GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Idealny inspektor ochrony danych oczami regulatora

Mężczyzna w garniturze w tle 5 gwiazdek

Idealny inspektor ochrony danych oczami regulatora

Luksemburski organ właściwy do spraw ochrony danych osobowych (The National Commission for Data Protection – CNPD) opublikował pod koniec zeszłego roku (2021) kilka decyzji, w których dokonał oceny zgodności funkcjonowania inspektora ochrony danych (IOD) u poszczególnych administratorów, z przepisami o ochronie danych osobowych (RODO). Rozstrzygnięcia te zapadły wskutek przeprowadzenia przez regulatora 25 kontroli (zapowiedzianych jeszcze w 2018 r.). W ramach działań kontrolnych CNPD wziął pod lupę szereg kluczowych kwestii związanych z pełnieniem roli IOD w organizacji, takich jak  zaangażowanie IOD, czas jego pracy czy też doświadczenie konieczne do objęcia tej roli.

Wydaje się, że zalecenia luksemburskiego organu nadzorczego – choć sformułowane zostały w decyzjach w konkretnych sprawach – mogą być pomocne generalnie, dla administratorów w całej Unii Europejskiej, w tym oczywiście także w Polsce.

IOD musi być odpowiednio zaangażowany

Organ nadzorczy podkreślił w jednej z decyzji (decyzja nr 20FR/2021 z 11 czerwca 2021 r.; decyzja zakończona nałożeniem kary na administratora), że niezbędne jest zaangażowanie IOD we wszystkie czynności przetwarzania danych osobowych w organizacji. O takim zaangażowaniu nie można mówić – jak wskazuje CNPD w oparciu o stan faktyczny sprawy – gdy IOD nie ma możliwości brania regularnego udziału w spotkaniach najwyższego kierownictwa administratora, a może się na nich zjawić jedynie na zaproszenie lub wezwanie. Jak słusznie wskazuje regulator, niezbędny dla prawidłowego wykonywania obowiązków wynikających z RODO jest sformalizowany i w pełni usystematyzowany udział IOD w spotkaniach kadry kierowniczej administratora. W tym kontekście warto zauważyć, że podmiot, którego dotyczy ta decyzja, jeszcze na etapie prowadzenia działań kontrolnych uregulował wewnętrznie kwestię comiesięcznych spotkań IOD z dyrektorami poszczególnych komórek organizacyjnych oraz jego spotkań z całą kadrą kierowniczą (te miały odbywać się co dwa lata!). Luksemburski organ nadzorczy przychylnie ocenił propozycję administratora w tym zakresie.

Zmiany w klasyfikacji zawodów – czym się różni Inspektor Ochrony Danych (IOD) o kodzie 242111 od Inspektora Ochrony Danych Osobowych (IODO) o kodzie 242212?

IOD musi mieć swobodę w raportowaniu oraz wyznaczony plan

Z przytoczonej decyzji wynika, że w ocenie CNPD, IOD musi mieć pełną swobodę w zakresie decydowania, które konkretnie sprawy powinny być raportowane bezpośrednio do kierownictwa administratora. Procedury obowiązujące wewnątrz organizacji nie mogą pozostawiać jakichkolwiek wątpliwości interpretacyjnych w tym kontekście, ponieważ – jak wykazało postępowanie kontrolne w tej sprawie – w praktyce takie wątpliwości mogą doprowadzić do sytuacji, w której nie będzie de facto wiadomo, z którymi sprawami IOD może zwrócić się bezpośrednio do kierownictwa. Organ nadzorczy – bazując na ustaleniach poczynionych w toku kontroli – zwrócił również uwagę, że niedopuszczalne jest zobowiązanie IOD do konsultowania dostrzeżonych problemów w pierwszej kolejności z osobami zajmującymi tzw. stanowiska niższego szczebla, zanim będzie on mógł przedstawić je kadrze kierowniczej.

Czy Inspektor Ochrony Danych (IOD) nadający upoważnienia pozostaje w konflikcie interesów?

W ocenie luksemburskiego organu nadzorczego, niezmiernie ważne jest, aby został sporządzony wewnętrzny plan kontroli dla IOD, na podstawie którego będzie on dokonywał kontroli oraz monitoringu wszelkich procesów przetwarzania danych osobowych wewnątrz organizacji. Sporządzenie takiego planu – w ocenie CNPD – jest niezbędne. Nie można go więc zastąpić np. poprzez domyślny udział IOD w poszczególnych projektach realizowanych przez dany podmiot. Taka praktyka została zanegowana wprost przez regulatora z Luksemburga we wspomnianej decyzji.

IOD musi mieć odpowiednie doświadczenie oraz adekwatny czas pracy

Organ nadzorczy wskazał w innej decyzji (decyzja nr 36FR/2021 z 13 października 2021 r.; decyzja zakończona nałożeniem kary na administratora), że w jego ocenie osoba powołana na stanowisko IOD musi mieć co najmniej 3-letnie doświadczenie zawodowe. Odpowiednim kandydatem może być – w ocenie CNPD – np. osoba posiadająca praktyczną wiedzę w konkretnej branży, mająca równocześnie wsparcie eksperta z zakresu ochrony danych osobowych. Kwestie te powinny zostać zweryfikowane przez administratora zanim powoła daną osobę na IOD’a.

Stanowisko to może zostać powierzone zarówno osobie, która już jest zatrudniona w danym podmiocie, jak i – co jest dość częstą i wygodną praktyką – podmiotowi zewnętrznemu. Regulator z Luksemburga wskazał przy tym, że administrator korzystający z usług IOD’a zewnętrznego powinien rozważyć wprowadzenie odpowiednich procedur, które zapobiegną konfliktowi interesów. W szczególności, gdy dany podmiot pełni funkcję IOD’a u kilku administratorów.

Organ nadzorczy zwrócił również uwagę na inny ważny aspekt związany z efektywnym wykonywaniem obowiązków IOD’a. Mianowicie wskazał on, że czas pracy osoby zatrudnionej na stanowisku IOD’a powinien być dostosowany w każdym przypadku indywidualnie, w zależności od kategorii danych osobowych, przetwarzanych przez administratora oraz od ich ilości. CNPD podkreślił wprost, że IOD, który monitoruje przetwarzanie danych osobowych na dużą skalę powinien być zatrudniony na pełny etat i nie wykonywać przy tym żadnych innych – nie związanych z tym – obowiązków. W przeciwnym razie, jego kluczowe obowiązki mogą nie być realizowane w pełni efektywnie.

Wskazówki dotyczące pozycji Inspektora Ochrony Danych organu nadzorczego z Liechtensteinu

Warto zauważyć, że z decyzji luksemburskiego organu nadzorczego wynika dużo więcej informacji w zakresie wykonywania obowiązków IOD’a w organizacji. Wydaje się, że informacje te mogą być bardzo pomocne również dla administratorów z Polski.

Decyzje dostępne są na stronie luksemburskiego organu nadzorczego pod adresem:

https://cnpd.public.lu/en/decisions-sanctions.html

Posłuchaj podcastu:

 

 

 

 

 

                   Kliknij TUTAJ                                                                                                                    Kliknij TUTAJ