Punkty zapalne, które często umykają uwadze Inspektora Ochrony Danych

Status, rola i zadania Inspektora Ochrony Danych (dalej: IOD) zostały precyzyjnie określone przez przepisy RODO. Niejednokrotnie zdarza się jednak, że w codziennej praktyce dochodzi do sytuacji problematycznych, a nawet konfliktowych. Napięcia mogą się pojawić zarówno na linii IOD–osoby, których dane dotyczą, ale także IOD–administrator danych albo jego pracownicy.

Warto zwrócić uwagę na takie sytuacje, aby po pierwsze nie eskalować pojawiających się sporów, a po drugie od razu wyjaśniać wszystkie wątpliwości, któregokolwiek z podmiotów. Pozwoli to nie tylko na zminimalizowanie ryzyka złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych (dalej: PUODO) przez osoby, których dane dotyczą, ale także może wpłynąć na poprawę standardów komunikacji i ochrony danych osobowych u admi­nistratora danych.

W niniejszym dziale omówiono kilka potencjalnie konfliktowych punktów, na które IOD powinien zwrócić uwagę, by odpowiednio wcześnie reagować.

Realizacja praw osób, których dane dotyczą

Zgodnie z art. 37 ust. 7 RODO administrator danych lub podmiot przetwarzający publikują dane kontaktowe IOD i zawiadamiają o nich organ nadzorczy. Udostępnienie danych IOD wiąże się z relacją jego zadań w zakresie, w jakim pełni on funkcję punktu kontaktowego dla osób, których dane dotyczą. Ten z pozoru prosty do spełniania obowiązek administratora danych budzi jednak wątpliwości i jego nieprawidłowa realizacja może być źródłem skarg, jakie osoby, których dane dotyczą, składają do PUODO.

W pierwszej kolejności warto zaznaczyć, że chodzi tutaj o publikację danych umożliwiających bezpośredni kontakt z IOD (np. adres e-mail), nie jest natomiast wymagana publikacja imienia i nazwiska IOD. Takie rozwiązanie pomaga zmniejszyć opory przed publikacją danych IOD, zwłaszcza w sytuacji, gdy funkcję IOD pełni pracownik administratora danych, który wykonuje też inne czynności i nie chce, by jego nazwisko w pierwszej kolejności kojarzyło się z funkcją IOD.

Trzeba jednak pamiętać, że podanie danych kontaktowych IOD jest obowiązkowe, a ich nieopublikowanie prowadzi do składania przez osoby, których dane dotyczą, skarg do PUODO. Takie wnioski płyną z artykułu PUODO opublikowanego w newsletterze dla Inspektorów Ochrony Danych, wydanie 4/2019 (4) z lipca 2019 r., pt.: „Ułat­wianie osobom fizycznym wykonywania ich praw określonych w RODO jest obowiązkiem wynikającym wprost z przepisów prawa”. W przedmiotowym wpisie PUODO zwraca uwagę, że w skargach osoby fizyczne wskazują przede wszystkim na problemy związane z odnalezieniem kontaktu do...

Dalsza część jest dostępna dla użytkowników z wykupionym planem