GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Niderlandzki organ nadzoru o roli IOD w organizacji

Udostępnij publikację:
Niderlandzki organ nadzoru o roli IOD w organizacji

W połowie maja na portalu gdpr.pl opisaliśmy stanowiska różnych krajowych organów nadzoru, w tym Prezesa UODO, w kwestii pozycji Inspektora Ochrony Danych w organizacji, a także o możliwym konflikcie interesów jaki może wiązać się z dzieleniem funkcji IOD z inną pozycją w organizacji. Wraz z początkiem lata swoje wytyczne w tym zakresie wydał niderlandzki organ ochrony danych (AP).

IOD 2.0, czyli rola inspektorów w świetle ostatnich rozstrzygnięć organów nadzoru

Inspektor Ochrony Danych – strażnik praw osób, których dane są przetwarzane

AP zdecydował się na wydanie wytycznych w związku z otrzymywanymi sygnałami o zbyt późnym lub całkowitym braku angażowania Inspektora Ochrony Danych w procesy, w których przetwarzane są dane osobowe. Często również pozycja i organizacja pracy Inspektora Ochrony Danych nie przystają do tego, czego się od niego oczekuje. Wszystkie te niedociągnięcia powodują, że prawa osób, których dane są przetwarzane nie są w wystarczający sposób chronione.

Czy 45 tysięcy inspektorów w Polsce to dużo czy mało?

Organ w wytycznych skupił się na takich aspektach jak:

  • zapewnienie odpowiedniej pozycji Inspektora Ochrony Danych w strukturze organizacji,
  • konieczności zaangażowania Inspektora Ochrony Danych na wczesnym etapie rozwoju produktów i usług,
  • dostępności Inspektora Ochrony Danych wewnątrz organizacji jak i na zewnątrz,
  • niezależność Inspektora Ochrony Danych,
  • centralna pozycja Inspektora Ochrony Danych w kontaktach pomiędzy organizacją a organem nadzorczym,
  • możliwość interwencji Inspektora Ochrony Danych w przypadku identyfikacji ryzyka w przetwarzaniu.

Podobnie jak inne organy nadzorcze, organ niderlandzki w pierwszej kolejności wskazał, że obowiązki Inspektora Ochrony Danych wynikają wprost z art. 39 RODO. Ponadto, wskazał, że IOD by móc pełnić swoją rolę musi być ekspertem z zakresu ochrony danych osobowych oraz procesów przetwarzania jakie zachodzą w jego organizacji. Również na organizacji ciąży obowiązek zapewnienia IOD odpowiednich środków, które pozwolą mu działać samodzielnie i niezależnie od jakichkolwiek nacisków. Obowiązek raportowania przez IOD powinien zostać wyznaczony wyłącznie wobec zarządzających organizacją. Po odniesieniu się do ogólnych zasad z RODO, organ niderlandzki przedstawił konkretne warunki, które są szczególnie interesujące z punktu widzenia praktyki.

Pozycja Inspektora Ochrony Danych w organizacji

Po pierwsze, Inspektor Ochrony Danych powinien być traktowany jako doradca organizacji. To na organizacji spoczywa ciężar sporządzenia i realizacji polityki prywatności. Inspektor Ochrony danych ma za zadanie monitorowanie przestrzegania przyjętych procedur i doradzanie w zakresie ryzyka w istniejących oraz wdrażanych produktach i usługach w ramach których przetwarzane są dane osobowe. Obowiązkiem organizacji jest zaangażowanie IOD na jak najwcześniejszym etapie rozwoju produktu lub usługi. Jego najważniejszym zadaniem jest doradzanie by przetwarzanie było zgodne z prawem, w tym z zasadami Privacy by Design.

Organizacja ma prawo nie wdrożyć zaleceń Inspektora Ochrony Danych, ale takie działanie powinno być uzasadnione, zgodnie z zasadą przestrzegaj lub wyjaśnij. Praca IOD ma na celu uświadomienie organizacji zagrożeń związanych z prywatnością. Dlatego tak ważne jest by Inspektor Ochrony Danych zarówno wewnątrz i na zewnątrz organizacji był widoczny. Może to się odbyć poprzez wskazanie jego adresu e-mail, nie ma potrzeby wskazywania imienia i nazwiska inspektora ochrony danych.

Wskazówki dotyczące pozycji Inspektora Ochrony Danych organu nadzorczego z Liechtensteinu

Rola IOD w organizacji to rola nadzorcza. Sprawdza czy organizacja prawidłowo stosuje RODO oraz zapewnia, że osoby, których dane są przetwarzane w organizacji mogą wykonywać swoje prawa wynikające z RODO. W związku z czym, konieczne jest odpowiednie umieszczenie IOD w strukturze organizacji. IOD ma obowiązek interweniowania, gdy pójdzie coś nie tak i zidentyfikuje ryzyko w przetwarzaniu. Jednak to na organizacji ciąży odpowiedzialność za to czy uwagi Inspektora Ochrony Danych zostaną przyjęte.

Ciekawostką jest wprowadzenia przez AP możliwości kontaktowania się IOD bezpośrednio z organem nadzorczym o ile posiada poważne obawy dotyczące nieprzestrzegania RODO przez administratora. AP stworzył specjalny kanał dla Inspektorów Ochrony Danych. W wyniku przesłanego sygnału, organ może poprosić o przeprowadzenia czynności wyjaśniających w organizacji przez IOD lub, jeśli uzna to za właściwe, sam przeprowadzi takie postępowanie.

Inspektor Ochrony Danych i jego rola – #RODOłamacz odc.10

Kto zapewnia niezależność IOD w organizacji

Zdaniem AP, to na zarządzie organizacji ciąży obowiązek zapewnienia niezależnej pozycji IOD. W przypadku zagrożenia niezależności IOD w organizacji, może on się zwrócić do AP o interwencję. O sposobie rekcji decyduje sam organ. Może to być np. wiadomość e-mail o prawach i obowiązkach IOD, który może zostać przekazany zarządowi organizacji, rozmowa telefoniczna z zarządem albo rozmowa ostrzegawcza w ramach uprawnień administracyjnych organu.

Czy Inspektor Ochrony Danych (IOD) nadający upoważnienia pozostaje w konflikcie interesów?

Kolejnym z omówionych tematów to obowiązek udziału Inspektora Ochrony Danych w komunikacji pomiędzy organem nadzorczym, a organizacją. Jak wskazało AP, IOD jest centralnym punktem w kontaktach pomiędzy organem, a organizacją. Organ podkreśla wagę jaka ciąży na organizacji by terminowo informowała IOD o kontaktowaniu się organu z organizacją. Organizacja nie może arbitralnie decydować o czym informuje inspektora, a o czym nie.

Jednak w przypadku gdy organ wszczyna oficjalne postępowanie wobec organizacji lub postępowanie toczy się przed sądem, zdaniem AP, IOD nie może działać w imieniu organizacji. Organ uzasadnia, że takie odstąpienie od kontaktu z organizacją za pośrednictwem IOD ma chronić IOD. Inaczej, organizacja mogłaby kwestionować jego działania. Jednocześnie IOD jest informowany przez organ o wszczęciu takiej procedury.

Ze względu na konieczność zachowania niezależności przez IOD, wykluczone jest łączenie tej funkcji z funkcjami w których ponosiłby odpowiedzialność operacyjną za przetwarzanie danych osobowych. Organ wskazał na niemożliwość łączenia pozycji Inspektora Ochrony Danych z takimi stanowiskami jak: szef finansów, strategii, marketingu czy IT jak również inspektora bezpieczeństwa informacji. Wytyczne wskazują również, że Inspektor Ochrony Danych nie może działać jednocześnie jako prawnik organizacji.

Co również ważne, w przypadku realizacji praw osób, których dane są przetwarzane, organ niderlandzki wskazał, że w pierwszej kolejności osoba taka powinna skontaktować się z IOD, a dopiero w kolejnym kroku z organem.

Czas na zmiany

Podsumowując, organ niderlandzki jest pierwszym organem, który tak dokładnie opisał niezależność Inspektora Ochrony Danych i jego pozycję w organizacji. Przyłączył się do stanowiska innych organów o możliwości wystąpienia konfliktu interesów w kontekście łączenia niektórych stanowisk przez IOD. Jak również przedstawił kilka ciekawych rozwiązań, które zostały przez organ wprowadzone, aby chronić niezależność IOD. Te wytyczne mogą być podstawą do przeanalizowania pozycji IOD w organizacji zanim przykuje to uwagę organu nadzoru.

Źródło: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/ap-publiceert-uitgangspunten-voor-inrichten-sterk-intern-toezicht

Zapraszamy na bezpłatny webinar

 „IOD w dobie pandemii: wyzwania, dylematy, perspektywy”

START: 31 sierpnia 2021, godz. 10:00 – 11:00

ZAPISZ SIĘ

Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter