UODO sprawdza, jak pracują inspektorzy ochrony danych

Inspektor ochrony danych to przewidziana w RODO funkcja mająca na celu zapewnianie zgodności w poszczególnych jednostkach organizacyjnych przetwarzania danych osobowych z przepisami prawa i wewnętrznymi politykami ochrony danych. W części podmiotów wyznaczenie inspektora jest obowiązkowe (np. w jednostkach sektora finansów publicznych).

Czytaj też: Udział i rola IOD w kontrolach prowadzonych przez Prezesa UODO >

Monitoring i doradztwo

Do ich zadań należy informowanie i doradzanie wewnątrz organizacji w zakresie obowiązków ochrony danych osobowych oraz monitorowanie przestrzegania przepisów ochronie danych osobowych w jednostce organizacyjnej, ale także pełnienie roli punktu kontaktowego dla Prezesa UODO w sprawach ochrony danych osobowych oraz dla osób, których dane dotyczą realizujących swoje prawa przewidziane w RODO. Według RODO, swoją funkcję inspektorzy powinni wykonywać w sposób niezależny, bez poleceń co do realizowanych działań, a administrator ma obowiązek zapewnić inspektorowi niezbędne zasoby do wykonywania jego funkcji oraz ma dbać, aby inspektor został włączony we wszystkie sprawy dotyczące ochrony danych osobowych.   

Czytaj też: Status i zadania IOD-a - dobre praktyki >

- Prawidłowe wykonywanie zadań przez inspektorów w ich jednostkach organizacyjnych ma kluczowe znaczenie dla przestrzegania przepisów RODO, ponieważ to na nich w poszczególnych jednostkach organizacyjnych spoczywa merytoryczny ciężar doradzania w sprawach ochrony danych osobowych i monitorowania wykonania obowiązków z przepisów o ochronie danych osobowych. Dlatego niepokoją, najczęściej nieformalne, sygnały z niektórych podmiotów, że inspektorzy nie są w stanie poprawnie realizować swoich zadań, ponieważ nie posiadają wystarczającego wsparcia organizacyjnego, muszą wykonywać dodatkowe obowiązki pozostające w konflikcie interesów z inspektorskimi zadaniami, a ich niezależność ma tylko iluzoryczny charakter. Kontrole UODO pozwolą zweryfikować te sygnały – mówi Prawo.pl prof. Grzegorz Sibiga, adwokat i partner w kancelarii Traple, Konarski, Podrecki i Wspólnicy.   

Czytaj również: WSA: E-mail z informacją o odejściu z pracy może naruszyć RODO>>
 

IOD – według RODO i polskiej ustawy

Zgodnie z art. 8 ustawy z 10 maja 2018 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2019 r., poz. 1781), administrator i podmiot przetwarzający dane są obowiązani do wyznaczenia inspektora ochrony danych w przypadkach i na zasadach określonych w art. 37 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych (dalej: RODO). Zgodnie z art. 37 RODO, administrator danych lub podmiot przetwarzający mają obowiązek wyznaczyć inspektora ochrony danych zawsze, gdy:

• przetwarzania dokonują organ lub podmiot publiczny (przy czym w myśl art. 9 ustawy, są nimi jednostki sektora finansów publicznych, instytuty badawcze i Narodowy Bank Polski), z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
• główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
• główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Administrator lub podmiot przetwarzający ma obowiązek zawiadomić Prezesa UODO o wyznaczeniu IOD w ciągu 14 dni od dnia jego wyznaczenia.

Czytaj też: Jakie gwarancje niezależności zostały przyznane IOD w przepisach RODO? >

Czytaj też: Zadania Inspektora Ochrony Danych w banku >

Zadaniem zaś inspektora ochrony danych jest:

• informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich UE o ochronie danych i doradzanie im w tej sprawie;
• monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich UE o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
• udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
• współpraca z organem nadzorczym;
• pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach. 

Kogo kontroluje UODO i o co pyta

Z naszych informacji wynika, że w tym miesiącu Urząd Ochrony Danych Osobowych rozpoczął akcję wzywania wybranych administratorów do złożenia wyjaśnień i przedstawienia dowodów dotyczących stosowania przepisów o inspektorze ochrony danych. Wezwania poświęcone są wyłącznie IOD, mają kompleksowy i szczegółowy charakter (to aż 27 pytań do administratora odnoszących się do wszystkich aspektów funkcjonowania IOD) i nie są związane z określoną branżą. UODO wymaga nie tylko wyjaśnienia określonych kwestii, ale także pyta o wykazanie dokumentacją stosowania przepisów o IOD. Chce m.in. wiedzieć, jakie niezbędne zasoby administrator zapewnia IOD, w jaki sposób zagwarantowana jest niezależność wykonywania zadań przez IOD i jakie są przyjęte wewnętrzne regulacje w zakresie np. potencjalnego konfliktu interesu w związku z wykonywanie innych zadań niż IOD (wymiar czasu oraz podległość służbowa w zakresie tych innych zadań oraz wdrożenie polityki zarządzania konfliktem interesów).

Regulamin funkcjonowania Inspektora ochrony danych - WZÓR DOKUMENTU >

Upoważnienie do przetwarzania danych dla inspektora ochrony danych - WZÓR DOKUMENTU >

Nasze informacje potwierdził Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych. Jak poinformował Prawo.pl, urząd wielokrotnie zwracał uwagę, że wykonywanie obowiązków przez Inspektora Ochrony Danych (IOD) jest bardzo istotne z punktu widzenia zapewnienia prawidłowego poziomu ochrony danych. - UODO nie prowadzi kontroli inspektorów ochrony danych w rozumieniu przepisów prawa administracyjnego, ale zwrócił się z urzędu do 20 wybranych administratorów zarówno z sektora publicznego, jak i prywatnego, z pytaniami dotyczącymi inspektorów ochrony danych (IOD) w tych podmiotach. Pytania dotyczą podstawowych kwestii m.in. tego, czy administrator wyznaczył IOD, czy dokonał tego pomimo braku obowiązku wyznaczenia IOD – podkreśla Adam Sanocki. I przypomina, że rolą IOD jest z jednej strony ułatwienie osobom, których dane dotyczą, kontaktów z administratorem, z drugiej zaś budowanie świadomości administratora i podmiotu przetwarzającego w zakresie praw tych osób, a następnie monitorowanie skuteczności przyjętych w tym zakresie procedur i rozwiązań. - Dlatego UODO interesuje również to, jak administratorzy realizują obowiązek publikowania informacji o wyznaczonym IOD, jak jest zapewniony kontakt z taką osobą, komu podlega w strukturze administracyjnej, ale też jakie kompetencje ma wyznaczony IOD i czy ma on zapewnione zasoby do utrzymania fachowej wiedzy – wyjaśnia.

Powierzenie Inspektorowi Ochrony Danych wykonywania innych obowiązków - WZÓR >

Według Adama Sanockiego, równie ważne jest, czy administratorzy włączają IOD we wszystkie sprawy dotyczące ochrony danych osobowych, jak zapewnione są gwarancje niezależności i możliwość prawidłowego realizowania obowiązków IOD-a, jak wygląda w danej organizacji współpraca administratora z IOD-em i czy ich praca jest w jakiś sposób kontrolowana. UODO zapytał również o to czy IOD samodzielnie realizuje swoje obowiązki czy może jest wyznaczony także jego zastępca. Administratorzy zostali też zapytani czy funkcjonuje u nich zespół IOD lub inna forma stałego wsparcia IOD w zakresie wykonywania jego zadań.

Czytaj też: Udział i rola IOD-a w szacowaniu ryzyka oraz ocenie skutków dla ochrony danych osobowych >

- Pytania UODO zawarte w wezwaniach kontrolnych nakierunkowane są na dwa obszary, które dotyczą prawie wszystkich aspektów funkcjonowania inspektorów. Pierwszy obszar to obowiązki samego administratora wyznaczającego inspektora. Pytania obejmują zagadnienia od samego wyznaczenia inspektora i opublikowania informacji na jego temat aż pod szczegółowe kwestie zachowania niezależności w działalności inspektora, czy unikania konfliktu interesów, jeżeli inspektor realizuje również inne obowiązki w jednostce organizacyjnej. Odrębne pytanie dotyczy tego, czy administrator kontroluje działalność swojego inspektora. Drugi obszar odnosi się do wykonywania swoich zadań przez samego inspektora, np. czy działa on według z góry ustalonego planu oraz czy przekazuje administratorowi wyniki przeprowadzonych audytów – mówi prof. Grzegorz Sibiga.

Kontrola UODO pozwoli ocenić, jak IOD funkcjonują w Polsce?

Prof. Sibiga jest zdania, że działania kontrolne UODO mają istotne znaczenie dla dalszego funkcjonowania inspektorów w naszym kraju i pozwolą ocenić stan wykonywania obowiązków w obszarze ich działalności. - Dotychczas polski organ nadzorczy skupiał się na działalności informacyjnej wobec inspektorów i głównie wyjaśniał prawne wymagania ich dotyczące, podczas gdy w innych państwach unijnych tamtejsze organy dodatkowo weryfikowały spełnianie wymogów odnoszących się do inspektorów, a nawet nakładały i to nie pojedyncze, kary pieniężne na administratorów za naruszanie przepisów o inspektorach (np. w Luksemburgu czy Belgii). Teraz również w Polsce przechodzimy od etapu informowania do etapu urzędowego weryfikowania spełnienia warunków wykonywania funkcji inspektora, chociaż oczywiście jeszcze nie wiemy jaki będzie ciąg dalszy działań organu – podkreśla prof. Sibiga. I dodaje: - Wiele zależy od tego, jakie UODO otrzyma wyjaśnienia od podmiotów kontrolowanych.