Podstawy prawne
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej RODO) w rozdziale IV, sekcji IV poświęca trzy artykuły inspektorowi ochrony danych. W związku z pojawieniem się wraz z RODO szeregu obowiązków związanych z ochroną danych, które zostały nałożone na administratorów i podmioty przetwarzające, ustawodawca unijny nie zapomniał o ich praktycznym ale i zarazem faktycznym wsparciu poprzez powołanie do życia instytucji inspektora ochrony danych (IOD). Warto przy okazji wspomnieć, że wywodzi się ona z ustawodawstwa niemieckiego i została uwzględniona, choć w szczątkowej formie, przez prawodawcę europejskiego już w dyrektywie 95/46/WE.
Zgodnie z art. 37 RODO niektórzy administratorzy i podmioty przetwarzające muszą wyznaczyć inspektora ochrony danych. Czynią to wszystkie organy publiczne, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości, podmioty, których główna działalność polega na monitorowaniu danych osobowych na dużą skalę, oraz podmioty, które przetwarzają na dużą skalę szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO. Grupa Robocza art. 29, czyli poprzedniczka Europejskiej Rady Ochrony Danych, zaleca w Wytycznych dotyczących inspektora ochrony danych, jeśli dany podmiot nie ma obowiązku wyznaczania IOD, aby sporządził on uzasadniającą to dokumentację [„(…) udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia IOD, celem wykazania, iż stosowne czynniki zostały uwzględnione”. Por. https://uodo.gov.pl/data/filemanager_pl/15.pdf ].
Praktyka IOD
Inspektor ochrony danych jest kluczowym ogniwem w każdej organizacji, w której został wyznaczony, w zakresie koordynowania szeroko rozumianych kwestii związanych z przetwarzaniem przez tę organizację danych osobowych. Od poziomu jego wiedzy w zakresie ochrony danych osobowych, w dużym stopniu zależy czy dana organizacja spełnia wszystkie wymagania, o których mowa w RODO i przepisach związanych. Stąd warto zwrócić szczególną uwagę na kwestię kwalifikacji zawodowych przyszłego IOD, o których wspomina art. 37 ust. 5 RODO: Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39. Równocześnie administrator bądź podmiot przetwarzający muszą dbać o utrzymanie jego wiedzy fachowej na odpowiednim poziomie poprzez zapewnienie na ten cel odpowiednich zasobów (Por. art. 38 ust. 2 RODO). Zatem raz wyznaczony IOD nie może spocząć na przysłowiowych laurach, lecz musi cały czas poszerzać swoją wiedzę w zakresie ochrony danych osobowych, a że dziedzina ta jest z natury dynamiczna, z pewnością nie zabraknie materiału dydaktycznego do poszerzania horyzontu poznawczego. Z drugiej strony administrator lub podmiot przetwarzający muszą zapewnić swojemu IOD możliwość dostępu do aktualnej wiedzy w dziedzinie ochrony danych osobowych, czy to w formie szkoleń, czy też periodyków i książek tematycznych, czy może skierowania na studia podyplomowe w tym obszarze. Grupa Robocza art. 29 w Wytycznych dotyczących inspektora ochrony danych wskazuje, że wymagany poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. IOD dysponujący odpowiednią wiedzą, jest w stanie pomóc administratorowi w spełnieniu kluczowej definicji wynikającej z RODO, a mianowicie tak zwanej rozliczalności, czyli wykazania spełnienia zasad dotyczących przetwarzania danych osobowych (Por. art. 5 ust. 2 RODO). Używając języka ekonomii, inwestycja w rozwój zawodowy IOD powinna się zwrócić administratorowi z nawiązką. Zwłaszcza, że do zadań IOD należy szereg istotnych dla funkcjonowania jego organizacji czynności, takich jak choćby:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
- monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
- współpraca z organem nadzorczym;
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
Funkcję IOD może pełnić pracownik administratora, podmiotu przetwarzającego bądź świadczyć podmiot zewnętrzny na podstawie umowy o świadczenie usług. Przy czym należy pamiętać, że do pełnienia funkcji IOD musi być zawsze wyznaczona konkretna osoba fizyczna. Nie ma możliwości wyznaczenia osoby prawnej do sprawowania funkcji IOD. Grupa przedsiębiorstw może wyznaczyć jednego IOD, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Przepisy ustawy z 10 maja 2018 r. o ochronie danych osobowych (u.o.d.o.) wymagają, aby administrator i podmiot przetwarzający, którzy wyznaczyli IOD, udostępnili imię i nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora na swojej stronie internetowej, lub gdy administrator nie posiada własnej strony, w sposób ogólnie dostępny w miejscu prowadzenia działalności (art. 11 u.o.d.o.). Istotne jest spełnienie przez podmiot zgłaszający zapisów art. 10 ust 1 u.o.d.o., który mówi, że w ciągu 14 dni należy powiadomić Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu konkretnej osoby na funkcję IOD poprzez podanie jej imienia i nazwisko oraz wskazanie adresu poczty elektronicznej lub numeru telefonu inspektora. Zawiadomienie o wyznaczeniu IOD dokonuje się w postaci elektronicznej przy wykorzystaniu kwalifikowanego podpisu elektronicznego bądź przy wykorzystaniu profilu zaufanego e-PUAP. Zgłoszenia może dokonać wyznaczony przez podmiot zgłaszający pełnomocnik. Zgodnie z art. 11a u.o.d.o. podmiot, który wyznaczył inspektora może również wyznaczyć jego zastępcę, co wydaje się rozwiązaniem wysoce sensownym, zabezpieczającym w pewnym aspekcie ciągłość działania podmiotu w obszarze związanym z ochroną danych osobowych.
Kluczowym elementem dla funkcjonowania IOD w danym podmiocie jest jego status, o którym wyraźnie mówi art. 38 RODO. Niezależność, o której wspomina motyw 97 RODO to bezsprzeczny atrybut IOD. Nie należy jednak niezależności IOD definiować par excellence, w kontekście potocznego rozumienia tego słowa, jednakże co do istoty oddaje ono status IOD, zwłaszcza w odniesieniu do zadań wyznaczonych mu w art. 39 RODO, czyli nieulegania wpływom z zewnątrz jak i wewnątrz organizacji co do działań odnoszących się do ochrony danych osobowych. Tym samym administrator oraz podmiot przetwarzający zapewniają, by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Jednocześnie zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej. Ponadto zapewniają, by IOD nie otrzymywał instrukcji dotyczących wykonywania tych zadań. IOD nie jest odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.
Wykonując swoje czynności oraz mając w związku z tym dostęp do dokumentacji o charakterze poufnym, stanowiącym często tajemnicę przedsiębiorstwa IOD jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań.
Jednocześnie ustawodawca europejski dał administratorowi i podmiotowi przetwarzającemu możliwość powierzenia IOD innych zadań i obowiązków, jednak zaznaczył wyraźnie, że zadania te i obowiązki nie mogą powodować konfliktu interesów.
Autor: Radosław Aniszczyk