GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Inspektor Ochrony Danych (IOD) w organizacji – trudności i wyzwania

Inspektor Ochrony Danych (IOD) w organizacji – trudności i wyzwania

Nakreślenie trudności

RODO wymienia szereg zadań Inspektora Ochrony Danych (IOD). Zgodnie z art. 39 ust. 1 punkt b) ww. aktu do zadań IOD należy m. in.: „monitorowanie przestrzegania niniejszego rozporządzenia [oraz], innych przepisów Unii lub państw członkowskich o ochronie danych (…)”. Żeby nie mnożyć bytów, mimo że w dłuższej perspektywie okaże się to zapewne potrzebne, skupmy się jedynie na przestrzeganiu Rozporządzenia 679/2016/UE, odkładając na bok na potrzeby tego artykułu „inne przepisy o ochronie danych”. Czym właściwie jest powyższe Rozporządzenie? Pierwsza odpowiedź jaka się nasuwa – aktem prawnym o średniej długości, które mimo pewnych niejasności, jest co do zasady zrozumiały. Jednakże obraz ten ulega skomplikowaniu jeżeli dodamy do tego wszystkie inne akty, które należałoby znać, aby należycie interpretować RODO. Przede wszystkim, należy tu wymienić kilkadziesiąt wyroków Trybunału Sprawiedliwości Unii Europejskiej dotyczących bezpośrednio ochrony danych osobowych, które należy bezwzględnie brać pod uwagę. Do tego dochodzą pozostałe wyroki TS UE, które chociaż nie są bezpośrednio związane z ochroną danych, to jednak rzucają światło na należytą interpretację podstawowych pojęć prawa Unii Europejskiej, która jest niezbędna, aby należycie stosować przepisy. Kolejnym czynnikiem, który należy wziąć pod uwagę, są akty prawa miękkiego – dość wymienić w tym miejscu kilkaset dokumentów, opublikowanych przez grupę  roboczą art. 29, która na mocy RODO przekształciła się w Europejską Radę Ochrony Danych (EROD).

Dodatkowo Rozporządzenie 679/2016/UE jest przedmiotem interpretacji organów nadzorczych, należących do Europejskiego Obszaru Gospodarczego (EOD) i nie tylko. Mając na uwadze, że rozporządzenia Unii Europejskiej są abstrakcyjnymi aktami prawnymi o charakterze ogólnym, wystarczająco precyzyjnymi aby stosować je bezpośrednio, mogłoby się wydawać, że interpretacja tego aktu przez organy nadzorcze z różnych państw musi być jednolita. Jednakże znajdujemy wiele przykładów, które temu przeczą. Jednym z nich jest kwestia instalowania kamer w samochodach w celach dowodowych czy ochrony przed roszczeniami w przypadku kolizji. Zdaniem Belgijskiego organu nadzorczego działanie takie jest dopuszczalne, jednakże osoba dokonująca nagrania jest administratorem takich danych osobowych i musi spełnić wynikające z tego obowiązki. Natomiast zdaniem Szwajcarskiego organu nadzorczego nagrywanie przestrzeni na zewnątrz pojazdu przez osoby prywatne jest niedopuszczalne.[1]
W Polsce natomiast kwestia ta znajduje się  poza debatą, mimo tego, że praktycznie w każdym sklepie elektronicznym dostępny jest szeroki wachlarz tego typu urządzeń.

Praktyczna pozycja Inspektora w organizacji

Wydaje się, że nie są znane badania statystyczne, które wskazywałyby jakim przygotowaniem dysponują osoby, pełniące funkcje IOD. Jednakże biorąc pod uwagę ilość stanowisk na rynku, olbrzymi wzrost świadomości na temat ochrony danych w ciągu ostatnich kilku lat, brak kompleksowych studiów dedykowanych tematowi ochrony prywatności oraz ilość rzetelnych publikacji z tego zakresu, można zaryzykować hipotezę, że osoby te są raczej w trakcie nabywania odpowiedniej wiedzy i doświadczenia, niż już je posiadają. Dodatkowo osoba zaczynająca pełnić funkcję IOD często jest nowym pracownikiem w organizacji. Co prawda zgodnie z RODO, inspektor powinien być niezależny oraz podlegać wyłącznie administratorowi, czyli najczęściej prezesowi/ zarządowi spółki lub ministrowi/ kierownikowi jednostki/ dyrektorowi instytucji w przypadku administracji publicznej, ale praktyczne spełnienie tego wymogu bywa problematyczne. Realny kontakt IOD z Zarządem najczęściej sprowadza się do przesyłania informacji w odstępach kilku miesięcy, które w optymistycznej wersji są również czytane. W związku z tym IOD ma często problem, żeby uzyskać informacje i materiały od innych pracowników organizacji, którzy nie są świadomi jego roli i zadań.

IOD – od czego zacząć?

Można zaryzykować tezę, że na osoby, które siłą rzeczy w większości nie mają odpowiedniego przygotowania został nałożony obowiązek właściwego stosowania przepisów, których nie są w stanie spójnie interpretować nawet organy nadzorcze w poszczególnych państwach. Naturalnie nie przeszkodziło to wprowadzić dotkliwych kar za „niewłaściwe” stosowanie rozporządzenia. Jednakże co w takiej sytuacji ma zrobić osoba rozpoczynającą swoją pracę jako IOD? Po pierwsze musi poznać organizację, jej procesy oraz przepisy branżowe, które będą miały do nich zastosowanie. Po drugie, dokonać zmapowania danych w organizacji, co znajdzie odzwierciedlenie w stosownych rejestrach. Po trzecie przygotować odpowiednią dokumentację, w szczególności stosowne obowiązki informacyjne –jest to bowiem wizytówka administratora. Po czwarte przeszkolić pracowników – procedury to tylko bajty i kartki, jeśli nikt ich nie stosuje. Po piąte, monitorować, sprawdzać, wspierać – warta IOD nigdy się bowiem nie kończy.

Podsumowanie

Na rynku wzrasta zapotrzebowanie na kompetentnych specjalistów w obszarze ochrony danych osobowych. Jednocześnie mnogość przepisów, problemy z ich interpretacją i stosowaniem sprawiają, iż czasem niezwykle trudno jest pełnić rolę IOD, zwłaszcza tam gdzie nie jest ona właściwie pojmowana. Z pewnością atutem jest znajomość danej branży, obecnie bowiem problematyka ochrony danych wchodzi coraz głębiej w procesy organizacji i przekłada się m.in. na projektowane rozwiązania IT, czy też działania marketingowe.

[1] Szwajcaria nie należy do EOG, jednakże Komisja Europejska wydała wobec tego państwa decyzję uznającą, że zapewnia ono należyty poziom ochrony danych osobowych. Podejmując taką decyzję, Komisja bierze również pod uwagę działania organów nadzorczych, tak więc należy uznać, że wartość stanowisk Szwajcarskiego organu jest podobna do organów nadzorczych należących do Europejskiego Obszaru Gospodarczego. Informacja ta była co prawda dostępna przed wejściem w życie RODO, jednak nie zmieniło ono wiele w stosunku do dyrektywy 95/46/WE w omawianym tutaj przypadku.

Zapraszamy na szkolenie:

5-dniowe Kompleksowe  szkolenie dla Inspektorów Ochrony Danych

 

Autor: Redakcja
Udostępnj publikację:
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach