Ogólne rozporządzenie (GDPR) przewiduje możliwość powołania osoby, która będzie wspierać organizację w zapewnianiu zgodności działań z przepisami o ochronie danych osobowych – Inspektora Ochrony Danych (Data Protection Officer, DPO). Inspektor może pełnić kluczową rolę w zapewnianiu zgodności działań organizacji z przepisami o ochronie danych. Art. 37 w pewnych przypadkach zobowiązuje, a w innych uprawnia jednostki do powołania DPO (więcej na temat powołania DPO znajdziesz tutaj). Mimo, że powołanie DPO może nie być obowiązkowe, Grupa Robocza art. 29 rekomenduje organizacjom jego powołanie.
W art. 37 ust. 2 i 3 GDPR wprost uregulowano także kwestie powołania DPO dla kilku jednostek organizacyjnych. Jednego DPO mogą powołać grupy przedsiębiorstw oraz organy publiczne. Powołanie DPO w kilku podmiotach może wymagać dodatkowych rozwiązań organizacyjnych, które umożliwią mu należyte wykonywanie jego zadań, w tym ułatwią możliwość nawiązania z nim kontaktu z każdej jednostki organizacyjnej.
Problemy w wykonaniu zadań DPO przy jego powołaniu w kilku podmiotach
Mimo, że przepisy umożliwiają powołanie DPO w kilku jednostkach organizacyjnych, nie zawsze oznaczać to będzie, że będzie to możliwe od strony praktycznej. Powołany DPO powinien posiadać możliwość nieskrępowanego oraz należytego wykonywania swoich zadań. Powołanie w kilku jednostkach może jednak komplikować wykonanie jego zadań określony w art. 39 GDPR.
Na mocy art. 39 ust.1 lit. a GDPR, inspektor jest zobowiązany do informowania podmiotu o wszelkich obowiązkach, które nakładają na niego przepisy rozporządzenia, prawa unijnego i krajowego w zakresie ochrony danych osobowych. DPO powołany w kilku podmiotach może mieć problemy z wybraniem sposobu przekazania tych informacji organizacjom i ich pracownikom. W przypadku powołania DPO w międzynarodowej grupie kapitałowej dodatkowym problemem jest specyfika prawa państw członkowskich (zarówno doprecyzowującego GDPR, jak i lex specialis do GDPR). Problemem mogą być także bariery językowe w przekazaniu informacji.
Monitorowanie przestrzegania przepisów przez organizacje może także stanowić wyzwanie dla DPO. Pojedyncza osoba sprawująca funkcję DPO będzie miała utrudnione zadanie pod względem:
– dotarcia do niezbędnych informacji w kilku lokalizacjach;
– stałego monitorowania działalności podmiotów;
– formułowania zaleceń przy uwzględnieniu prawa krajowego;
– sprawnej koordynacji działań wdrożeniowych.
Problematyczna może być również kwestia pełnienia przez DPO funkcji punktu kontaktowego dla podmiotów danych oraz organu nadzorczego. GDPR nakazuje współpracę z organem nadzorczym w ramach wykonywania przez organ swoich kompetencji. W tym miejscu znów powstaje problem dotarcia przez DPO do niezbędnych informacji, które to będzie musiał przekazać organowi nadzorczemu, czy też bariery językowej w komunikacji z podmiotami danych.
Oprócz powyższego, zgodnie z art. 38 ust.1, GDPR nakazuje by administrator oraz podmiot przetwarzający właściwie i niezwłocznie włączali inspektora we wszystkie sprawy dotyczące ochrony danych osobowych. DPO powinien być wobec tego informowany o wszystkich projektach mających wpływ na ochronę danych osobowych, co w przypadku dużej grupy przedsiębiorstw może być znacznie utrudnione, a niekiedy nawet niemożliwe do wykonania. Niewykonanie tego obowiązku przez organizację może znacznie wpływać na realizację privacy by design.
Zastępca DPO jako środek niezbędny do wykonywania zadań przez DPO
Zgodnie z art. 38 ust 2 ogólnego rozporządzenia, organizacje wspierają Inspektora ochrony danych (DPO) w wypełnianiu przez niego zadań zapewniając mu dostęp m.in. do następujących zasobów:
- niezbędnych do realizacji jego zadań;
- istotnych danych osobowych oraz operacji przetwarzania danych.
Termin „zasoby” należy tutaj interpretować, podobnie jak w przypadku uodo, jako środki finansowe, techniczne i organizacyjne. Należy wskazać, że zakres dostępu do zasobów jaki powinien zostać udostępniony DPO nie zawsze jest jednakowy w stosunku do wszystkich organizacji. Ustalając niezbędne zasoby należy brać pod uwagę rozmiar i transgraniczność działalności, specyfikę działania, kategorie danych, a także charakter przetwarzania danych.
W odniesieniu do powyższego problemu, niezbędnym zasobem może być ustanowienie zespołu ochrony danych (delegatury, przedstawicielstwa) lub zastępcy DPO znajdującego się w każdej z lokalizacji. W składzie takiego zespołu nie muszą być tylko osoby, które będą zajmowały się wyłącznie ochroną danych. Warto jednak, by oprócz osób pełniących funkcję zastępcy DPO znajdowały się w nim osoby odpowiedzialne za IT, HR oraz za działalność biznesową organizacji.
Wprowadzenie w każdej z lokalizacji zastępcy DPO umożliwia wykonywanie następujących obowiązków:
- Regularnego prowadzenia przez zastępcę szkoleń dla pracowników oraz uzupełnianie platform e-learningowych o materiały uwzględniające specyfikę działalności organizacji w danej lokalizacji.
- Zastępca DPO może z powodzeniem prowadzić na miejscu doradztwo dla organizacji i jej pracowników w zakresie przestrzegania przepisów o ochronie danych z uwzględnieniem przepisów krajowych.
- Delegatury DPO przy przedsiębiorstwach mogą na zlecenie DPO dokonywać również w znacznej części monitorowania zgodności działań z przepisami oraz raportować o ich wynikach DPO. Mogą także przedstawiać DPO projekty rekomendacji.
- Przedstawiciel DPO w danym państwie wraz z ekspertami mają stały kontakt z kadrą przedsiębiorstwa. Mogą sprawnie zbierać informacje o stanie faktycznym od pracowników oraz przekazywać je DPO.
- Zastępcy DPO są również pomocni dla wypełniania obowiązków DPO w zakresie pełnienia funkcji punktu kontaktowego dla organu nadzorczego i podmiotu danych. Zastępca DPO jest w stanie zbierać niezbędne informacje dla DPO by mógł on na bieżąco przekazywać je organowi nadzorczemu. Dodatkowo podmioty danych mogą bezpośrednio kontaktować się z zastępcą DPO w jego własnym języku.
Podkreślenia wymaga również fakt, że brak realizacji zapewnienia dostępu do niezbędnych środków przez organizację pociągać może za sobą odpowiedzialność administracyjną określoną w art. 83 ust. 4 ogólnego rozporządzenia, która jest zagrożona sankcją do 10 000 000 EUR lub do 2% rocznego globalnego obrotu.
Podsumowanie
GDPR wprost umożliwia powołanie jednego DPO, zarówno dla grup przedsiębiorców, jak i dla kilku organów państwowych. Powołanie jednego DPO może być zaletą np. w postaci realizacji jednolitej strategii ochrony danych w całej grupie. Organizacje powinny mieć jednak świadomość związanych z tym problemów. DPO w wielu lokalizacjach będzie posiadał utrudniony dostęp do informacji, może także nie być odpowiednio wcześnie informowany o projektach związanych z ochroną danych. W wielu wypadkach nie będzie możliwe wobec tego realizowanie zasady privacy by design. Problematyczne wydaje się także pełnienie roli punktu kontaktowego przez DPO. Problemom tym można zaradzić przez ustanowienie zespołu lub zastępcy DPO w każdej z lokalizacji. Zastępca DPO w tym wypadku, może ale nie musi być pracownikiem organizacji. Istnieje w tym zakresie możliwość wsparcia jednostek organizacyjnych przez firmy konsultingowe w zakresie doradztwa oraz przejęcia funkcji zastępcy DPO w danej lokalizacji.
Artykuł powstał na podstawie materiałów przygotowanych przez Adama Bernarda
Źródła:
Ensuring the Effectiveness and Strategic Role of the Data Protection Officer under the General Data Protection Regulation, <źródło: https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2016/11/final_cipl_gdpr_dpo_paper_17_november_2016.pdf>, [dostęp: 16 stycznia 2017 r.]
Grupa Robocza art. 29, Guidelines on Data Protection Officers (‘DPOs’), 16/EN WP 243, http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf, [dostęp: 16 stycznia 2017 r.]
