Instytucja Inspektora Ochrony Danych Osobowych

Inspektor Ochrony Danych Osobowych jest jednostką wyznaczoną przez administratora danych do wykonywania zadań wynikających z przepisów RODO, m.in. do informowania o obowiązkach jakie posiada zarówno administrator jak i jego pracownicy, kontrolowania przestrzegania przepisów, udzielania rad, zaleceń ale również stanowi on formę punktu kontaktowego dla organów nadzorczych. Realizując swoje zadania powoduje on również realizację zasady rozliczalności poprzez ocenę skutku ochrony danych oraz sporządzanie opinii o ocenach ryzyka.

Celem administratora jak i podmiotu przetwarzającego dane osobowe jest zapewnienie aby Inspektor Ochrony Danych Osobowych był jak najszybciej włączany do wszystkich spraw gdzie przedmiotem jest ochrona danych osobowych. Zadaniem wskazanych podmiotów, jest również wspieranie inspektora w wykonywaniu przez niego zadań wskazanych w art. 39 RODO. Kluczowym jest aby zapewnić mu potrzebne zasoby w celu umożliwienia wykonywania obowiązków, co tyczy się zarówno dostępu do bazy danych  osobowych jak i danych, które pomogą mu w utrzymaniu niezbędnej wiedzy w owej dziedzinie.

Jednym z obowiązków administratora jest zapewnienie swobody działania Inspektora Ochrony Danych Osobowych. Jest to jednostka, która nie może otrzymywać wskazań, jak ma wypełniać swoje zadania. Również wspomnieć należy, że nie może on być odwoływany ani karany przez administratora czy podmiot przetwarzający w związku z wykonywanymi przez siebie obowiązkami. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Kluczową kwestią jest możliwość kontaktu osób których dane są przetwarzane z inspektorem ochrony danych osobowych, w sprawach związanych z przetwarzaniem ich danych oraz posiadaniem praw wskazanych bezpośrednio w RODO. Jednakże, Inspektor jest obowiązany do zachowania tajemnicy związanych z powyższymi danymi podczas wykonywania swoich zadań.

Zadania Inspektora Ochrony Danych Osobowych

W ramach prowadzonej działalności Inspektor Ochrony Danych ma w obowiązku wykonywanie ustalonych zadań. Wymienione są one m.in. w art. 39 RODO. Należą do nich:

a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich;

b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych,

c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;

d) współpraca z organem nadzorczym;

e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

2. Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

Podsumowując, głównym zadaniem Inspektora Ochrony Danych Osobowych jest monitorowanie oraz kontrolowanie, czy dana jednostka realizuje obowiązujące ją przepisy o ochronie danych. Powołany jest on również do przeprowadzania szkoleń i pomocy pracownikom w rozmaitych problemach związanych z zagadnieniem danych osobowych.

Zadania Inspektora w RODO wskazano w sposób dość ogólny, nie wyszczególniając terminu oraz trybu ich wykonania. Jest to wyraz innowacji w ochronie danych oparty na zasadzie rozliczalności oraz analizie ryzyka.  Zadania IOD i możliwości ich realizacji są ściśle związane z obowiązkami ciążącymi na administratorach ale również prezentują stosunkowo nowy stopień ich realizacji.

Również należy pamiętać, że podmiotem, który faktycznie podejmuje decyzje i odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiedni stopień bezpieczeństwa oraz wykazanie, że przetwarzanie odbywa się zgodnie z przepisami ochrony danych osobowych jest administrator lub  podmiot przetwarzający. Na podstawie art. 24 RODO administratorzy i podmioty przetwarzające są zobowiązani uwzględniać: charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, i odpowiednio do nich – dobierać i wdrażać środki techniczne i organizacyjne, tak, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te powinny być w razie potrzeby poddawane przeglądom i uaktualniane.

Wyznaczenie Inspektora Ochrony Danych

Inspektor Ochrony Danych Osobowych musi zostać wyznaczony w przypadkach, o których mówi art. 37 RODO. Jest to po pierwsze sytuacja, gdy przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.

Z powyższego wynika, że Inspektora powołać muszą podmioty i organy publiczne, co do zasady wszystkie. Również sądy zobowiązane są do tego kroku ale w tym przypadku Inspektor nie może nadzorować pracy związanej z kwestią wydawanych orzeczeń. Może on nadzorować pracę sądu ale nie może ingerować w zasadę niezawisłości sądów. Kwestie administracyjne podlegają jego szerokiej kontroli, natomiast w żaden sposób nie mogą jej podlegać kwestie orzecznicze.

Inne typy organów obowiązanych do powołania Inspektora Ochrony Danych to np. jednostki sektora finansów publicznych, instytuty badawcze oraz Narodowy Bank Polski.

Kolejne podmioty obowiązane do powołania Inspektora Ochrony Danych Osobowych to takie, gdzie główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.

Jest to pierwsza wspomniana grupa podmiotów prywatnych co stanowi istotną różnicę w stosunku do pierwszego zbioru instytucji. Warunkiem jednak wskazanym powyżej jest to, aby główna działalność podmiotu nakierowana była na monitorowanie osób – osoba fizyczna jest monitorowana przez podmiot przetwarzający dane. Można tu wskazać wielorakie sposoby monitorowania. Może to być klasyczny monitoring wizyjny, jak i monitorowanie osób w sieci przy użyciu specjalnych narzędzi interaktywnych. Podmioty podejmujące te czynności muszą to robić przede wszystkim na dużą skalę, wiąże się to ze wspomnianym obowiązkiem posiadania Inspektora Ochrony Danych. Nie chodzi jednak w tym przypadku o przykładowo o sklep internetowy, który głównie sprzedaje towary a jedynie profiluje klientów w celu doboru najlepszych produktów sprzedażowych. Wskazane regulacje dotyczą podmiotów specjalizujących się w monitoringu i sprzedających swoje usługi innym.

Ostatnia grupa to podmioty, których główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

We wskazanej grupie obowiązuje to samo kryterium jak w podmiotach wyżej wskazanych, mianowicie działalność danego podmiotu musi być prowadzona na szeroką skalę i musi to być jego główna domena. Nie chodzi zatem o przedsiębiorcę, który przetwarza dane pracowników na swoje potrzeby. Mówimy tu o podmiotach zajmujących się zawodowo przetwarzaniem danych. Będzie nim prywatny, prężnie działający szpital ale już nie mała przychodnia prywatna.

 

Sytuacje gdy powołanie Inspektora Ochrony Danych nie jest wymagane

            Wskazane sytuacje mają miejsce gdy podmiotów nie można zaliczyć do żadnej z powyższych grup. Administrator, podmiot przetwarzający, zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających mogą wyznaczyć lub jeżeli wymaga tego prawo Unii lub prawo państwa członkowskiego, wyznaczają inspektora ochrony danych. Inspektor ochrony danych może działać w imieniu takich zrzeszeń i innych podmiotów reprezentujących administratorów lub podmioty przetwarzające.

Powyższy przepis mówi o tym, że w pozostałych przypadkach organów, które nie zaliczają się do żadnej z powyższych grup, wyznaczenie IOD-a jest dobrowolne. Ważną kwestią jest jednak to, że jeśli podmiot, którym w szczególności może być przedsiębiorca, nie wyznaczy Inspektora Ochrony Danych, to konieczne jest aby sam realizował jego zadania, co niejednokrotnie związane jest z koniecznością powołania w strukturach firmy odpowiednika wspomnianego Inspektora.

Przypomnieć należy, że owo wyznaczenie Inspektora jest obowiązkowe w podmiotach publicznych oraz dwóch innych wspomnianych sytuacjach. W pozostałych przypadkach jego powołanie jest dobrowolne. W praktyce wiele prywatnych podmiotów będzie zwolnionych z obowiązku powołania IOD-a jeśli nie działają one w dziedzinie monitoringu oraz nie przetwarzają danych wrażliwych. Ale podkreślając raz jeszcze, to że nie ma w danej strukturze Inspektora Danych Osobowych nie oznacza, że nie trzeba realizować w danym podmiocie jego zadań. Administrator musi je wtedy wykonywać samodzielnie. Konieczne jest aby nadzorował wtedy pracowników w zakresie danych osobowych, zapewniał realizację ich praw oraz był odpowiedzialny za kontakt z organem nadzorczym. W przypadku dużych podmiotów prywatnych, gdzie przetwarzanych jest mało danych lub pochodzą one z dziedzin, gdzie obecność inspektora nie jest wymagana, zazwyczaj i tak tworzy się komórkę do spraw danych osobowych.

Sytuacja niewielkich podmiotów

Kilka podmiotów prywatnych bądź niewielkich jednostek samorządowych może wyznaczyć wspólnego Inspektora Ochrony Danych Osobowych. Funkcję tę może sprawować osoba, która nie jest zatrudniona w danym podmiocie, można powierzyć ją osobie z zewnątrz, przykładowo kancelarii prawnej.

Wskazana sytuacja posiada uregulowanie w paragrafach artykułu 37 RODO o następującej treści: grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej oraz jeżeli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych. Podkreślić należy również, że inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.

Zatem Inspektor posiada szeroki zakres obowiązków oraz specjalny status podczas ich wykonywania. Musi on zostać powołany we wszystkich jednostkach z zakresu finansów publicznych, nawet tych bardzo niewielkich. Jednakże aby ułatwić procedurę owym pomniejszym podmiotom dopuszczalna jest możliwość powołania inspektora z zewnątrz danej organizacji. Kilka podmiotów może wiec posiadać wspólnego IOD-a. Bardzo ważne jest to w przypadku jednostek samorządu terytorialnego. Inspektor bowiem może realizować zadania w stosunku do kilku jednostek samorządu. IOD nie musi być w danym podmiocie zatrudniony, funkcję tę można powierzyć choćby kancelarii prawnej, której zadaniem będzie realizacja zadań w stosunku do podmiotów publicznych. Jest to tak samo możliwe jeśli chodzi o podmioty prywatne.

W przepisach o ochronie danych osobowych nie ujęto możliwości, gdy powołany zostaje więcej niż jeden Inspektor. Zarówno wśród pracowników administratora danych jak i z perspektywy podmiotów zewnętrznych, jasne musi być kto piastuje obowiązki Inspektora, kto jest odpowiedzialny za zgodne z przepisami przetwarzanie danych osobowych w danej jednostce. Ustawa o ochronie danych osobowych wyraźnie podaje, że wyznaczający IOD ma przedstawić jego dane w sposób ogólnodostępny, gdzie prowadzona jest jego działalność.

Z perspektywy kancelarii prawnej

Można zaobserwować postępujący trend w zawodach prawniczych do specjalizacji poszczególnych kancelarii prawnych w obsłudze klientów w zakresie ochrony danych osobowych. Nie chodzi tutaj jedynie o samą obsługę z zakresu przetwarzania danych ale również o pełnienie funkcji Inspektora Danych Osobowych. Należy jednak pamiętać o tym, że pojęciu Inspektor nie może zawierać się cała kancelaria. Jest to człowiek, jedynie konkretna osoba będąca pracownikiem kancelarii może piastować ową wskazaną funkcję. Możliwa jest obsługa przez daną jednostkę kilku podmiotów jednocześnie.

Swego czasu kwestia dopuszczalności łączenia zawodu adwokata czy radcy prawnego z funkcją Inspektora Ochrony Danych stała się przedmiotem wystąpień wystosowanych przez Prezesa UODO w stosunku do władz wskazanych samorządów.

W opinii Naczelnej Rady Adwokackiej wykonywanie zawodu adwokata nie wyklucza jednoczesnego pełnienia funkcji inspektora ochrony danych, bowiem przepisy RODO gwarantują IOD niezależność, co jest również podstawą wykonywania zawodu adwokata. Zadania powierzone IOD nie uwłaczają godności adwokata, nie ograniczają jego niezawisłości oraz nie podważają zaufania do adwokatury.

Natomiast Krajowa Rada Radców Prawnych wskazuje, że „wykonywanie zadań IOD nie może być kwalifikowane jako podkategoria pojęcia świadczenia pomocy prawnej, chociaż te obszary mają pewne wspólne zakresy. Ze względu na określone ryzyka, w szczególności związane z potencjalnym  naruszeniem zasad etyki zawodowej oraz rozbieżnymi charakterystykami funkcji radcy prawnego oraz IOD, KRRP rekomenduje niełączenie wykonywania tych ról w ramach jednego podmiotu (administratora danych/klienta). KRRP wskazała również na konieczność posiadania przez IOD odpowiednich kwalifikacji , w szczególności w zakresie zadań leżących poza zakresem pojęcia świadczenia pomocy prawnej np. znajomości aspektów technicznych, funkcjonowania systemów informatycznych, bezpieczeństwa IT, oceny ryzyka, prowadzenia audytów.

Wskazane opinie potwierdzają, że powierzenie funkcji IOD powinno być poprzedzone analizą wielu aspektów związanych z samym charakterem danego zawodu, możliwości jego wykonywania oraz posiadaniem odpowiednich kwalifikacji do prawidłowego wypełniania powierzonych zadań. Przede wszystkim ich wykonywanie nie może powodować na żadnej płaszczyźnie powstania jakiegokolwiek konfliktu interesów.

Osoby uprawnione do objęcia funkcji Inspektora Ochrony Danych

Jak wskazano w art. 37 ust. 5 RODO „Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39. 

Wiedza jaką powinien wykazać się Inspektor musi być rozpatrywana w kontekście konkretnych potrzeb danego podmiotu.

Rozporządzenie o ochronie danych kładzie nacisk na wymóg posiadania przez Inspektora Ochrony Danych odpowiedniej wiedzy oraz fachowości w wykonywaniu tyczących go obowiązków. Nie jest uregulowany tryb weryfikacji wskazanego wymogu. Dlatego też posiadanie przez kandydata certyfikatów czy innej dokumentacji potwierdzającej posiadane kwalifikacje będzie niewątpliwie ważnym argumentem przemawiającym na korzyść osoby wyznaczonej do pełnienia owej funkcji.

Inną kwestią jest możliwość odwołania Inspektora Ochrony Danych. Mianowicie, jest on nieodwoływalny ani nie może być karany przez danego administratora oraz podmiot przetwarzający w kwestii wypełniania swoich zadań. Może on zostać odwołany jedynie w uzasadnionych przypadkach. Są nimi przykładowo kradzież, nękanie, znaczne naruszenie wykonywanych obowiązków. Wskazane sytuacje dotyczą zarówno zatrudnionych inspektorów w ramach danej jednostki jak i zewnętrznych. W przepisach nie wskazano jednoznacznie w jakich sytuacjach i kiedy IOD może zostać odwołany i zastąpiony przez inną osobę. Decyzja ta należy do podmiotu który go wyznaczył.

Autor: Paweł Klich

Literatura

Inspektor Ochrony Danych Osobowych, https://poradnikprzedsiebiorcy.pl/-inspektor-ochrony-danych-osobowych-kiedy-jest-potrzebny.

Jakie zadania ma IOD?, https://uodo.gov.pl/pl/225/662.

Samorządy adwokatów i radców prawnych o dopuszczalności jednoczesnego wykonywania zawodu i pełnienia funkcji IOD, https://archiwum.giodo.gov.pl/pl/1520282/10461.

Akty prawne

USTAWA z dnia 10 maja 2018 r. o ochronie danych osobowych, http://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20180001000/T/D20181000L.pdf

Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r.

Ustawa z 27 sierpnia 2009 r. o finansach publicznych (Dz.U.2019.0.869)

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *