Zadania IOD a tajemnica zawodowa

Przepisy RODO wyraźnie wskazują, że inspektor ochrony danych osobowych (dalej: IOD) jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań, zgodnie z prawem Unii Europejskiej lub prawem państwa członkowskiego (art. 38 ust. 5 RODO). Niezależnie zatem od tego, czy osoba pełniąca funkcję IOD jest pracownikiem administratora danych, czy też osobą z zewnątrz, oraz na jakiej podstawie pełni swoją funkcję (umowa o pracę, umowa o świadczenie usług), zawsze będzie zobowiązana do zachowania tajemnicy dotyczącej realizowanych jako IOD zadań.

Zakres obowiązywania tajemnicy zawodowej dotyczący IOD

Jak wskazuje Grupa Robocza art. 29 w swoich wytycznych dotyczących IOD, IOD ma pełnić funkcję punktu kontaktowego, by umożliwić organowi nadzorczemu dostęp do dokumentów i informacji w celu realizacji zadań tego orga­nu, jak również wykonywania uprawnień w zakresie prowadzonych postępowań, uprawnień naprawczych, uprawnień w zakresie wydawania zezwoleń oraz uprawnień doradczych. W tym zakresie IOD związany jest tajemnicą i poufnością dotyczącą wykonywania zadań, jednakże zakaz ten nie wyłącza możliwości kontaktowania się IOD w celu uzyskania porady ze strony organu nadzorczego. Wynika to z faktu, że IOD może konsultować się z Prezesem Urzędu Ochrony Danych (dalej: PUODO) we wszystkich sprawach na zasadach określonych w przepisach RODO1.

W tej sytuacji należy wskazać, że tajemnica zawodowa IOD nie dotyczy przypadków, gdy w ramach realizowanych przez siebie zadań IOD jest zobowiązany lub uprawniony do kontaktowania i konsultowania się z PUODO. Nie będzie również złamaniem tajemnicy zawodowej IOD przekazywanie przez niego dokumentów i informacji PUODO w trybie art. 57 RODO, który pozwala PUODO – w ramach realizowanych przez siebie zadań – domagać się od administratora danych przekazania informacji i dokumentów dotyczących prowadzonych w jego organizacji procesów przetwarzania danych osobowych.

Tajemnica zawodowa obowiązująca IOD dotyczy natomiast sytuacji, w której nie może on przekazywać osobom nieuprawnionym informacji dotyczących zasad i czynności przetwarzania danych osobowych u administratora danych. Dotyczy to zarówno samych danych osobowych, do których IOD będzie miał dostęp, ale także sposobów i systemów zabezpieczeń wdrożonych w organizacji administratora danych. Co więcej, warto zwrócić uwagę, że obowiązek zachowania tajemnicy może dotyczyć też nieujawniania niektórych informacji, np. pracownikom administratora danych, którzy nie są uprawnieni, by takie informacje uzyskać. Nie ulega bowiem wątpliwości, że informacje, np. o wdrożonych zabezpieczeniach systemu informatycznego, nie muszą, a wręcz nie powinny być ujawniane wszystkim pracownikom administratora danych. Co ciekawe, może zdarzyć się sytuacja, w której IOD, będący zewnętrznym konsultantem, ma bardziej szczegółową wiedzę o wdrożonych środkach organizacyjnych i technicznych mających na celu minimalizację ryzyka naruszenia bezpieczeństwa danych osobowych niż sami pracownicy administratora danych.

Ważne

Administratorzy danych powinni pamiętać, że obowiązek zachowania tajemnicy zawodowej przez IOD nie dotyczy jego zadań w zakresie, w jakim IOD jest zobowiązany do kontaktu z PUODO i do przekazywania PUODO informacji i dokumentów.

Administrator danych nie może wymagać od IOD, że ten zatai lub nie przekaże PUODO informacji, których ten będzie się domagał. Obowiązkiem IOD jest pełna współpraca z PUODO w tym zakresie


Konsekwencje naruszenia tajemnicy

Mając na uwadze obowiązek zachowania tajemnicy zawodowej przez IOD, należy także określić konsekwencje, jakie będzie mógł wyciągać administrator danych wobec osoby pełniącej funkcję IOD, która dopuści się naruszenia obowiązku zachowania tej tajemnicy. Ze względu na fakt, że przepisy RODO nie wskazują wprost, jakie konsekwencje grożą IOD za złamanie tajemnicy zaw...

Dalsza część jest dostępna dla użytkowników z wykupionym planem