Inspektor Ochrony Danych (IOD) to osoba, która jest gwarantem rozliczalności kwestii ochrony danych osobowych w organizacji. Z wykonywaniem tej funkcji wiąże się szereg obowiązków, w tym wykonywanie ściśle określonych w przepisach RODO zadań. RODO nie wskazuje jednak w jaki sposób IOD powinien wywiązywać się z obowiązków, które zostały na niego nałożone przez unijnego prawodawcę. Na to pytanie spróbujemy odpowiedzieć w niniejszym opracowaniu.
Informowanie o obowiązkach spoczywających IOD na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie w tej sprawie
W myśl art. 39 ust. 1 lit. a, na IOD spoczywa obowiązek informowania administratora, podmiotów przetwarzających oraz pracowników o ich obowiązkach w związku z przetwarzaniem danych osobowych, które wynikają z RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie. Pojęcie pracowników należy rozumieć szeroko. W myśl ww. przepisu pracownikami nie będą tylko osoby zatrudnione na podstawie umowy o pracę, ale również inne, które nie są pracownikami w myśl Kodeksu pracy, ale przetwarzają dane na polecenie administratora lub podmiotu przetwarzającego np. na podstawie umowy cywilnoprawnej.
Zadanie, to nie może być realizowane przez IOD łącznie wobec wszystkich podmiotów wskazanych w ww. artykule, ponieważ na każdym z nich spoczywają inne obowiązki w związku z przetwarzaniem danych osobowych. Dlatego też IOD powinien wystosować odrębne informacje dla każdej z grup podmiotów.
RODO nie precyzuje również formy, w jakiej Inspektor Ochrony Danych powinien przekazać informacje, pozostawia to do jego decyzji. Można zatem przyjąć, że IOD może realizować ten obowiązek m. in. poprzez prowadzenie szkoleń i warsztatów, przesyłanie wiadomości drogą mailową, czy też dostarczanie materiałów papierowych.
Monitorowanie przestrzegania RODO
Artykuł 39 ust. 1 lit. b nakłada na IOD obowiązek monitorowania przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty.
W myśl ww. przepisu na monitorowanie składa się nie tylko kontrola przestrzegania RODO, ale także podział obowiązków w tym zakresie, działania zwiększające świadomość i szkolenia personelu (np. poprzez systematyczną wysyłkę do pracowników materiałów edukacyjnych) oraz przeprowadzanie audytów z tym związanych. Zgodnie z powyższym przeprowadzane przez IOD audyty mogą dotyczyć nie tylko zgodności przetwarzania danych osobowych z prawem, ale również weryfikacji wiedzy pracowników.
Ponadto warto w tym miejscu wskazać, że zgodnie z wytycznymi grupy roboczej art. 29 (WP 243) w ramach monitorowania przestrzegania przepisów IOD mogą m. in.:
a) zbierać informacje w celu identyfikacji procesów przetwarzania;
b) analizować i sprawdzać zgodność tego przetwarzania;
c) informować, doradzać i rekomendować określone działania administratorowi albo podmiotowi przetwarzającemu.
Obowiązek, o którym mowa w niniejszym punkcie nie oznacza, że w przypadku naruszenia przepisów o ochronie danych osobowych odpowiedzialność ponosi IOD. Odpowiedzialność ta zawsze spoczywa na administratorze danych osobowych lub podmiocie przetwarzającym.
Pomoc przy ocenie skutków dla ochrony danych osobowych
Przeprowadzanie oceny skutków dla ochrony danych nie należy do obowiązków IOD, a do administratora danych osobowych. RODO wskazuje natomiast, że do zadań IOD należy udzielanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO. Grupa robocza art. 29 w swoich wytycznych (WP 243) wskazuje, że na obowiązki IOD w tym zakresie składa się m. in. konsultowanie:
a) czy należy przeprowadzać ocenę skutków dla ochrony danych osobowych, czy należy zalecić przeprowadzenie takiej oceny podmiotowi zewnętrznemu, a także, które obszary powinny zostać poddane audytowi;
b) w sprawie metodologii przeprowadzania oceny;
c) prawidłowości przeprowadzonej już oceny skutków i zgodności jej wyników z wymogami RODO (czy należy kontynuować przetwarzanie, czy nie oraz jakie zabezpieczenia należy zastosować);
d) zabezpieczeń (w tym środków technicznych i organizacyjnych) stosowanych do łagodzenia wszelkich zagrożeń praw i interesów osób.
Współpraca z organem nadzorczym i pełnienie funkcji punktu kontaktowego
W myśl art. 39 ust. 1 lit. d i e IOD jest odpowiedzialny za współpracę z organem nadzorczym oraz pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach. Zadania te wskazują na pomocniczą rolę IOD w organizacji. Dzięki tym obowiązkom IOD, organ nadzorczy powinien bez problemu otrzymać dostęp do dokumentów i informacji w celu realizacji zadań, o których mowa w art. 57 RODO, jak również mieć możliwość wykonania uprawnień w zakresie prowadzonych postępowań, uprawnień naprawczych, uprawnień w zakresie wydawania zezwoleń oraz uprawnień doradczych, zgodnie z art. 58 RODO.
IOD pełni funkcję punktu kontaktowego nie tylko dla organu nadzorczego, ale także wobec osób, których dane dotyczą. Nie jest to wprost wskazane w ww. przepisie, jednakże w myśl art. 38 ust. 4 osoby, których dane dotyczą, mają prawo kontaktować się z IOD we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO. Ponadto zgodnie z art. 13 ust. 1 lit. b i 14 ust. 1 lit. b RODO osobie, której dane dotyczą administrator przedstawia w klauzuli informacyjnej dane kontaktowe IOD.
Podsumowanie
Artykuł 39 RODO określa minimalny zakres zadań, do których wykonywania zobowiązany jest IOD. Oznacza to, że katalog przedstawionych w nim zadań nie ma charakteru zamkniętego, a otwarty. Dlatego też, w zależności od decyzji administratora danych, IOD może również odpowiadać za m. in. prowadzenie rejestru czynności przetwarzania oraz rejestru naruszeń ochrony danych osobowych, a także innych dokumentów związanych z przetwarzaniem danych osobowych w organizacji, w szczególności polityk ochrony danych osobowych i procedur z tym związanych. Ponadto IOD może być odpowiedzialny za nadzór nad wdrożoną dokumentacją, jej przestrzegania, a także aktualizację. Administrator może również zobowiązać IOD do analizy oraz zgłaszania naruszeń do organu nadzorczego, realizację praw osób, których dane dotyczą, a także nadawania upoważnień do przetwarzania danych osobowych w organizacji oraz prowadzenia ich rejestru.
ZAPRASZAMY NA SZKOLENIE: 5-dniowe Kompleksowe szkolenie dla Inspektorów Ochrony Danych