Niezależność inspektora ochrony danych

Bardzo ważnym warunkiem pracy inspektora, który musi być spełniony przy organizacji zatrudnienia, jest jego niezależność.

Inspektor ochrony danych – bez względu na to, czy jest pracownikiem administratora, czy wykonuje swoje usługi na podstawie umowy o świadczenie usług – powinien być w stanie wykonywać swoje obowiązki i zadania w zakresie przetwarzanych danych w sposób niezależny i suwerenny.

Należy zadbać o to, by inspektor podlegał najwyższemu kierownictwu administratora (kierownikowi jednostki orga­nizacyjnej) lub podmiotu przetwarzającego. Niedopuszczalną sytuacją jest podległość inspektora jakimkolwiek innym osobom lub podmiotom.

Podległość kierownikowi jednostki organizacyjnej skraca drogę raportowania, co ma istotne znaczenie w razie konieczności podejmowania szybkich działań naprawczych w sytuacji naruszenia ochrony danych osobowych.

W art. 38 ust. 3 RODO wprowadzony został obowiązek zapewnienia przez administratorów danych i podmioty przetwarzające, aby inspektor ochrony danych nie otrzymywał instrukcji co do wykonywania zadań. Ponadto powierzanie inspektorowi przez administratora danych innych obowiązków, niezwiązanych z ochroną danych, dopuszczalne jest jedynie wtedy, gdy obowiązki takie nie będą powodowały konfliktu interesów (art. 38 ust. 6 RODO).

Administratorzy danych i podmioty przetwarzające mają obowiązek wspierania inspektora ochrony danych w wypełnianiu przez niego zadań, poprzez zagwarantowanie mu dostępu do danych osobowych i operacji przetwarzania oraz udzielanie wszelkich informacji o każdej sprawie dotyczącej ochrony danych osobowych. Realizacja tego obowiązku wymaga wprowadzenia wewnętrznych zasad i procedur, które zapewnią skuteczny i szybki przepływ informacji dotyczących ochrony danych w tym zakresie.

Praca inspektora ochrony danych nierozerwalnie jest związana z koniecznością zachowania tajemnicy przedsiębiorstwa oraz poufności co do wykonywania swoich zadań, a także – co jest przedmiotem rozporządzenia – zachowania w poufności przetwarzanych danych osobowych ze względu na ich bezpieczeństwo.

Ciekawym zapisem w RODO jest art. 38 ust. 3, który daje gwarancję niezależności inspektora ochrony danych. Inspek­tor nie może być ukarany lub odwołany za wypełnianie swoich zadań, zważywszy na fakt, że realizacja obowiązków inspektora nie zawsze może iść w parze ze zgodnym z prawem zamiarem przetwarzania danych osobowych przez pracowników jednostki, co może powodować konflikty i rozgrywki personalne w jednostce.

Wykonywanie obowiązków inspektora wiąże się z odpowiedzialnością karno-administracyjną. Artykuł 83 ust. 4 pkt a  RODO mówi, że naruszenia wszystkich przepisów bezpośrednio odnoszących się do inspektorów ochrony danych osobowych (art. 37–39 RODO) podlega administracyjnej karze pieniężnej do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Oznacza to, że kary pieniężne grożą nie tylko administratorowi danych, ale również inspektorowi. Kary te mogą być egzekwowane przez organ nadzorczy w przypadku niewłaściwej realizacji zadań ochrony danych osobowych przez administratorów danych i podmioty przetwarzające, w tym obowiązku wyznaczania inspektora ochrony danych i zapewnienia mu określonych warunków wykonywania funkcji oraz nienależytego wykonywania zadań przez inspektorów ochrony danych.