RODO określa zadania IOD, ale katalog ten nie jest zamknięty,
IOD ma rolę jedynie doradczą i monitorującą zgodność z przepisami, to nie IOD podejmuje decyzje co do wdrożenia środków technicznych i organizacyjnych,
ustalając zakres zadań IOD, należy być ostrożnym, aby nie doprowadzić do konfliktu interesów (który wystąpiłby, gdyby IOD decydował o kwestiach, które jednocześnie kontroluje).
Jakie zadania ma IOD?
Art. 39 określa zadania IOD, którymi są przede wszystkim:
informowanie podmiotu, który go wyznaczył, o obowiązkach spoczywających na tym podmiocie na mocy przepisów o ochronie danych osobowych oraz doradzanie mu w tej sprawie,
monitorowanie przestrzegania przepisów z zakresu ochrony danych oraz polityk podmiotu, który go wyznaczył,
działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty.
Rolą IOD jest doradzanie podmiotowi, który go wyznaczył i monitorowanie przestrzegania przepisów. Jednak nie jest rolą IOD faktyczne podejmowanie decyzji i wdrażanie w organizacji odpowiednich środków techniczno-organizacyjnych (np. opracowywanie procedur ochrony danych osobowych).
Takie zadania zgodnie z RODO leżą w zakresie odpowiedzialności administratora lub podmiotu przetwarzającego. Odmienne podejście mogłoby prowadzić do konfliktu interesów opisanego w komentarzu do art. 38, jako że IOD dokonywałby de facto kontroli działań i decyzji, które sam podjął. Dlatego chociaż katalog z art. 39 nie ma charakteru zamkniętego, to – jak wskazuje PUODO w Sprawozdaniu krajowym polskiego organu nadzorczego –
w przypadku nakładania na IOD innych zadań należy zawsze uwzględnić art. 38 ust. 6 RODO, tj., że zadania nakładane przez administratora na IOD nie mogą powodować konfliktu interesów.
Czego nie robi IOD?
PUODO wskazał wprost, że:
administrator nie powinien upoważniać IOD do nadawania upoważnień do przetwarzania danych osobowych w imieniu administratora
Przede wszystkim obowiązki określone w art. 29 i art. 32 ust. 1 i 4 RODO są obowiązkami administratora. (…) Takie osoby powinny bowiem najlepiej znać organizację pracy w swojej jednostce i dzięki temu w sposób najwłaściwszy określić, komu oraz w jakim zakresie powinno być nadane stosowne upoważnienie do przetwarzania danych. Zatem dla zapewnienia właściwego systemu ochrony danych w jednostce najkorzystniejszym rozwiązaniem byłoby nadawanie upoważnienia do przetwarzania danych przez samego administratora (podmiot przetwarzający) lub - w zależności od wielkości podmiotu i jego struktury - przez np. kierownika działu kadr lub kierowników innych komórek organizacyjnych. Osoby te bowiem mogą najbardziej precyzyjnie określać, komu oraz w jakim zakresie upoważnienie powinno zostać nadane, i na bieżąco je aktualizować. Natomiast rola inspektora ochrony danych koncentruje się na monitorowaniu przestrzegania przepisów o ochronie danych osobowych i wewnętrznych polityk oraz prawidłowego wykonywania wynikających z nich obowiązków, a także doradzaniu i podnoszeniu świadomości w zakresie tych obowiązków. Dlatego IOD nie powinien być osobą, która sama realizuje obowiązki określone w art. 29 i art. 32 ust. 1 i 4 RODO. Powodowałoby to konflikt interesów, którego występowania zakazuje w odniesieniu do inspektorów art. 38 ust. 6. RODO. Rola IOD może natomiast polegać na doradzaniu czy konsultowaniu rozwiązań, jakie administrator (lub podmiot przetwarzający) zamierza przyjąć w zakresie realizacji obowiązków z art. 29 i 32 ust. 1 i 4 RODO, w tym np. procedur nadawania upoważnień czy treści upoważnień. Rolą IOD jest zatem wspieranie administratora w przestrzeganiu i właściwym stosowaniu przepisów o ochronie danych osobowych, a nie wyręczanie go w realizacji jego zadań (źródło: strona PUODO).
IOD nie powinien sporządzać projektu umowy powierzenia danych
Gdyby IOD przygotowywał projekt umowy powierzenia danych, której stroną jest podmiot, który go wyznaczył, oznaczałoby to, że IOD bierze udział w procesie decyzyjnym dotyczącym ukształtowania tej relacji umownej. Zdaniem PUODO również ta sytuacja prowadziłaby do konfliktu interesów, ponieważ:
Najpierw [IOD] (...) określałby, w jaki sposób ukształtowane będą relacje między administratorem i podmiotem przetwarzającym oraz prawa i zobowiązania stron umowy, a następnie, realizując swoje obowiązki, zobowiązany byłby jednocześnie ocenić prawidłowość i zgodność z przepisami podjętych w tym zakresie decyzji.
IOD nie powinien prowadzić rejestru czynności przetwarzania danych osobowych
Zgodnie z art. 30 ust. 1 RODO administrator prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiada. Co ciekawe, w Wytycznych dotyczących inspektorów ochrony danych Grupa Robocza Art. 29 uznała, że:
nic nie stoi na przeszkodzie, aby administrator lub podmiot przetwarzający powierzył DPO [czyli IOD – przyp. red.] prowadzenie, w imieniu administratora albo podmiotu przetwarzającego, rejestru czynności przetwarzania danych. Taki rejestr powinien być uznany za jedno z narzędzi umożliwiających DPO [czyli IOD – przyp. red.] realizację jego zadań w zakresie monitorowania przestrzegania przepisów, informowania administratora lub podmiotu przetwarzającego i doradzania im.
Tymczasem odmienne zdanie ma w tym zakresie PUODO, który wskazuje, że jego zdaniem IOD może jedynie wspomagać administratora w prowadzeniu rejestru, np. poprzez doradztwo, a nie rejestr ten faktycznie prowadzić.
To rolą administratora, a nie IOD jest opracowanie wewnętrznej polityki ochrony danych osobowych
Rolą IOD jest (…) dokonywanie oceny przyjętych przez administratora środków (w tym wewnętrznych polityk) pod kątem ich zgodności z przepisami prawa i skuteczności. (…) W trakcie tworzenia polityk dotyczących ochrony danych wskazane jest, aby administrator zasięgał opinii i wskazówek u swojego inspektora ochrony danych (IOD), który posiada fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych (…).
Jednak na tym kończy się rola IOD w tym zakresie – to administrator odpowiedzialny jest za wdrożenie środków organizacyjnych, w tym właśnie wewnętrznych polityk.
Co to znaczy, że IOD wypełnia swoje zadania z należytym uwzględnieniem ryzyka?
Zgodnie z komentowanym przepisem IOD wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. Zarówno PUODO, jak i Grupa robocza art. 29 wskazują, że w praktyce oznacza to, że IOD powinien określić priorytety w swojej działalności, które zależeć będą od potrzeb podmiotu, w którym został wyznaczony, i powinien koncentrować się na tych obszarach, z którymi wiąże się najwyższy poziom ryzyka dla organizacji.
Wybrane decyzje organów nadzorczych
Upomnienie PUODO – podmiot zobowiązał IOD do nadawania upoważnień do przetwarzania danych osobowych
Komentarz do art. 39
Zadania inspektora ochrony danych
Jakie zadania ma IOD?
Art. 39 określa zadania IOD, którymi są przede wszystkim:
Rolą IOD jest doradzanie podmiotowi, który go wyznaczył i monitorowanie przestrzegania przepisów. Jednak nie jest rolą IOD faktyczne podejmowanie decyzji i wdrażanie w organizacji odpowiednich środków techniczno-organizacyjnych (np. opracowywanie procedur ochrony danych osobowych).
Takie zadania zgodnie z RODO leżą w zakresie odpowiedzialności administratora lub podmiotu przetwarzającego. Odmienne podejście mogłoby prowadzić do konfliktu interesów opisanego w komentarzu do art. 38, jako że IOD dokonywałby de facto kontroli działań i decyzji, które sam podjął. Dlatego chociaż katalog z art. 39 nie ma charakteru zamkniętego, to – jak wskazuje PUODO w Sprawozdaniu krajowym polskiego organu nadzorczego –
Czego nie robi IOD?
PUODO wskazał wprost, że:
Gdyby IOD przygotowywał projekt umowy powierzenia danych, której stroną jest podmiot, który go wyznaczył, oznaczałoby to, że IOD bierze udział w procesie decyzyjnym dotyczącym ukształtowania tej relacji umownej. Zdaniem PUODO również ta sytuacja prowadziłaby do konfliktu interesów, ponieważ:
Zgodnie z art. 30 ust. 1 RODO administrator prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiada. Co ciekawe, w Wytycznych dotyczących inspektorów ochrony danych Grupa Robocza Art. 29 uznała, że:
Tymczasem odmienne zdanie ma w tym zakresie PUODO, który wskazuje, że jego zdaniem IOD może jedynie wspomagać administratora w prowadzeniu rejestru, np. poprzez doradztwo, a nie rejestr ten faktycznie prowadzić.
Zdaniem PUODO:
Jednak na tym kończy się rola IOD w tym zakresie – to administrator odpowiedzialny jest za wdrożenie środków organizacyjnych, w tym właśnie wewnętrznych polityk.
Co to znaczy, że IOD wypełnia swoje zadania z należytym uwzględnieniem ryzyka?
Zgodnie z komentowanym przepisem IOD wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. Zarówno PUODO, jak i Grupa robocza art. 29 wskazują, że w praktyce oznacza to, że IOD powinien określić priorytety w swojej działalności, które zależeć będą od potrzeb podmiotu, w którym został wyznaczony, i powinien koncentrować się na tych obszarach, z którymi wiąże się najwyższy poziom ryzyka dla organizacji.
Wybrane decyzje organów nadzorczych
Upomnienie PUODO – podmiot zobowiązał IOD do nadawania upoważnień do przetwarzania danych osobowych