Wykonując ustawowy obowiązek Prezes Urzędu Ochrony Danych Osobowych opublikował na swojej stronie internetowej sprawozdanie ze swojej działalności za 2019 r., które przedstawia Sejmowi RP, Radzie Ministrów, Rzecznikowi Praw Obywatelskich, Rzecznikowi Praw Dziecka oraz Prokuratorowi Generalnemu.
Postanowiliśmy więc poddać analizie w jaki sposób Prezes UODO odnosi się do inspektorów ochrony danych, w szczególności jak wygląda współpraca z inspektorami w sytuacji, gdy IOD został już w samym ogólnym rozporządzeniu ustawiony jako punkt kontaktowy dla organu nadzorczego.
W sprawozdaniu przypomniano, że jednym z zadań nałożonych na organ nadzorczy przepisami ogólnego rozporządzenia jest nadzór nad realizacją obowiązków i uprawnień nałożonych przez administratorów danych i inspektorów ochrony danych. Do zadań tych należy m.in. przyjmowanie zawiadomień o wyznaczeniu inspektora ochrony danych (IOD) oraz udzielanie odpowiedzi na kierowane przez nich pytania, jak również przygotowanie wystąpień w sprawach dotyczących statusu i zadań inspektorów ochrony danych.
Czy Inspektor Ochrony Danych (IOD) nadający upoważnienia pozostaje w konflikcie interesów?
W celu realizacji zadań organu nadzorczego, w Urzędzie została wyodrębniona jednostka zajmująca się wyłącznie współpracą z IOD – w Departamencie Orzecznictwa i Legislacji powołano Wydział Współpracy z Inspektorami Ochrony Danych, w którym na 31 grudnia 2019 r., było zatrudnionych 4 pracowników.
Kontrole UODO
W ramach prowadzonych kontroli Prezes UODO weryfikował, czy podmioty, które na gruncie ogólnego rozporządzenia są to tego zobowiązane, wyznaczały inspektorów (zgodnie z dyspozycją art. 37 RODO).
Współpraca z administratorami i IOD
Ze sprawozdania wynika, że Urząd miał pełne ręce roboty jeśli chodzi o kontakt z administratorami i IOD w konkretnych sytuacjach. Gdy pojawiały się problemy ze zgłoszeniami naruszeń ochrony danych, UODO m.in. wykonał 900 rozmów telefonicznych oraz wysłał 250 e-maili do administratorów i inspektorów ochrony danych, oraz skierował do administratorów ok. 630 wezwań dotyczących złożenia wyjaśnień w zakresie nadesłanych zgłoszeń naruszeń, w sytuacji gdy przesłane zgłoszenia były niepełne lub niejasne, a kontakt z IOD lub innym punktem kontaktowym był utrudniony.
Urząd przypomniał, że rolą inspektora ochrony danych jest m.in. bycie punktem kontaktowym dla organu nadzorczego. W nawiązaniu do tego skrytykował on postawę niektórych administratorów, w szczególności administratorów z sektora publicznego, wskazując, że kontakt z Urzędem był prowadzony często bezpośrednio przez administratora, z pominięciem w tej komunikacji powołanego IOD.
Urząd wyjaśnił także, że w sytuacji konieczności konsultacji sprawy budzącej wątpliwość nie jest dopuszczalne, aby administrator, u którego został powołany IOD, samodzielnie kontaktował się z Urzędem. W sprawach budzących wątpliwości, w pierwszej kolejności to inspektor powinien wyrazić swoją opinię w danej sprawie. Jeśli zaś w dalszym ciągu istnieją wątpliwości odnośnie prawidłowości danego rozwiązania to sam IOD powinien wystąpić do Urzędu jako pośrednik pomiędzy administratorem, a organem nadzorczym w stosowanej procedurze konsultacyjnej.
Przypomniał, że jeśli IOD ma wątpliwość co do zgodności działań administratora z RODO, IOD może zwrócić się do organu nadzorczego z prośbą o konsultacje i przywołał art. 57 ust.3 RODO. Temat ten został także podniesiony w Newsletterze UODO dla inspektorów ochrony danych numer 6/2019.
Materiały merytoryczne oraz newsletter
Pozostając przy newsletterze, UODO pochwalił się szeroko swoją działalnością edukacyjną skierowaną do inspektorów ochrony danych. Realizowanych form wsparcia jest faktycznie sporo: począwszy od materiałów merytorycznych, uzupełnionych o newsletter, przez szkolenia, w tym szkolenia branżowe, po udział w konferencjach i przygotowanie Podręcznika Inspektora Ochrony Danych.
Jak opisuje UODO, ogromnym wsparciem są także porady telefoniczne w związku z uruchomieniem dodatkowej infolinii dedykowanej dla IOD.
W 2019 r. UODO wydawał cykliczny newsletter dla inspektorów ochrony danych. Uruchomiony w kwietniu 2019 r. biuletyn na koniec tego roku trafił do 6501 subskrybentów.
Szkolenia dla IOD oraz konferencje
Niewątpliwym sukcesem Urzędu są liczne szkolenia oraz konferencje organizowane przez UODO lub takie, na których prelegentami byli pracownicy Urzędu lub które były objęte patronatem Prezesa. Jak wskazuje Urząd, dzięki dostępności szeregu szkoleń, także utrwalonych i udostępnionych on-line, Inspektorzy Ochrony Danych mają zapewniony stały dostęp do specjalistycznej wiedzy o ochronie danych osobowych oraz przydatnych i najbardziej aktualnych informacji dotyczących tej problematyki.
Urząd zorganizował w 2019 r. cztery duże szkolenia:
- Szkolenie pt. „Zgłaszanie naruszenia ochrony danych osobowych” (14.01.2019 r.).
- Szkolenie pt. „Zasady przetwarzania danych w świetle ustawy wdrażającej dyrektywę 2016/680″ (12.02.2019 r.).
- Szkolenie pt. „Przekazywanie danych do państw trzecich” (20.02.2019 r.).
- Szkolenie pt. „Obowiązek informacyjny” (28.02.2019 r.).
Ogółem w szkoleniach IOD organizowanych przez Urząd wzięło udział ponad 8000 uczestników. Szkolenia te transmitowane były na żywo, a następnie udostępniane na kanale YouTube, osiągając liczbę prawie 20 tys. wyświetleń.
Przedstawiciele Urzędu uczestniczyli także w licznych kongresach, m.in. podczas Kongresu Inspektorów Ochrony Danych w dniach 3-5.12.2019 r., który był poświęconym problemom związanym z realizacją przepisów RODO oraz krajowych przepisów uzupełniających RODO.
Urząd jest uczestnikiem projektu T4DATA w ramach którego została uruchomiona specjalna platforma z wykładami online dla inspektorów ochrony danych z podmiotów publicznych.
Podręcznik dla IOD
W ramach projektu T4DATA Urząd brał udział w przygotowaniu „Podręcznika Inspektora Ochrony Danych” będącym zbiorem wytycznych dla IOD dotyczących sposobu zapewnienia zgodności z ogólnym rozporządzeniem o ochronie danych (RODO). Poradnik ten został opracowany w polskiej i angielskiej wersji językowej oraz został udostępniony bezpłatnie w formie elektronicznej.
Łyżka dziegciu w beczce miodu
Niewątpliwie należy docenić wkład Urzędu Ochrony Danych Osobowych w liczne inicjatywy mające na celu wsparcie osób wykonujących funkcje inspektorów ochrony danych w Polsce. Cyklicznie Urząd stara się przygotowywać materiały merytoryczne i szkoleniowe, które mają pomóc w rozumieniu przepisów o ochronie danych osobowych. Dzięki nim, administratorzy, procesorzy, inspektorzy i doradcy prawni zajmujący się problematyką ochrony danych osobowych mają możliwość zgłębiać wiedzę czy wspierać się przy projektowaniu procesów biznesowych. Z niecierpliwością czekamy, aż materiały merytoryczne rozrosną się do bazy porównywalnej do tej, którą prowadzi Information Commissioner’s Office w Wielkiej Brytanii.
Jest jednak jedna rzecz, której Urząd w tym sprawozdaniu nie wskazał, a mianowicie nie poinformował ile zgłoszeń inspektorów ochrony danych przyjął w 2019 r. Ale o tym w kolejnym wpisie.
