.avif)
PRAWO
Ochrona danych osobowych – nadchodzące zmiany
Czytaj więcej
Wypadek zagraniczny - co robić? Pobierz darmowy poradnik
Kiedy kierownictwo firmy planuje sprzedaż nowego produktu, wdraża system CRM albo łączy spółki niemal zawsze pojawia się pytanie: kto zadba o to, by dane osobowe były przetwarzane zgodnie z prawem i zdrowym rozsądkiem? Tutaj na scenę wkracza Inspektor Ochrony Danych – funkcja przewidziana w przepisach RODO jako niezależne wsparcie merytoryczne. Inspektor informuje i doradza, weryfikuje zgodność z przepisami i wewnętrznymi politykami, a także współpracuje z organem nadzorczym i (w razie potrzeby) odpowiada na zapytania osób, których dane dotyczą.
W tym artykule wyjaśniamy, kim w świetle zapisów RODO jest IOD, kiedy należy go powołać, jakie ma zadania i jak kształtuje się jego odpowiedzialności względem administratora danych.
Inspektor Ochrony Danych to – w rozumieniu RODO – osoba dysponująca wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Wyznaczenia IOD dokonuje administrator danych lub podmiot przetwarzający. Co do zasady jego rola ma polegać na działaniu „na rzecz zgodnego z prawem przetwarzania danych osobowych” zarówno w administracji publicznej, jak i w sektorze prywatnym. Chodzi o stałe wsparcie decydentów w bezpiecznym i zgodnym prowadzeniu procesów przetwarzania oraz o zapewnienie organizacji kompetentnego łącznika z organem ochrony danych.
IOD trzeba wyznaczyć w trzech sytuacjach. Po pierwsze, gdy dane przetwarza organ lub podmiot publiczny (z wyłączeniem sądów w zakresie wymiaru sprawiedliwości). W polskich przepisach doprecyzowano, że chodzi m.in. o jednostki sektora finansów publicznych, instytuty badawcze i Narodowy Bank Polski.
Po drugie, gdy główna działalność firmy wymaga stałego „patrzenia” na zachowania ludzi — czyli ich regularnego i systematycznego monitorowania — i to na dużą skalę. „Regularne” oznacza działania powtarzające się w czasie (np. stale lub cyklicznie), a „systematyczne” – prowadzone według planu, metodycznie, z użyciem ustalonych narzędzi. Przykładami są profilowanie, programy lojalnościowe, reklama behawioralna, ocena ryzyka kredytowego czy śledzenie lokalizacji.
Po trzecie, gdy główna działalność obejmuje przetwarzanie na dużą skalę danych szczególnych kategorii (np. o zdrowiu) lub danych o wyrokach i czynach zabronionych. „Duża skala” nie jest jednym progiem liczbowym — ocenia się łącznie m.in. liczbę osób, zakres i kategorie danych, czas trwania operacji oraz ich zasięg geograficzny; ważny jest też potencjalny wpływ na prawa i wolności osób. Typowe przykłady to przetwarzanie danych klientów w bankowości czy ubezpieczeniach albo reklama behawioralna realizowana przez wyszukiwarki.
Jeśli więc monitorowanie osób jest stałym elementem modelu biznesowego to powołanie IOD jest obowiązkowe.
Wyznaczenie inspektora wiąże się z dwoma torami działań: zgłoszeniem do organu nadzorczego oraz udostępnieniem jego danych kontaktowych na zewnątrz.
Po pierwsze, administrator lub podmiot przetwarzający mają obowiązek zawiadomić Prezesa UODO o wyznaczeniu IOD, przekazując imię i nazwisko inspektora oraz adres poczty elektronicznej lub numer telefonu. Zgłoszenie obejmuje także późniejsze aktualizacje – każdą zmianę tych danych należy zgłosić w terminie 14 dni. Zawiadomienia dokonuje się elektronicznie (z kwalifikowanym podpisem lub podpisem potwierdzonym profilem zaufanym ePUAP), co ma usprawnić identyfikację i kontakt z inspektorem w toku spraw prowadzonych przez urząd.
Po drugie, organizacja powinna niezwłocznie upublicznić kanał kontaktu do IOD – co do zasady na swojej stronie internetowej, a przy jej braku „w sposób ogólnie dostępny w miejscu prowadzenia działalności”. Warto zauważyć istotne rozróżnienie: RODO wymaga upublicznienia danych kontaktowych inspektora (np. dedykowanego adresu e-mail lub numeru telefonu), natomiast nie nakłada obowiązku publikowania jego imienia i nazwiska – chodzi o realną dostępność kontaktu, nie o ekspozycję danych osobowych IOD.
Inspektor Ochrony Danych powinien zostać wyznaczany „na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań” wskazanych w art. 39 RODO. Poziom tej wiedzy nie jest odgórnie określony i powinien odpowiadać rodzajowi operacji przetwarzania w danej organizacji oraz poziomowi ochrony, jakiego wymagają przetwarzane dane (motyw 97). W praktyce przekłada się to na kompetencje obejmujące nie tylko znajomość przepisów, ale i realne umiejętności wdrożeniowe.
Co do zasady „wiedza fachowa” Inspektora powinna obejmować kilka filarów. Po pierwsze, solidną znajomość prawa ochrony danych w ujęciu unijnym i krajowym oraz umiejętność interpretacji przepisów. Po drugie, znajomość praktyk i narzędzi ochrony danych, od monitorowania zgodności, przez prowadzenie kontroli i ocenę ryzyka, po przygotowanie rekomendacji wdrożeniowych. Po trzecie, orientację w technologii: architekturze systemów IT, cyberbezpieczeństwie oraz sposobach, w jakie organizacja faktycznie przetwarza dane. Po czwarte, rozumienie specyfiki branży i procesów biznesowych administratora lub procesora, w tym wiedzę o czynnościach przetwarzania, systemach i łańcuchu podmiotów przetwarzających. Taki zestaw kompetencji, który pozwala inspektorowi udzielać adekwatnych porad, szkolić personel, a także sensownie oceniać skutki dla ochrony danych (DPIA).
RODO dopuszcza elastyczność co do formy wykonywania funkcji: inspektorem może być pracownik administratora lub podmiotu przetwarzającego, ale też podmiot zewnętrzny działający na podstawie umowy o świadczenie usług.
Trzon zadań inspektora wyznacza art. 39 RODO. W pierwszej kolejności IOD informuje administratora, podmiot przetwarzający oraz pracowników o obowiązkach wynikających z przepisów ochrony danych i doradza, jak je stosować w konkretnych procesach.
Równie istotne jest monitorowanie przestrzegania RODO, innych właściwych przepisów oraz polityk wewnętrznych. W praktyce obejmuje to podział odpowiedzialności, działania podnoszące świadomość, cykliczne szkolenia i związane z nimi audyty. IOD stoi więc nie tylko za interpretacją prawa, ale także za „pętlą” doskonalenia – sprawdza, uczy, sprawdza ponownie – tak, by ochrona danych faktycznie działała w danej organizacji.
Kolejny obszar to oceny skutków dla ochrony danych (DPIA). Inspektor, oceniając ryzyko związane z planowanym przetwarzaniem, rekomenduje, kiedy przeprowadzić DPIA, a następnie monitoruje jej wykonanie i jakość. Dzięki temu decyzje projektowe i biznesowe zyskują filtr zgodności i proporcjonalności, zanim dojdzie do faktycznego wdrożenia określonych rozwiązań.
IOD współpracuje także z organem nadzorczym i pełni funkcję punktu kontaktowego w sprawach związanych z przetwarzaniem i zarówno przy uprzednich konsultacjach, jak i w toku postępowań.
Do obowiązków inspektora należą także czynności „operacyjne” towarzyszące powyższym zadaniom: udział w ocenie naruszeń i koordynacji ewentualnych zgłoszeń do Prezesa Urzędu Ochrony Danych Osobowich, opiniowanie i przygotowywanie klauzul informacyjnych oraz zgód, opiniowanie umów powierzenia i kontrola podmiotów przetwarzających, a także udział w inicjatywach zgodności takich jak certyfikacja czy kodeksy postępowania.
Rola IOD została pomyślana jako funkcja doradczo-nadzorcza wykonywana w sposób niezależny. Z przepisów i opracowań wynika, że administrator lub podmiot przetwarzający powinien zapewnić inspektorowi takie warunki, aby mógł wykonywać obowiązki „w sposób niezależny” i bez konfliktu interesów. Oznacza to w szczególności brak instrukcji co do tego, jak ma realizować zadania, oraz konieczność unikania łączenia funkcji IOD z rolami, które same wyznaczają cele i sposoby przetwarzania danych. W literaturze wskazuje się przykładowo, że stanowiska kierownicze odpowiedzialne za określanie sposobu przetwarzania (np. dyrektorzy odpowiedzialni za obszary operacyjne czy IT) są niekompatybilne z funkcją IOD, bo powodują konflikt interesów.
Aby zachować rzeczywistą niezależność, IOD powinien raportować bezpośrednio do najwyższego kierownictwa administratora lub podmiotu przetwarzającego. Taki model raportowania wzmacnia pozycję inspektora i umożliwia weryfikację wykonywania obowiązków zgodnie z przepisami. Jednocześnie IOD nie powinien otrzymywać poleceń dotyczących rozpoznania sprawy, doboru środków i celu działań ani oczekiwanego wyniku .
Unikanie konfliktu interesów łączy się z odpowiednim umiejscowieniem IOD w strukturze organizacyjnej. inspektor nie może zajmować w organizacji stanowiska pociągającego za sobą określanie celów i sposobów przetwarzania. W praktyce jako przykłady ról niezgodnych z funkcją IOD wymieniane są m.in. stanowiska dyrektorskie (generalny, operacyjny, finansowy, medyczny), kierownicy działów marketingu, HR czy IT – także wtedy, gdy biorą udział w określaniu sposobów przetwarzania danych.
Niezależność IOD ma także wymiar operacyjny: inspektor uczestniczy w sprawach dotyczących ochrony danych, ale jego zadania pozostają doradcze i monitorujące. IOD nie może być zobowiązany do przyjęcia określonego stanowiska prawnego ani do interpretacji przepisów na życzenie – przedstawia opinię i rekomendacje, a decyzje podejmuje kierownictwo administratora lub procesora.
Ważnym elementem pozycji IOD jest dostępność i włączenie w sprawy dotyczące ochrony danych, w tym w szczególności stałego i terminowego angażowania inspektora w projekty i decyzje związane z przetwarzaniem.
Administrator Danych to podmiot, który decyduje o celach i środkach przetwarzania – w przypadku spółek prawa handlowego administratorem jest sama spółka, a nie jej organy czy poszczególni członkowie zarządu. Z tą rolą wiążą się najważniejsze obowiązki materialne, takie jak prowadzenie rejestru czynności przetwarzania, dokonywanie ocen skutków dla ochrony danych, zgłaszanie naruszeń do organu nadzorczego i zawiadamianie osób, których dane dotyczą, a także przestrzeganie zasad minimalizacji i ograniczenia przechowywania oraz realizowanie prawa do usunięcia danych. To właśnie po stronie ADO spoczywa ciężar rozliczalności za zgodność przetwarzania z prawem.
Inspektor Ochrony Danych działa „na rzecz” tego systemu odpowiedzialności: informuje administratora i jego pracowników o wynikających z przepisów obowiązkach, doradza w bieżących sprawach, monitoruje stosowanie RODO i polityk wewnętrznych, wspiera przy ocenach skutków oraz utrzymuje roboczy kontakt z organem nadzorczym.
W należycie ułożonej współpracy ADO zapewnia IOD realny dostęp do informacji i projektów dotyczących przetwarzania, a IOD dostarcza rzetelnych, proporcjonalnych do ryzyka rekomendacji i szkoleń oraz pomaga porządkować dokumentację i procesy. Dzięki temu zarząd otrzymuje kompetentnego partnera do spraw zgodności, ale nie traci z pola widzenia, że to administrator – jako „właściciel” celów i środków przetwarzania – pozostaje podmiotem odpowiedzialnym za całość systemu ochrony danych w spółce.
W praktyce rozdział ról jest prosty: IOD doradza i monitoruje, natomiast za zgodność całej organizacji z RODO odpowiada administrator danych (albo – w swoim zakresie – podmiot przetwarzający). Literatura wskazuje wprost, że pomimo istotnej roli inspektora „IOD nie jest osobiście odpowiedzialny za przestrzeganie [przepisów] przez podmiot, w ramach struktury którego działa”; to administrator lub procesor „jest zobowiązany zapewnić i być w stanie wykazać, że przetwarzanie odbywa się zgodnie z RODO” (art. 24 ust. 1). Tak ukształtowana odpowiedzialność chroni niezależność inspektora i przypisuje ciężar rozliczalności temu, kto faktycznie decyduje o celach i sposobach przetwarzania.
Zakres odpowiedzialności inspektora dotyczy zatem należytego wykonywania jego własnych zadań i standardu staranności przewidzianego w RODO: udzielania rzetelnych opinii, bieżącego monitorowania zgodności i współpracy z organem.
W konsekwencji IOD odpowiada za jakość własnego doradztwa i nadzoru, ale nie ponosi odpowiedzialności za globalną zgodność przetwarzania – ta nadal spoczywa na administratorze (lub procesorze), który wyznacza cele i środki oraz musi wykazać spełnienie wymogów RODO.
Inspektor Ochrony Danych jest w organizacji niezależnym doradcą i „wewnętrznym regulatorem”: informuje i doradza administratorowi oraz pracownikom, monitoruje stosowanie RODO i polityk wewnętrznych, wspiera przy ocenach skutków (DPIA) i utrzymuje roboczy kontakt z organem nadzorczym oraz – w stosownych przypadkach – z osobami, których dane dotyczą. Skuteczność tej roli opiera się na umocowaniu bez instrukcji co do treści opinii, unikaniu konfliktu interesów i bezpośrednim raporcie do najwyższego kierownictwa.
Masz pytania dotyczące wyznaczenia IOD, jego zakresu zadań albo umiejscowienia w strukturze spółki? Skontaktuj się z naszą kancelarią – przeanalizujemy Twoją sytuację i zaproponujemy konkretne, zgodne z RODO rozwiązania dopasowane do modelu działania Twojej organizacji.
Absolwentka Wydziału Prawa i Administracji Uniwersytetu im. Adama Mickiewicza w Poznaniu. Członek Wielkopolskiej Izby Adwokackiej.
