Obowiązki administratorów danych a zadania inspektorów ochrony danych

Zakres obowiązków inspektora danych osobowych pokrywa się częściowo z zadaniami nałożonymi przez RODO na administratorów danych. Jednak przepisy RODO wyłączają pewne przedsięwzięcia z możliwości przeniesienia ich na inspektora ochrony danych, np.: ciężar podejmowania decyzji w procesie przetwarzania danych, który wprost nałożony został na administratorów danych lub podmioty przetwarzające.

Przykładem  mogą być decyzje administratora co do wdrażanych technicznych i organizacyjnych środków ochrony danych osobowych. Artykuł 24 RODO wskazuje wprost, że, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, to administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. W tym zakresie działań inspektor ochrony danych może jedynie uczestniczyć jako podmiot doradczy, wspierający administratora w podejmowanych przez niego decyzjach.

Niezależnie od charakteru działań administratora danych osobowych w zakresie przetwarzania danych osobowych można wskazać na pewne stałe zadania realizowane przez ADO, które będą również spoczywały na inspektorze ochrony danych. Do zadań tych zalicza się:

  • informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o konkretnych obowiązkach spoczywających na nich na mocy RODO;
  • merytoryczne wsparcie administratora danych, podmiotu przetwarzającego oraz pracowników w podejmowaniu działań zmierzających do zapewnienia zgodnego z prawem przetwarzania danych;
  • monitorowanie i egzekwowanie przestrzegania zasad ochrony danych;
  • skonstruowanie mechanizmu należytego procesu odbierania zgody na przetwarzanie danych osobowych od osób, których dane są przetwarzane w ramach przesłanek przetwarzania danych osobowych, o których mowa w art. 6–11 RODO; zgoda powinna być odebrana w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem;
  • opiniowanie lub tworzenie w imieniu administratora wzorów umów odpowiadających wszystkim wymogom przewidzianym w art. 28–29 rozporządzenia; umowy muszą być zawierane przez ADO w związku z ciążącym na administratorze danych obowiązkiem dochowania należytej formy powierzania danych osobowych;
  • dokumentowanie procesu przetwarzania danych osobowych, np. dokumentowanie naruszeń ochrony danych osobowych, w tym okoliczności tych naruszeń, ich skutków oraz podjętych działań zaradczych, opracowywanie dokumentacji bezpieczeństwa itp.; inspektorzy w większości przypadków będą osobami tworzącymi i aktualizującymi dokumentację ochrony danych jako osoby posiadające największą wiedzę o wszelkich zdarzeniach mogących rodzić ryzyko naruszenia zasad ochrony danych;
  • zapewnienie należytych środków bezpieczeństwa ochrony danych osobowych – zgodnie z art. 32 rozporządzenia, uwzględniając m.in. stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i orga­nizacyjne zapewniające należytą ochronę danych osobowych; w praktyce ocena skuteczności zastosowanych środków ochrony oraz rekomendowanie zmian powinny należeć do inspektora ochrony danych.

Przy budowie systemu bezpieczeństwa oraz realizacji zadań administratora w tym systemie, wspieranego przez inspektora, warto pamiętać o art. 25 rozporządzenia, który nakłada na administratora danych obowiązek uwzględnienia ochrony danych osobowych w fazie projektowania i budowy systemu.

Administrator, uwzględniając:

  • swój stan wiedzy technicznej,
  • koszt wdrażania systemu oraz charakter, zakres, kontekst i cele przetwarzania danych,
  • ryzyko naruszenia praw lub wolności osób fizycznych,
  • zobowiązany jest do wdrażania odpowiednich środków technicznych i organizacyjnych podczas określania sposobów przetwarzania oraz w czasie samego przetwarzania danych.

Powyższe zadania wymagają od administratora szerokiej wiedzy, a wymagana w stosunku do inspektora wiedza fachowa powinna być wsparciem dla administratora, który zapewne włączy inspektora do procesu wdrażania systemu ochrony danych osobowych.

WAŹNE!

Zakres zadań inspektora ochrony danych osobowych wskazany w art. 39 rozporządzenia nie oznacza, że admi­nistrator może przenieść na inspektora pełną odpowiedzialność za podejmowane decyzje, zwłaszcza w tych kwestiach, gdzie ten obowiązek wprost spoczywa na administratorze danych lub podmiocie przetwarzającym.