Przystanek RODO: inspektor ochrony danych osobowych

Zapraszamy Państwa na trzeci artykuł z cyklu „Przystanek RODO”, w ramach którego zostanie omówiona pozycja oraz prawa i obowiązki inspektora ochrony danych osobowych (IODO) w przedsiębiorstwach sektora prywatnego.

 Kim jest IODO i kto może nim zostać?

RODO nie wprowadza legalnej definicji IODO, pośrednio wskazując na jego przymioty, niezbędne do prawidłowego wykonywania powierzonych funkcji. Jako podstawowy czynnik podlegający ocenie przy wyznaczaniu IODO należy wskazać kwalifikacje zawodowe, a w szczególności fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia powierzonych zadań (art. 37 ust. 5 RODO). IODO powinien pozostawać merytorycznym wsparciem dla administratora i podmiotu przetwarzającego, nie tylko w zakresie zadań wskazanych wprost w RODO, ale również innych powierzonych mu działań związanych z ochroną danych osobowych. Wskazane jest, aby IODO posiadał fachową wiedzę zarówno z dziedziny prawa, jak i informatyki i nowych technologii. Wiedza IODO powinna być sukcesywnie uzupełniana i aktualizowana m.in. poprzez udział w szkoleniach.

IODO może zostać zarówno osoba ze struktury administratora czy podmiotu przetwarzającego, jak i podmiot zewnętrzny – na mocy umowy o świadczenie usług. Po wyznaczeniu IODO, jego dane powinny zostać opublikowane oraz przekazane do organu nadzorczego. Opublikowane dane powinny umożliwiać przede wszystkim szybki kontakt ze strony osób, których dane są przetwarzane, zatem wskazane jest podanie adresu poczty elektronicznej, telefonu czy stworzenia na stronie internetowej  administratora formularza kontaktowego. RODO nie wymaga wskazywania imienia i nazwiska IODO w ramach publikacji danych, jednak z pewnością dane te muszą zostać wskazane organowi nadzoru.

Kiedy należy wyznaczyć IODO?

RODO w art. 37 ust. 1 wskazuje trzy stany faktyczne, które konotują obowiązek powołania IODO, a mianowicie:

  1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

RODO nie definiuje powyższych pojęć, posługując się wyłącznie klauzulami generalnymi. Głównych trudności interpretacyjnych nastręczają pojęcia „głównej działalności” oraz „przetwarzania na dużą skalę”. Zgodnie z motywem 97 RODO w sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Grupa Robocza art. 29 (niezależny podmiot doradczy składający się z organów nadzoru ochrony danych osobowych państw UE) wskazuje natomiast, że oceniając dużą skalę przetwarzania danych należy brać pod uwagę m.in. liczbę osób, których dane dotyczą, okres przez jaki dane są przetwarzane czy zakres geograficzny przetwarzania.

Brak obowiązku powoływania IODO powinien być jednak indywidualnie oceniany przez każdego administratora lub podmiot przetwarzający. Fachowa wiedza w zakresie ochrony danych osobowych, jaką powinien legitymować się IODO, może stanowić zasadnicze wsparcie dla ww. podmiotów w ramach przetwarzania danych osobowych i ich odpowiedniej ochrony. Grupa Robocza art. 29 w wytycznych wskazuje, że powołanie IODO w ramach organizacji – nawet jeżeli nie jest konieczne – pozostaje pożądane, również w zakresie realizacji zasady rozliczalności.

Jakie są zadania IODO?

RODO w art. 39 wskazuje cztery główne obszary zadań IODO,  którymi są:

  1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
  2. monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
  3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
  4. współpraca z organem nadzorczym;
  5. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Należy wskazać, że RODO wskazuje minimum obowiązków IODO, które mogą zostać stosownie rozszerzone na gruncie umowy zawartej z administratorem lub podmiotem przetwarzającym. Przykładowo, można nałożyć na IODO obowiązek prowadzenia i aktualizacji rejestru czynności przetwarzania danych, o którym mowa w art. 30 RODO. Istotne jest, aby dodatkowe czynności nie pozostawały w sprzeczności z niezależną pozycją IODO w ramach organizacji – o czym mowa poniżej.

Status IODO w organizacji

Abstrahując od faktu czy na IODO zostaje powołany członek organizacji czy będzie to podmiot zewnętrzny – konieczne jest zapewnienie mu dostępu do odpowiednich informacji i niezależności w ramach struktury organizacyjnej.

Administrator lub podmiot przetwarzający obowiązani są przekazać IODO wszelkie informacje niezbędne do realizacji jego zadań, tj. o prowadzonych procesach przetwarzania danych, stosowanych technologiach, zabezpieczeniach, organizacji i innych aspektach. Prawidłowa realizacja zadań przez IODO opiera się bowiem na dostępie do informacji – również tych stanowiących tajemnicę przedsiębiorstwa. Stąd zapewne wyrażony wprost w art. 38 ust. 5 RODO obowiązek zachowania przez IODO tajemnicy lub poufności wykonywanych przez siebie zadań – zgodnie z prawem danego państwa członkowskiego. Wraz z dostępem do informacji, administrator powinien zapewnić również IODO odpowiednie zaplecze – zarówno techniczne, jak i w postaci np. wsparcia odpowiedniego zespołu – które umożliwi mu prawidłową i rzetelną realizację jego zadań.

Z powyższym związany jest również obowiązek zachowania niezależności w stosunku do organów zarządzających i nadzorczych administratora lub podmiotu przetwarzającego. Zgodnie z art. 38 ust. 3 RODO administrator oraz podmiot przetwarzający zapewniają, by IODO nie otrzymywał instrukcji dotyczących wykonywanych zadań; nie był odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań; podlegał bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.  Grupa Robocza art. 29 wskazuje, że co do zasady, za powodujące konflikt interesów uważane będzie pełnienie funkcji IODO przez osoby zajmujące stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych. Obecnie w wielu podmiotach funkcjonuje ABI, zatem naturalną konsekwencją może być przejęcie przez osoby pełniące te funkcje obowiązków IODO. Należy jednak zwrócić uwagę na wzmocnienie niezależnej pozycji IODO na gruncie nowych regulacji, co powoduje konieczność re-analizy czy dotychczasowa pozycja ABI spełnia wymogi RODO.

IODO dla grupy przedsiębiorstw

Przez grupę przedsiębiorstw na gruncie RODO należy rozumieć przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane. Jak wskazano w motywie 37 RODO dominujący wpływ jednostki kontrolnej może być wywierany poprzez na przykład strukturę właścicielską, udział finansowy lub przepisy regulujące jego działalność, lub też uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych.

Regulacje RODO dopuszczają możliwość powołania jednego IODO dla grupy przedsiębiorstw, pod warunkiem, że będzie można łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Struktura współpracy w ramach podmiotów tworzących grupę przedsiębiorstw powinna zatem przewidywać możliwość swobodnej i rzetelnej realizacji zadań IODO u każdego z podmiotów. Celowe wydaje się w takiej sytuacji uregulowanie procedur współpracy z IODO w ramach grupy przedsiębiorstw. Jak podkreślono w wytycznych Grupy Roboczej art. 29 to administrator i podmiot przetwarzający (a zatem każdy podmiot z grupy przedsiębiorstw) powinien ocenić nie tylko czy zasadne jest powołanie IODO w jego strukturze, ale również czy wystarczające będzie powołanie jednego IODO dla całej grupy przedsiębiorstw. Może się bowiem okazać, że z uwagi na prowadzoną przez dany podmiot działalność i zakres przetwarzanych danych, zasadne będzie powołanie IODO wyłącznie dla tej organizacji.

Czy powołanie IODO zwalnia administratora z odpowiedzialności?

Zdecydowanie nie. Odpowiedzialność na gruncie RODO – zarówno w kontekście sankcji administracyjnych, jak i cywilnych – spoczywa na administratorze oraz podmiocie przetwarzającym. Stąd konieczność odpowiedniej uprzedniej weryfikacji podmiotu, któremu zostanie powierzone pełnienie funkcji IODO. Należy bowiem zwrócić uwagę, że to on będzie reprezentantem administratora w ramach kontaktu z organem nadzoru i osobami, których dane są przetwarzane, jak również pozostanie odpowiedzialny za realizację licznych obowiązków na gruncie RODO – np. zgłoszenia naruszeń w ciągu 72 godzin. Na gruncie powyższego, konieczne pozostaje odpowiednie uregulowanie zadań oraz odpowiedzialności w umowie zawartej z IODO, ze szczególnym naciskiem na odpowiedzialność regresową w wypadku nałożenia na administratora sankcji administracyjnej lub obowiązku zapłaty odszkodowania w związku z zawinionym działaniem IODO. Odpowiednio przygotowana umowa świadczenia usług stanowi bowiem podstawę zabezpieczenia interesów administratora lub podmiotu przetwarzającego.