Ustawodawca unijny, regulując funkcję IOD, miał za cel zapewnienie pełnej niezależności i skuteczność wykonywania przez IOD zadań nałożonych przez RODO. Ogólne rozporządzenie o ochronie danych w art. 38 RODO wprowadza dzięki temu nowe gwarancje umożliwiające wypełnianie przez IOD obowiązków.

reklama

Prawo do właściwego i niezwłocznego włączania we wszystkie sprawy dotyczące ochrony danych osobowych

Przepis ten nakazuje administratorom oraz podmiotom przetwarzającym właściwie i niezwłocznie włączanie IOD we wszystkie sprawy dotyczących ochrony danych osobowych. Oznacza to, że IOD powinien być włączany we wszystkie sprawy związane z ochroną danych bez względu na ich skalę, możliwą wysokość kary czy też uciążliwość dla podmiotu danych lub organizacji. Użyte pojęcia „właściwość” i „niezwłoczność” wskazują, że organizacje muszą włączać IOD na tyle wcześnie, by mógł on efektywnie oraz odpowiednio do zagrożeń wykonywać swoje zadania w stosunku do okoliczności sprawy. Jak wskazuje Grupa Robocza art. 29 (obecnie EROD) w wytycznych dotyczących inspektorów ochrony danych (‘DPO’), zapewnienie, że IOD został poinformowany oraz konsultowano z nim projekt, ułatwia zapewnienie zgodności z RODO oraz zapewnia realizację ochrony danych w fazie projektowania. Konsultacje z IOD powinny być także standardowym elementem w zarządzaniu organizacją. Wskazuje również, że tam gdzie jest to właściwe, organizacje powinny stworzyć wytyczne lub programy określające, kiedy dane kwestie muszą być konsultowane z IOD.

Prawo do uzyskania niezbędnych środków oraz dostępu do danych osobowych i procesów

Zgodnie z art. 38 ust. 2 RODO organizacje wspierają IOD w wypełnianiu przez niego zadań, zapewniając mu dostęp do odpowiednich zasobów, bowiem tylko dzięki odpowiedniemu wsparciu przez organizację IOD będzie w stanie efektywnie wykonywać swoje zadania. Przykładowo można wśród tych zasobów wymienić dostęp do:

  1. zewnętrznych usług doradczych z zakresu prawa czy systemów zabezpieczeń,

  2. technologii informacyjnej, w tym systemów informatycznych wspierających zarządzanie zadaniami,

  3. wydzielenia odpowiedniego budżetu dla IOD.

Zdaniem Grupy Roboczej art. 29 organizacje powinny zapewnić adekwatne wsparcie IOD w postaci zasobów finansowych, infrastruktury oraz zasobów ludzkich. Wskazuje ona na umożliwienie realizacji przez IOD swoich zadań w adekwatnym zakresie godzinowym.

W omawianym przepisie RODO wprost wskazana jest także konieczność zapewnienia IOD środków niezbędnych do utrzymania jego fachowej wiedzy. Użyte pojęcie „utrzymanie” wiedzy może odnosić się dwojako do utrzymania wiedzy specjalistycznej przez IOD. Po pierwsze, należy wskazać na obowiązek utrzymania już posiadanej wiedzy przez IOD, która może być dokonywany poprzez udział w cyklicznych przypominających kursach. Po drugie – na obowiązek rozwijania swojej wiedzy.

Grupa Robocza art. 29 wskazuje, że IOD powinien mieć możliwość pozostawania na bieżąco z rozwojem ochrony danych. Powinien on być także zachęcany do brania udziału w szkoleniach, konferencjach oraz warsztatach z ochrony danych osobowych.

Więcej na temat zapewnienia niezbędnych zasobów znajdziesz w tym artykule.

reklama

Zakaz otrzymywania instrukcji i brak ponoszenia odpowiedzialności za wykonywanie zadań inspektora ochrony danych

W art. 38 ust. 3 RODO zostały określone gwarancje niezależności wykonywania funkcji IOD. Zgodnie z tym artykułem administrator oraz podmiot przetwarzający zapewniają, by IOD nie otrzymywał instrukcji dotyczących wykonywania jego zadań. Nie może on też być odwoływany ani ponosić odpowiedzialności za wypełnianie swoich zadań. Gwarancje te w szczególności będą miały znaczenie w sytuacjach konfliktu rekomendacji IOD z założeniami biznesowymi organizacji. W zakresie wykonania swoich zadań IOD ma pełną autonomię decyzyjną. Za czynności dokonywane w ramach wykonywania swoich zadań IOD nie może również ponosić odpowiedzialności za merytoryczne wykonywanie przez niego funkcji.

Zakaz konfliktu interesów

Inspektor Ochrony Danych może też wykonywać obowiązki, które nie są bezpośrednio związane z pełnieniem przez niego funkcji. Należy jednak mieć na uwadze prawo do posiadania niezbędnych zasobów do wykonania przez niego zadań, w tym m.in. czasu, a także możliwość zaistnienia sytuacji konfliktu interesów. Konflikt interesów ma miejsce wtedy, gdy IOD ma możliwość decydowania o celach i sposobach przetwarzania danych osobowych, a także w przypadku, gdy jest rozliczany za efektywność realizacji tych celów. W ocenie Grupy Roboczej art. 29 konflikt interesów może powodować pełnienie obowiązków na stanowiskach członków zarządu czy szefów działów: operacyjnego, finansowego, marketingu, zasobów ludzkich czy też informatycznego.

reklama

Sankcje

Konstruując funkcję Inspektora Ochrony Danych, unijny legislator starał się zadbać o jego autonomię i niezależność podczas wykonywania obowiązków. Katalog kar określonych w RODO ma zatem zastosowanie również do tek kwestii. Brak realizacji wskazanych wymogów i gwarancji przyznanych IOD przez organizację pociągać może za sobą odpowiedzialność administracyjną określoną w art. 83 ust. 4 RODO, która jest zagrożona sankcją do 10 000 000 euro lub do 2% rocznego globalnego obrotu.

Materiały dodatkowe:

1. Chodorowski M. Rozdział X. Nowe prawa i obowiązki administratorów bezpieczeństwa informacji (inspektorów ochrony danych) w świetle najnowszych opinii wydanych przez Grupę Roboczą art. 29 w: Kawecki M. (red.), Osieja T. (red.), Ogólne rozporządzenie o ochronie danych osobowych. Wybrane zagadnienia, Warszawa 2017 r.;

2. Grupa Robocza Art. 29 ds. ochrony danych, 16/EN WP 243 rew. 01 Wytyczne dotyczące inspektorów ochrony danych (‘DPO’), przyjęte w dniu 13 grudnia 2016 r. w wersji zmienionej i przyjętej w dniu 05 kwietnia 2017 r.

 

 

Administratorem podanych przez Pana/ Panią danych osobowych jest Data Legal Solutions z siedzibą w Warszawie (02-566), przy ul. Puławskiej 12/3. Dane będą przetwarzane w celu wysyłki newslettera oraz celu wysyłania przez administratora treści marketingowych administratora i podmiotów współpracujących na zasadach określonych w regulaminie portalu. Podanie adresu e-mail jest dobrowolne, lecz jego podanie jest niezbędne do zapisania się do newsletter. Udostępnienie adresu e-mail jest uznawane przez nas jako zamówienie informacji handlowej zgodnie z art. 10 ust. 2 ustawy o świadczeniu usług drogą elektroniczną. Więcej informacji na temat przetwarzania przez nas danych osobowych znajduje się wpolityce prywatności.
Reklama