„Zakaz” wydawania instrukcji dla IOD dotyczących wykonywania przez niego zadań

Zgodnie z art. 38 ust. 3 zd. 1 RODO administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Wskazany „zakaz” wydawania instrukcji IOD należy rozumieć jako zakaz instrukcji dotyczących realizowanych przez IOD zadań, a nie wydawania poleceń w ramach pełnionych obowiązków służbowych. Jak wyjaśnia w swoich wytycznych Grupa Robocza art. 29, wskazany przepis oznacza, że w ramach wypełniania zadań, o którym mowa w art. 39 RODO, IOD nie może otrzymywać od administratora danych, swoich przełożonych czy kierowników poszczególnych działów instrukcji dotyczących sposobu rozpoznania sprawy, środków, jakie mają zostać podjęte czy celu, jaki powinien zostać osiągnięty, czy też faktu, czy należy skontaktować się z organem nadzorczym1. Czym innym zatem jest zwrócenie się do IOD o wydanie wytycznych w konkretnej sprawie, a czym innym wskazanie, co te wytyczne mają zawierać. Druga z opisanych sytuacji jest absolutnie niedopuszczalna. IOD nie może zostać zobligowany do przyjęcia określonego stanowiska w sprawie zakresu prawa ochrony danych, np. określonej wykładni przepisów2.

Ważne

Możliwość zajęcia samodzielnego stanowiska na podstawie interpretacji przepisów i orzecznictwa, czasem wbrew oczekiwaniom administratora danych co do treści tych wytycznych, jest jednym z fundamentów niezależności IOD.

W praktyce niezależność IOD sprowadza się właśnie do takich przypadków, kiedy to IOD wydaje wytyczne, o których wie, że nie spodobają się przełożonym (bo np. proponowane rozwiązania są kosztowane i przekraczają założony budżet, ale są konieczne do zachowania zasad ochrony danych osobowych), a mimo to IOD nie ma obaw, żeby zająć takie stanowisko.

Co więcej, dla świadomego administratora danych takie działanie IOD jest wręcz pożądane, bo to administrator danych ostatecznie odpowiada za przestrzeganie przepisów RODO i powinien oczekiwać od IOD, że dostanie od niego rzetelne stanowisko, nawet jeśli będzie ono dla niego z jakiś powodów trudne do zaakceptowania.


Analizując przedmiotowe zagadnienie, warto mieć na uwadze, że niezależność IOD nie oznacza jednak, iż posiada on uprawnienia decyzyjne wykraczające poza zadania okreś­lone w art. 39 RODO3. Zajmowanie przez IOD stanowiska i opracowywanie wytycznych nie może wykraczać poza kompetencje przysługujące mu na podstawie przepisów RODO. Ostateczne decyzje podejmuje bowiem administrator danych. Może i powinien oprzeć się na opin...

Dalsza część jest dostępna dla użytkowników z wykupionym planem