GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

IOD 2.0, czyli rola inspektorów w świetle ostatnich rozstrzygnięć organów nadzoru

Mężczyzna w białej koszuli siedzący z lupą powiększającą nad kartką papieru

IOD 2.0, czyli rola inspektorów w świetle ostatnich rozstrzygnięć organów nadzoru

Inspektorzy ochrony danych działają już ponad dwa lata. Ostatnie stanowiska organów nadzoru są szczególnie istotne w kontekście ich wyznaczania, zadań i pozycji w organizacji.

Polska – wnioski z kontroli

Podczas kilku ostatnich kontroli przeprowadzanych przez Prezesa Urzędu Ochrony Danych Osobowych badane było m.in. zaangażowanie i rola Inspektora Ochrony Danych w wewnętrznym systemie ochrony danych osobowych. Poniżej prezentujemy wybrane wnioski sformułowane podczas jednej z nich, opisane w dokumentach pokontrolnych odnoszące się do roli IOD, które zasługują na szczególną uwagę wszystkich inspektorów .

  1. W organizacji nie były przeprowadzone audyty wewnętrzne a inspektor ochrony danych nie przeprowadzał procesu analizy ryzyka. Wskazano również, iż modyfikacje i funkcjonalności były wdrażane bez udziału IOD, co stoi w sprzeczności z treścią art. 38 RODO na co zwracała uwagę w swoich wytycznych poświęconych inspektorom ochrony danych Grupa Robocza art. 29.
  2. Inspektor ochrony danych wypełniał swoje zadania bez należytego uwzględnienia ryzyka związanego z operacjami przetwarzania. Podkreślono, że zgodnie z art. 39 ust. 1 lit b RODO inspektor ochrony danych powinien monitorować przestrzeganie przepisów o ochronie danych osobowych oraz polityk ochrony danych przyjętych przez administratora.
  3. Określenie „monitorowanie” rozumieć należy jako prowadzenie stałej obserwacji i kontroli zgodności procesów przetwarzania danych z przepisami o ochronie danych osobowych. Przedmiotem oceny zgodności powinny być zatem również dokumenty polityki ochrony danych przyjęte przez administratora. Monitorowanie nie oznacza jedynie obserwowania i dokonywania oceny zgodności. Powinno obejmować zbieranie informacji w celu identyfikacji procesów przetwarzania, analizowanie i sprawdzanie zgodności przetwarzania, informowanie, doradzanie i rekomendowanie określonych działań.
  4. Co prawda to administrator odpowiada za opracowanie polityk ochrony danych, ale to rolą inspektora jest wspieranie go w tym procesie chociażby przez cykliczne spotkania z właścicielami poszczególnych procesów przetwarzania, omawianie z nimi aktualnie stosowanych środków technicznych i organizacyjnych a w konsekwencji ustalanie skutecznych rozwiązań adekwatnych do zidentyfikowanych zagrożeń.
  5. Nie można zasłaniać się faktem, iż umowa o pełnienie funkcji IOD nie obejmowała np. analizy ryzyka. Nie zwalnia to bowiem inspektora z monitorowania zgodności przetwarzania i przyjętych polityk z przepisami o ochronie danych osobowych. W myśl art. 29 ust. 2 RODO IOD wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. Trudno zatem byłoby mówić o należytym wykonywaniu zadań inspektora i uwzględnianiu ryzyka, bez jego wcześniejszego zidentyfikowania.
  6. W zakresie edukacji i szkoleń, niewystarczające jest przekazywanie w sposób ogólny podstawowych zasad bez uwzględnienia w tych działaniach specyfiki funkcjonowania i zadań danej organizacji, gdyż nie obejmuje to konieczności budowania poczucia odpowiedzialności za przetwarzanie danych osobowych, w szczególności tych pracowników, którzy intensywnie zaangażowani są w takie działania. Należy zatem w pierwszej kolejności identyfikować ryzyka a następnie planować i przeprowadzać szkolenia dla pracowników, uwzględniając ich styczność z poszczególnymi zadaniami, praktykami i procedurami. Same szkolenia powinny być dostosowane do specyfiki pracy i zadań wykonywanych przez pracowników. Takie działania powinny być monitorowane i weryfikowane pod względem ich skuteczności a niedociągnięcia mogą mieć negatywny wpływ na bezpieczeństwo i system ochrony danych osobowych w organizacji.
  7. W myśl art. 39 ust. 2 RODO, 2. inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania, stąd brak przeprowadzenia audytów i realnego wglądu w procesy przetwarzania, sprawia, iż inspektor nie może przewidywać, planować i realizować swoich działań.

Hiszpania – brak wyznaczenia IOD

W ostatnim czasie Hiszpański organ właściwy do spraw ochrony danych osobowych (Agencia Española de Protección de Datos – AEPD) nałożył karę w wysokości 25 000 euro na spółkę Glovoapp23 S.L., właściciela popularnej aplikacji Glovo (służącej m.in. do zamawiania jedzenia z dostawą)[1]. Organ zarzucił hiszpańskiej spółce, że ta nie wyznaczyła inspektora ochrony danych (IOD), podczas gdy w świetle przepisów RODO miała taki obowiązek. Organ wskazał, że spółka przetwarzała dane osobowe  użytkowników aplikacji na dużą skalę. Ponadto proces przetwarzania wiązał się z koniecznością monitorowania użytkowników (geolokalizacja).  Wspomnieć można, że zarówno w RODO, hiszpańskiej ustawie o ochronie danych osobowych, jak i w oficjalnych stanowiskach przyjętych przez AEPD, nie dookreślono „dużej skali przetwarzania”. Inne organy nadzorcze krajów członkowskich nakładały już kary za brak wyznaczenia IOD w organizacji (wymienić można Belgię, Austrię czy Niemcy).

Belgia – konflikt interesów

Belgijski organ właściwy do spraw ochrony danych osobowych (Gegevensbeschermingsautoriteit) nałożył karę w wysokości 50 000 euro na lokalnego operatora telekomunikacyjnego – Proximus SA. za nieprawidłowości w zakresie wyznaczenia inspektora ochrony danych oraz brak jego niezależności [2]. Jak wskazaliśmy w naszym artykule [3], w toku postępowania organ nadzorczy ustalił, że spółka wyznaczyła na stanowisko IOD swojego pracownika, który jednocześnie był odpowiedzialny za kierowanie trzema strategicznymi departamentami: audytu wewnętrznego, zarządzania ryzykiem i zgodności. Sytuacja ta – zdaniem organu – spowodowała, że IOD nie miał możliwości sprawowania swojej funkcji w sposób niezależny, co prowadziło do konfliktu interesów (naruszenie art. 38 ust. 6 RODO). Kumulacja obowiązków nałożonych na IOD mogła bowiem skutkować zagrożeniem dla tajemnic służbowych oraz poufności w odniesieniu do jej pracowników. Wskazano również, że IOD był w niewystarczającym stopniu zaangażowany w pracę w związku z pełnieniem swojej funkcji. Spółka nie miała opracowanej procedury dotyczącej naruszeń danych osobowych, ani polityki, która zapobiegałaby występowaniu konfliktów interesów.

Węgry – procedury pisane do szuflady

Problem funkcjonowania wewnętrznych procedur podniesiono także na Węgrzech – Spółka mediowa DIGI otrzymała administracyjną karę pieniężną w wysokości 100 milionów forintów (ok. 1,3 mln zł)  w związku z niewłaściwym zabezpieczeniem baz danych, zawierających informacje dotyczące administratorów systemów informatycznych, odbiorców komunikacji marketingowej oraz klientów.  Krajowy Urząd Ochrony Danych i Wolności Informacji podkreślił, że na fakt, że mimo opracowania obszernej dokumentacji ochrony danych osobowych i przygotowania procedur – nie były one wdrożone i stosowane [4].

Podsumowanie

Powyższe stanowiska organów nadzorczych precyzują zadania wykonywane przez IOD, ale też wskazują na konieczność jego realnego i regularnego zaangażowania w monitorowanie i wspieranie sytemu ochrony danych w organizacji. Powinny stanowić wskazówkę dla podmiotów, które wyznaczyły lub zamierzają dopiero wyznaczyć inspektora. Jego rola nie może bowiem ograniczać się do sporadycznej korespondencji lub „majaczenia na horyzoncie zdarzeń”, ale musi stanowić realne wsparcie w zapewnieniu zgodności z przepisami o ochronie danych osobowych. W stanowiskach organów nadzoru, także polskiego, widać zmianę w podejściu i bardziej restrykcyjne rozliczanie inspektorów z ich zadań. 

  1. https://www.aepd.es/es/documento/ps-00417-2019.pdf?fbclid=IwAR3sppcAxZ7J2Z7oSTL9lkBRirmGZnL25ss6Wv7esvWkEIO7JYo1eh_ia1E
  2. https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Beslissing_GK_18-2020_NL.pdf
  3. https://gdpr.pl/kara-za-brak-niezaleznosci-iod
  4. https://www.naih.hu/files/NAIH-2020-1160-10-hatarozat.pdf