Czy praca IOD może być kontrolowana?

Inspektor Ochrony Danych (dalej: IOD) pełni niezwyk­le istotną funkcję w zakresie ochrony danych osobowych w każdej organizacji, w której został powołany. Co ważne, przepisy RODO tak ukształtowały status IOD, że odgrywa on ważną rolę merytorycznego doradcy i nadzorcy, który ma pomagać administratorowi danych w realizacji jego obowiązków i zadań wynikających z przepisów RODO. W celu jak najlepszej realizacji tych zadań IOD został przyznany status niezależnego podmiotu.

Trzeba jednak zaznaczyć, że mimo wielu zadań związanych z monitorowaniem prawidłowego przebiegu procesu przetwarzania danych, to nie na IOD spoczywa odpowiedzialność za przestrzeganie przepisów RODO. Takie stanowisko zostało potwierdzone m.in. w „Wytycznych dotyczących inspektorów ochrony danych (»DPO«)” – Grupy Roboczej Art. 29 ds. Ochrony Danych[1], w którym wskazano: „DPO nie są osobiście odpowiedzialni za niezgodność z wymogami ochrony danych. To administrator lub podmiot przetwarzający musi zapewnić i móc wykazać, że przetwarzanie jest wykonywane zgodnie z rozporządzeniem. Zgodność z przepisami dotyczącymi ochrony danych jest obowiązkiem administratora lub podmiotu przetwarzającego”[2].

Takie ukształtowanie statusu IOD w przepisach RODO powoduje, że pojawiają się pytania o możliwość kontrolowania pracy IOD i zasad, na jakich ta kontrola miałaby się odbywać. Pytania te są szczególnie istotne, mając na uwadze, że administratorzy danych i podmioty przetwarzające są zobowiązani stosować się do wytycznych IOD, ale ostatecznie to oni, a nie IOD będą ponosili odpowiedzialność za ewentualną błędną realizację wymogów RODO.

Gwarancje niezależności IOD

Niezależność IOD została określona art. 38 RODO. Zgodnie z tym przepisem gwarancjami niezależności IOD są następujące wytyczne, za realizację których odpowiada administrator danych i podmiot przetwarzający:

  • administrator oraz podmiot przetwarzający zapewniają, by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych;
  • administrator oraz podmiot przetwarzający wspierają IOD w wypełnianiu przez niego zadań, o których mowa w art. 39 RODO, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej;
  • administrator oraz podmiot przetwarzający zapewniają, by IOD nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. IOD bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego;
  • IDO jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań;
  • IOD może wykonywać inne zadania i obowiązki. Admi­nistrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.

W praktyce przepisy RODO w zakresie statusu IOD i gwarancji jego niezależności zostały tak ukształtowane, by administrator danych miał możliwość współpracy z kompetentnym podmiotem, który będzie realnym wsparciem we wdrażaniu wytycznych RODO i monitorowaniu ich przestrzegania. Z drugiej strony, IOD, mimo że niejednokrotnie funkcjonuje w strukturach administratora danych, może pozwolić sobie na wydawanie niezależnych od pracowników administratora danych zaleceń. Taka konstrukcja prawna ma na celu zapewnianie administratorowi danych względnego bezpieczeństwa w zakresie przestrzegania norm RODO i minimalizowania ryzyka swojej ewentualnej odpowiedzialności za nieprawidłowe przetwarzanie danych osobowych.

Ważne

Przestrzegając zasad niezależności IOD, administrator danych i podmiot przetwarzający powinni dążyć do minimalizowania ryzyka ponoszenia ewentualnej odpo­wiedzialności za nieprawidłowe przetwarzanie danych osobowych i niewdrożenie lub błędne wdrożenie wymogów RODO.

Czynnikiem, który pozwala na ograniczenie ryzyka ponoszenia takiej odpowiedzialności, jest stosowanie się do zaleceń i wytycznych IOD.

Nie ulega zatem wątpliwości, że administrator danych i podmiot przetwarzający muszą mieć możliwości merytorycznej kontroli pracy IOD przy jednoczesnym poszanowaniu gwarancji niezależności IOD.


W jaki sposób kontrolować pracę IOD?

Możliwość przeprowadzenia merytorycznej kontroli pracy IOD oraz wytyczne co do zakresu i sposobu przeprowadzenia takiej kontroli znalazły się w stanowisku Prezesa Urzędu Ochrony Danych Osobowych (dalej: PUODO), który w swoim komunikacje z dnia 12 listopada 2020 r. „Czy praca IOD może być kontrolowana?”[3], wskazał że „[…] administrator ponosi pełną odpowiedzialność za zgodne z przepisami ochrony danych osobowych przetwarzanie danych. Inspektor ochrony da...

Dalsza część jest dostępna dla użytkowników z wykupionym planem