony danych wfazie projektowania oraz domyślnej ochrony danych; prowadzenia rejestru czynności przetwarzania; wymogów bezpieczeństwa przetwarzania; zgłaszanie naruszeń.

Powyższe jasno wskazuje, że Inspektor nie powinien samodzielnie i jednosobowo wdrażać RODO. Praktyka taka jest wobec tego nieprawidłowa – IOD powinien raczej dokonywać sprawdzenia tego, czy wdrożenie zostało przeprowadzone prawidłowo oraz inicjować rozwój systemu ochrony danych osobowych w celu jego ulepszenia i uszczelnienia. Z drugiej strony powinien być on jednak włączany we wszystkie działania związane z ochroną danych osobowych w przedsiębiorstwie. Pozycja IOD nie jest wobec tego jednowymiarowa – łączy działania wykonawcze, nadzorcze i doradcze.

O ile w dużych podmiotach zazwyczaj nie ma problemu z tym, by IOD skupił się na swoich przepisowych zadaniach, to w mniejszych firmach nie sposób postawić jasnych granice gdyż te z uwagi na specyfikę często się zacierają. Mniejsi przedsiębiorcy, czemu trudno się dziwić, inwestując w IOD oczekują od niego kompleksowych usług – zdjęcia z barków administratora zadań związanych z RODO. Zalecamy jednak mimo wszystko, żeby nawet u mniejszych podmiotów powoływane były każdorazowo zespoły robocze do konkretnych działań związanych z ochroną danych osobowych (opracowanie polityk, dokumentów, procedur), dla których IOD może być fachową pomocą i wsparciem. Wówczas IOD nie będzie postawiony w sytuacji, w której samodzielnie wszystko przygotowuje, a później sam to kontroluje.

Gwarancje niezależności IOD:

Inspektorzy ochrony danych osobowych powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny (motyw 97 RODO). Niezależność ta powinna wynikać z następujących cech:

  • bezpośrednia podległość IOD najwyższemu kierownictwu administratora,
  • zapewnienie przez administratora udziału IOD we wszystkich zagadnieniach związanych z ochroną danych osobowych,
  • zakaz wydawania instrukcji IOD co do wykonywania przez niego zadań,
  • unikanie konfliktu interesów IOD,
  • zakaz odwoływania i karania IOD za wykonywanie przez niego zadań.

Cechy te trzeba brać pod uwagę rozliczając swojego Inspektora.

Kompetencje IOD:

IOD musi mieć odpowiednią wiedzę i – co ważniejsze – umiejęteności, które pozwolą mu wykonywać swoje zadania. IOD powinien zatem posiadać:

  • fachową wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych;
  • fachową wiedzę z zakresu praktyk w dziedzinie ochrony danych osobowych;
  • dogłębną znajomość przepisów RODO;
  • wiedzę biznesową i sektorową dotycząca działalności administratora;
  • odpowiednią wiedzę na temat procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych;
  • w przypadku organów i podmiotów publicznych IOD powinien również wykazywać się znajomością procedur administracyjnych i funkcjonowania jednostki.

Bez wątpienia powinien to być zatem fachowiec – albo przynajmniej osoba, która do miana fachowca aspiruje i są widoki ku temu, że o tego poziomu szybko dobije (przy wsparciu świadomego administratora).

UWAGA! IOD nie musi mieć ukończonych żadnych kursów, specjalnych studiów lub być dodatkowo certyfikowany.

IOD na umowie o pracę, czy outsorucing:

Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów (outsourcing).

Outsorucing usług IOD wiąże się z jednej strony z udzieleniem dużego kredytu zaufania podmiotowi zewnętrznemu, który w celu wykonywania swoich zadań będzie musiał zostać wprowadzony w niemal każdy aspekt prowadzonej działalności. Z drugiej jednak strony niweluje ograniczenia na wypadek nieprawidłowego wykonania obowiązków. Pracownik etatowy przypadku wyrządzenia szkody (z winy nieumyślnej – a taką należy zakładać) będzie odpowiadać jedynie w wysokości rzeczywiście powstałej szkody, ale maksymalnie do równowartości 3-miesięcznego wynagrodzenia za pracę. W związku z czym, może zdarzyć się taka sytuacja, w której pracodawca nie otrzyma pełnego wyrównania strat z tytułu nieprawidłowego wykonania obowiązków IOD. Umowa cywilnoprawna z przedsiębiorcą outsourcingującym usługi IOD może lepiej chronić interesy administratora danych (pełne odszkodowanie, kary umowne itp.). Polecamy zatem przedsiębiorcom rozważenie outsourcingu tych usług.

Warto wiedzieć, że na rynku ubezpieczeń powstały produkty związane z ubezpieczeniem od odpowiedzialności cywilnej dedykowane IOD.

Prawnik jako IOD:

Zagadnienie powołania na IOD wykwalifikowanego prawnika w osobie adwokata lub radcy prawnego było przedmiotem analizy Naczelnej Rady Adwokackiej i Krajowej Rady Radców Prawnych. Według stanowiska NRA adwokat może zostać IOD, ponieważ jest on z założenia niezależny. KRRR stanęła natomiast na stanowisku, że radca prawny może być IOD, ale nie w organizacji, w której jest też prawnikiem.

W razie pytań, zapraszamy do kontaktu
Krzysztof Lamparski
adwokat