Komentarz do art. 38 | RODO komentarz

Przejdź do treści

RODO – komentarz

Na bieżąco aktualizowany komentarz do ogólnego rozporządzenia o ochronie danych. 
Piszemy tylko o tym, co ważne w praktyce.

Status inspektora ochrony danych

Inspektor ochrony danych („IOD”) często wyznaczany jest spośród dotychczasowych pracowników. IOD może wykonywać inne zadania i obowiązki, jednak podmiot, który go wyznaczył, musi zapewnić, aby nie powodowało to konfliktu interesów.

Co musi zapewnić IOD podmiot, który go wyznaczył?

Podmiot, który wyznaczył IOD:

  1. zapewnia, aby IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące danych osobowych,

    Wytyczne dotyczące inspektorów ochrony danych Grupy Roboczej Art. 29 ds. Ochrony Danych podkreślają, że IOD powinien być angażowany w sprawy dotyczące danych osobowych już od najwcześniejszego etapu. Pomoże to zapewnić między innymi zgodność z wynikającą z RODO zasadą uwzględniania ochrony danych w fazie projektowania.

    Wytyczne wskazują przy tej okazji, że stanowisko IOD powinno być zawsze brane pod uwagę. Dobrą praktyką jest też dokumentowanie przypadków i powodów postępowania niezgodnego z zaleceniem IOD.
     
  2. wspiera IOD w wypełnianiu zadań z art. 39 RODO, zapewniając IOD zasoby niezbędne do wykonania zadań, dostęp do danych osobowych i operacji przetwarzania oraz zasoby niezbędne do utrzymania wiedzy fachowej; 

    Wytyczne wskazują, że zasoby to m.in. wsparcie kadrowe, ciągłe szkolenie, wsparcie ze strony kadry kierowniczej, wymiar czasu, który umożliwia IOD wykonywanie jego zadań. Decyzja o wdrożeniu zasobów powinna zależeć od indywidualnych okoliczności związanych z funkcjonowaniem danej organizacji, np. od jej wielkości i charakteru przetwarzanych danych.
     
  3. zapewnia, aby IOD nie otrzymywał instrukcji dotyczących wykonywania zadań.

    W praktyce oznacza to m.in., że IOD nie powinien otrzymywać instrukcji/poleceń dotyczących tego, w jaki sposób załatwić daną sprawę, środków, które mają zostać podjęte, ani stanowiska, które ma zająć w danej sprawie.

 

Pozornie może się wydawać, że przepisy te nie rodzą większych problemów i są dość łatwe do wdrożenia. Podmiot, który wyznaczył IOD, powinien jednak pamiętać o tym, że w praktyce organ może zażądać udokumentowania powyższych działań. PUODO w katalogu przykładowych pytań związanych z IOD wskazał m.in. pytania:

  • jakie konkretnie zasoby zapewnione są IOD,
  • w jaki sposób podmiot zapewnia, aby IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące danych,
  • w jaki sposób podmiot zapewnia, aby IOD nie były wydawane instrukcje co do jego zadań.

Oznacza to, że nie wystarczy wyznaczyć IOD i nie wchodzić mu w drogę. Podmiot, który wyznaczył IOD, powinien wdrożyć odpowiednie procedury, które pozwolą IOD wykonywać obowiązki zgodnie z RODO. Inaczej podmiot ten naraża się na odpowiedzialność z RODO.

Komu podlega IOD?

IOD bezpośrednio podlega najwyższemu kierownictwu podmiotu, który go wyznaczył, nie może podlegać innym osobom. IOD nie może być odwoływany ani karany (bezpośrednio lub pośrednio) przez podmiot, który go wyznaczył, za wypełnianie swoich zadań. Przepis ten wzmacnia niezależną pozycję IOD. IOD może być jednak oczywiście odwołany z przyczyn innych niż wykonywanie obowiązków IOD (np. molestowanie seksualne). Przepis ten nie chroni także IOD, który nie wykonuje swoich obowiązków w sposób prawidłowy.

Również w tym przypadku należy pamiętać, że organ nadzoru może zapytać, w jaki konkretnie sposób podmiot zapewnia, aby IOD nie był karany i odwoływany za wykonywanie swoich zadań.

Konflikt interesów

IOD może wykonywać inne zadania i obowiązki, jednak podmiot, który go wyznaczył, musi zapewnić, aby nie powodowało to konfliktu interesów. W praktyce podmioty wyznaczające IOD często o tym zapominają i wyznaczają IOD spośród dotychczasowych pracowników, nie zastanawiając się nad tym, czy nie powoduje to konfliktu interesów. Narażają się w ten sposób na potencjalną odpowiedzialność na gruncie RODO.

Kiedy może wystąpić konflikt interesów? Zgodnie z Wytycznymi IOD nie może zajmować w organizacji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. Jak słusznie wskazano, kwestia ta powinna być analizowana indywidualnie dla każdej organizacji, jednak Wytyczne przychodzą z pomocą, wskazując przykłady stanowisk, w przypadku których może co do zasady wystąpić konflikt interesów.

Zgodnie z Wytycznymi do konfliktu interesów dochodzi m.in., gdy:

  • IOD jest osobą na stanowisku kierowniczym (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT),
  • IOD jest osobą na niższym stanowisku, ale bierze udział w określaniu celów i sposobów przetwarzania danych,
  • zewnętrzny IOD został poproszony o reprezentowanie podmiotu, który go wyznaczył, przed sądem w sprawie z zakresu danych osobowych.

W jednym z przykładów na swojej stronie internetowej PUODO wskazuje, że nawet jeśli kierownik danej komórki organizacyjnej (np. kierownik działu HR) nie jest osobiście zaangażowany w projektowanie tego, jakie dane są zbierane od kandydatów do pracy, tylko projektuje to inny pracownik komórki, to pozostaje to bez znaczenia dla konfliktu interesów – kierownik odpowiada bowiem za całość działań komórki.

Sam brak konfliktu interesów nie wystarczy, aby podmiot, który wyznaczył IOD, nie narażał się na sankcje z RODO. Aby móc wykazać zgodność z art. 38 ust. 6 RODO przed organem, podmiot ten powinien wdrożyć politykę zarządzania konfliktem interesów lub wprowadzić inny mechanizm zapewniający jego niewystępowanie. Możliwość wystąpienia konfliktu interesów powinna być stale monitorowana.

W opublikowanym na stronie PUODO Sprawozdaniu krajowym polskiego organu nadzorczego z badania dotyczącego wyznaczania i pozycji IOD PUODO wskazał przykład sytuacji konfliktu interesów z udziałem podmiotu świadczącego usługi outsourcingu funkcji IOD:

W kilku podmiotach UODO zidentyfikował problem świadczenia przez firmy zatrudniające inspektorów ochrony danych usług outsourcingu funkcji IOD i jednocześnie usług polegających na wykonywaniu za administratora tzw. wdrożenia RODO oraz innych usług związanych z analizą i oceną ryzyka, obsługą żądań i roszczeń podmiotów danych, szeroko rozumianym bezpieczeństwem informacji. Tym samym ta sama osoba decydowała o zasadach przetwarzania danych osobowych, sposobie wykonywania obowiązków administratora, identyfikowaniu i ocenie ryzyka związanego z przetwarzaniem oraz zabezpieczaniem danych osobowych, a następie – w ramach pełnienia funkcji IOD – dokonywała oceny prawidłowości podjętych przez siebie decyzji i rozwiązań. Prowadziło to do sytuacji, w której IOD monitorował własną działalność, a więc do konfliktu interesów, czego wprost zakazuje art. 38 ust. 6 RODO.

Dla zapewnienia zgodności z art. 38 RODO kluczowe są więc odpowiednie procedury wdrożone i udokumentowane przez podmiot wyznaczający IOD.

Wybrane decyzje europejskich organów nadzoru:

Kara niemieckiego organu nadzoru (525 000 euro) – IOD miał niezależnie monitorować decyzje, które sam podjął w ramach innej funkcji.