22 Lip Inspektor Ochrony Danych – czy muszę go zatrudnić?

Nie odpowiem na to pytanie bez wiedzy, jaki jest profil Twojej działalności.  Zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r., czyli RODO, Inspektor Ochrony danych (IOD) ma być podmiotem, który ułatwi administratorowi danych osobowych przestrzeganie przepisów. Inspektor ma czuwać nad zaprojektowaną polityką ochrony danych osobowych i sprawić, że będzie ona przebiegać zgodnie z wprowadzoną przez RODO zasadą rozliczalności.

Oznacza to, że IOD będzie na bieżąco monitorował zgodność z prawem, rzetelność i przejrzystość przetwarzanych przez administratora danych – to administrator w myśl art. 24 rozporządzenia wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem. IOD odpowiada za

• kontrolę prawidłowości przetwarzania danych,
• realizacje zasady minimalizacji danych,
• zapewnienie integralności i poufności.

Innymi słowy – Inspektor pełni funkcję doradczą, informuje i rekomenduje administratorowi określone działania. Dodatkowo, pełni rolę pośrednika pomiędzy zainteresowanymi stronami – np. pomiędzy Prezesem Urzędu Ochrony Danych a administratorem. Grupa robocza art. 29 (doradczy podmiot unijny) w swoich wytycznych określiła, że IOD spełnia kluczową rolę w zakresie wprowadzenia wymaganej „kultury ochrony danych osobowych” w organizacji. Dlaczego?

Używając nieprawniczego języka – administrator odpowiada za dane, które posiada, IOD jest podmiotem, który doradza administratorowi, jak ewentualnej odpowiedzialności nie ponieść, tj. jak działać w zgodzie z przepisami RODO. Innymi słowy, gdy przedsiębiorca nie ma wiedzy z zakresu BHP – korzysta z wiedzy inspektora BHP. Gdy nie ma wiedzy z zakresu ochrony danych osobowych – korzysta z wiedzy IOD.  Czasami administrator jest zobowiązany do zatrudnienia IOD a czasami może go powołać dobrowolnie. Obowiązek powstaje wtedy, gdy:

• przetwarzania danych dokonuje organ lub podmiot publiczny – organem lub podmiotem publicznym są organy władzy krajowej, organy regionalne oraz lokalne, ale również szereg podmiotów prawa publicznego np. spółki skarbu państwa, jednostki samorządu terytorialnego (szkoły), podmioty zapewniające transport publiczny, dostarczające wodę, energię, lub
• główna działalność administratora lub podmiotu przetwarzającego dane polega na operacjach przetwarzania, które ze względu na swój charakter, zakres i cele wymagają systematycznego monitorowania na dużą skalę osób, których dane dotyczą, lub
• głowna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnej kategorii danych osobowych, albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Zgodnie z wytycznymi Grupy Roboczej (art. 29) czynniki, które mogą świadczyć o przetwarzaniu na dużą skalę danych osobowych, to:

• liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa w odniesieniu do innych podmiotów działających na rynku w danej lokalizacji;
• zakres przetwarzanych danych osobowych – czyli przetwarzanie dużej ilości danych osobowych dotyczących poszczególnych osób;
• okres, przez jaki dane są przetwarzane – im dłuższy, tym lepiej powinny być chronione;
• zakres geograficzny przetwarzania danych osobowych – czy przetwarzane dane osobowe dotyczą osób z wyłącznie z np. jednej gminy czy z wielu miejsc w Polsce/Europie/Świecie.

Funkcja IOD może być pełniona na podstawie umowy zawartej z pracownikiem lub na podstawie umowy z podmiotem spoza organizacji administratora/podmiotu przetwarzającego. W tym pierwszym przypadku konieczne jest, aby pracownik sprawujący funkcję IOD spełniał odpowiednie wymogi w zakresie kompetencji (fachowa wiedza, doświadczenie, kwalifikacje zawodowe) oraz aby nie dochodziło do konfliktu interesów IOD i pracodawcy. IOD wyznaczony z grona pracowników Administratora Danych uzyskuje szczególny status – przysługuje mu ochrona przewidziana w przepisach RODO. Tak długo, jak pełni on swoją funkcję w sposób prawidłowy z punktu widzenia rozporządzenia, nie można go zwolnić lub ukarać ani odwołać za np. udzielenie zalecenia, które jest sprzeczne ze stanowiskiem administratora lub podmiotu przetwarzającego. Innymi słowy, warto zadać sobie pytanie, przed mianowaniem pracownika na IOD, czy chce się mieć w swojej organizacji osobę, którą trudniej zwolnić niż członka zakładowej organizacji związkowej?

Inspektor ochrony danych w strukturze organizacyjnej jest osobą będącą w ścisłym kontakcie z kierownictwem danej organizacji – powinien być włączany we wszystkie sprawy dotyczące ochrony danych administratora/procesora. Zatem odpowiadając na pytanie, czy musisz mieć inspektora ochrony danych w swojej organizacji, odwróć pytanie i zastanów się, czy jesteś w stanie pełnić jego obowiązki samodzielnie, lub czy masz do tego kompetentną osobę w swoim personelu?