Jak powołać inspektora ochrony danych?

Kto może, a kto ma obowiązek wyznaczenia inspektora ochrony danych?

Ogólne rozporządzenie o ochronie danych (RODO), które musi być stosowane od 25 maja 2018 r., w art. 37 ust 1 przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających wówczas, gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę;
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10.

Jeżeli chodzi o "organ lub podmiot publiczny" to pojęcie powinno zostać określone na poziomie przepisów krajowych. W Polsce stanie się to w nowej ustawie o ochronie danych osobowych. Grupa Robocza art. 29 wskazała, iż do podmiotów takich najczęściej zalicza się organy władzy, ale również na mocy właściwego prawa krajowego - szereg innych podmiotów prawa publicznego oraz inne osoby fizyczne i prawne, które realizują zadania w interesie publicznym bądź sprawują władzę publiczną. W takich przypadkach możliwość wpływu osób, których dane dotyczą, na charakter tego przetwarzania może być ograniczona lub wyłączona, co może wymagać dodatkowej ochrony, jaką daje powołanie DPO.

Jeśli chodzi o drugi przypadek konieczności powołania DPO, to ww. przepis posługuje się kilkoma kryteriami, wymagającymi wykładni ze względu na ich treść („główna działalność”, „regularne i systematyczne monitorowanie” i „na dużą skalę”). O obowiązku wyznaczenia inspektora ochrony danych przesądza spełnienie wszystkich wymienionych w tym przepisie kryteriów łącznie. W dokonywaniu wykładni użytych terminów pomocne mogą być bezpośrednie bądź pośrednie wskazówki interpretacyjne zawarte w motywach RODO, stanowiących jego kontekst normatywny oraz Wytyczne Grupy Roboczej art. 29 dotyczące inspektora ochrony danych.

W interpretacji terminu „główna działalność” pomocny jest motyw 97 RODO, według którego przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Grupa Robocza art. 29 w Wytycznych wyjaśniła, iż „główną działalnością” będzie działalność kluczowa z punktu widzenia osiągnięcia celów administratora, ale też działalność w zakresie przetwarzania danych nierozerwalnie związanego z działalnością główną, np. działalnością główną szpitali jest zapewnianie opieki medycznej, lecz ta działalność nie byłaby możliwa bez przetwarzania danych w formie dokumentacji medycznej, a więc przetwarzanie danych zawartych w tej dokumentacji należy zaklasyfikować jako „działalność główną”. Np. szpitale będą zatem miały obowiązek powołania DPO.

RODO nie definiuje także pojęcia „dużej skali”. Wskazówki dotyczące interpretacji tego pojęcia są w motywie 91 RODO, zgodnie z którym ocena skutków dla ochrony danych powinna „mieć zastosowanie w szczególności do operacji przetwarzania o dużej skali – które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą”. Ocena kryterium „dużej skali” musi być dokonywana w kontekście konkretnego stanu faktycznego, niemniej z przytoczonych fragmentów RODO wynika, że w poszczególnych przypadkach konieczne być może uwzględnienie proporcji, np. wielkości terytorium, na którym następować będzie przetwarzanie danych osobowych (im większe terytorium, tym większa liczba danych będzie podstawą uznania, że przetwarzanie odbywa się na dużą skalę).

Grupa Robocza art. 29 aktualnie nie zaleca wskazywania konkretnej wartości ani rozmiaru zbioru danych czy liczby osób, których dane dotyczą, która determinowałaby „dużą skalę”. Niemniej nie wyklucza ona sytuacji, w której, wraz z rozwojem praktyki, ukształtują się standardy, które umożliwiałyby kwantytatywne określenie „dużej skali” w odniesieniu do określonych rodzajów przetwarzania. 

Wedle Wytycznych Grupy Roboczej art. 29 przy określaniu tego pojęcia należy uwzględnić następujące kryteria:

  • liczbę osób, których dane dotyczą – konkretną liczbę albo procent określonej grupy społeczeństwa;
  • zakres przetwarzanych danych osobowych;
  • okres, przez jaki dane są przetwarzane;
  • zakres geograficzny przetwarzania danych osobowych;

W pojęciu przetwarzania danych na „dużą skalę” mieści się np. przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności, śledzenie za pośrednictwem kart miejskich, przetwarzanie danych geo-lokalizacyjnych, przetwarzanie danych przez banki i ubezpieczycieli, przetwarzanie danych do celów reklamy behawioralnej. Pojęciem „dużej skali” nie będzie natomiast objęte np. przetwarzanie danych pacjentów dokonywane przez pojedynczego lekarza, przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata lub radcę prawnego.

W zakresie interpretacji pojęcia „systematyczne i regularne monitorowanie osób” należy posiłkować się motywem 24 RODO, zgodnie z którym, „aby stwierdzić, czy czynność przetwarzania można uznać za „monitorowanie zachowania” osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w Internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw”. Motyw 24 poświęcony jest eksterytorialnemu zastosowaniu RODO. Ponadto zauważyć trzeba, że jest różnica pomiędzy pojęciem „monitorowanie ich zachowania” (artykuł 3(2)(b)) a pojęciem „regularne i systematyczne monitorowanie” z art. 37(1)(b), co może skutkować odmiennym rozumieniem tych dwóch zwrotów. Według Grupy Roboczej art. 29, przez „systematyczne i regularne monitorowanie osób” należy rozumieć wszelkie formy śledzenia i profilowania w sieci, w tym na potrzeby reklam behawioralnych. Nie należy jednakże ograniczać tego pojęcia tylko do środowiska on-line, zaś śledzenie w internecie winno być traktowane jedynie jako jeden z przykładów takiego monitorowania. 

Grupa Robocza Art. 29 definiuje „regularne” jako jedno lub więcej z następujących pojęć:

  • stałe albo występujące w określonych odstępach czasu przez ustalony okres;
  • cykliczne albo powtarzające się w określonym terminie;
  • odbywające się stale lub okresowo.

Grupa Robocza Art. 29 definiuje „systematyczne” jako jedno lub więcej z następujących pojęć:

  • występujące zgodnie z określonym systemem;
  • zaaranżowane, zorganizowane lub metodyczne;
  • odbywające się w ramach generalnego planu zbierania danych;
  • przeprowadzone w ramach określonej strategii.

Przykładami regularnego i systematycznego monitorowania osób jest m.in.: obsługa sieci telekomunikacyjnej, świadczenie usług telekomunikacyjnych, profilowanie oraz ocenianie dla celów oceny ryzyka kredytowego, ustanawianie składek ubezpieczeniowych, wykrywanie prania pieniędzy, śledzenie lokalizacji w aplikacjach telefonicznych, reklama behawioralna, monitoring wizyjny, urządzenia skomunikowane, jak np. inteligentne liczniki, inteligentne samochody czy automatyka domowa typu „smartdom”.

Jeśli chodzi o ostatni ww. przypadek obowiązkowego powoływania DPO, to ten przepis RODO również posługuje się kryterium „główna działalność” i „na dużą skalę”, w wykładni których pomocne mogą być wskazówki przytoczone wyżej oraz w Wytycznych Grupy Roboczej art. 29 dotyczących inspektora ochrony danych. Szczególne kategorie danych (tzw. dane wrażliwe) określa art. 9 RODO. Należą do nich dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne, służące do jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących jej zdrowia, seksualności lub orientacji seksualnej.

Według art. 10 RODO, przetwarzanie danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa, dozwolone jest tylko w przypadku spełnienia wskazanych w tym artykule enumeratywnie wymienionych przesłanek. Powołany art. 10, jak też inne przepisy RODO nie definiują tej kategorii danych. Jednak, biorąc pod uwagę dotychczasowe stosowanie starej ustawy o ochronie danych osobowych, do tej kategorii danych zalicza się np. informacje dotyczące skazań, orzeczenia o ukaraniu lub inne orzeczenia wydane w postępowaniu sądowym i administracyjnym (w tym orzeczenia o karach dyscyplinarnych), dane zawarte w Krajowym Rejestrze Karnym, dane dotyczące mandatów bądź innych zastosowanych środków karnych czy środków zabezpieczających. Grupa Robocza art. 29 w wytycznych wskazała, iż mimo, że przepis posługuje się określeniem „danych osobowych dotyczących wyroków skazujących i naruszeń prawa”, nie ma powodu, dla którego obie przesłanki powinny być stosowane jednocześnie. Zastosowanie powinien mieć łącznik „lub”.

Poza tym, zgodnie z art. 37 ust. 4 RODO, obowiązek powołania inspektora ochrony danych (DPO, IOD) może wprowadzić prawo Unii lub prawo państwa członkowskiego UE. Oznacza to, że np. ustawodawca polski może rozszerzyć obowiązek wyznaczenia DPO na inne podmioty.

W pozostałych zaś przypadkach wyznaczenie inspektora będzie fakultatywne. Jednakże nawet w sytuacji, gdy z przepisów nie wynika obowiązek wyznaczenia DPO, Grupa Robocza art. 29 w swoich Wytycznych dotyczących inspektora ochrony danych zaleca administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia i uwzględnienia poszczególnych normatywnych przesłanek istnienia lub braku tego obowiązku.

Ponadto Grupa Robocza art. 29 rekomenduje wyznaczenie DPO nawet w odniesieniu do podmiotów do tego niezobowiązanych. Inspektorzy ochrony danych mogą bowiem znacznie ułatwić przestrzeganie nowych przepisów oraz odegrać istotną rolę w pośredniczeniu pomiędzy zainteresowanymi stronami (np. organem ochrony danych osobowych, podmiotami danych oraz poszczególnymi jednostkami w ramach jednej organizacji).

Grupa Robocza art. 29 w Wytycznych dotyczących inspektora ochrony danych uznaje za dobrą praktykę powoływanie DPO przez prywatne jednostki realizujące zadania w interesie publicznym lub sprawujące władzę publiczną. W takim przypadku działalność inspektora ochrony danych powinna obejmować wszelkie operacje przetwarzania prowadzone przez jednostkę, w tym te niezwiązane z zadaniami realizowanymi w interesie publicznym.

Obowiązek wyznaczenia DPO dotyczy też podmiotów przetwarzających. Mogą zatem wystąpić sytuacje, gdy administrator nie będzie zobowiązany do wyznaczenia DPO, natomiast obowiązek taki będzie ciążył na podmiocie przetwarzającym.

Przykład:

Mała, rodzinna firma dystrybuująca artykuły gospodarstwa domowego na terenie jednego miasta korzysta z usług podmiotu przetwarzającego, którego podstawowa działalność polega na świadczeniu usług analityki internetowej i pomocy w ukierunkowanej reklamie i marketingu. Działalność firmy rodzinnej, biorąc pod uwagę niewielką liczbę klientów i stosunkowo ograniczone działania, nie spowoduje obowiązku wyznaczania inspektora ochrony danych. Jednakże działania podmiotu przetwarzającego, posiadającego wielu klientów takich jak to małe przedsiębiorstwo, zbiorczo kwalifikuje się jako przetwarzanie „na dużą skalę”. W związku z tym podmiot przetwarzający, w przeciwieństwie do lokalnego przedsiębiorstwa, zobowiązany będzie do wyznaczenia inspektora ochrony danych.

Powyższe zasady nie uniemożliwiają podmiotom niezobowiązanym do wyznaczenia DPO skorzystania z innego rozwiązania niż wyznaczenie inspektora ochrony danych, np. wyznaczenia pracownika albo zatrudnienie zewnętrznego konsultanta do wypełniania zadań związanych z ochroną danych osobowych. W takiej sytuacji, według zaleceń Grupy Roboczej art. 29, ważne jest, żeby nazwa stanowiska, status pracownika, pozycja i zadania nie wprowadzały w błąd. W związku z tym należy poinformować pracowników organizacji, organ nadzorczy, osoby, których dane dotyczą, i ogół społeczeństwa, iż osoba zatrudniona nie jest DPO w świetle przepisów RODO.

Przykład:

Wyznaczenie IOD jest obowiązkowe, gdy na przykład dana firma/organizacja:

  • prowadzi szpital, w którym przetwarza się duże zbiory danych wrażliwych,
  • prowadzi agencję ochrony odpowiedzialną za monitoring centrów handlowych i miejsc publicznych,
  • prowadzi małą firmę rekrutacyjną, która sporządza profile osób fizycznych.

Przykład:

Wyznaczenie IOD nie jest obowiązkowe, jeżeli:

  • jesteś lokalnym lekarzem i przetwarzasz dane osobowe swoich pacjentów,
  • prowadzisz małą firmę prawniczą i przetwarzasz dane swoich klientów.

Czy można powołać jednego inspektora dla kilku podmiotów?

W przeciwieństwie do dotychczasowej polskiej ustawy o ochronie danych osobowych ogólne rozporządzenie o ochronie danych zawiera przepisy prawa dotyczące możliwości powołania jednego inspektora ochrony danych dla kilku podmiotów. Przepisy te wskazują także warunki, jakie należy spełnić, stosując takie rozwiązanie.

W przypadku podmiotów prywatnych, jednego inspektora może powołać grupa przedsiębiorstw (np. grupa kapitałowa), o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej (art. 37 ust. 2 RODO). Jeśli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów bądź podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych (art. 37 ust. 3 RODO).

Jak wynika z Wytycznych Grupy Roboczej art. 29 dotyczących inspektorów danych osobowych, wyznaczając jednego inspektora ochrony danych dla kilku podmiotów (tak publicznych, jak też prywatnych), należy uwzględnić, iż musi on być „łatwo dostępny” dla osób wewnątrz organizacji, które podejmują decyzje oraz działania związane z przetwarzaniem danych osobowych (tj. zarówno dla osób sprawujących funkcje kierownicze u danego administratora czy podmiotu przetwarzającego, jak i ich pracowników), ze względu na to, że jednym z zadań DPO jest „informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia”(art. 39 ust 1 lit. a RODO). DPO pełni ponadto funkcję punktu kontaktowego dla organu nadzorczego oraz osób, których dane są przetwarzane. Każdy z wymienionych podmiotów, powinien więc mieć możliwość bezpośredniego kontaktu z powołanym DPO. Nie oznacza to, że inspektor ochrony danych ma być dostępny osobiście, ale że można z nim bez problemu nawiązać kontakt np. przez telefon, e-mail czy inny bezpieczny środek komunikacji.

Możliwość kontaktu z inspektorem ochrony danych oznacza też, że osoby, które chcą się z nim porozumieć, winny mieć taką możliwość w używanym przez siebie języku, co oczywiście nie wyłącza możliwości pełnienia funkcji DPO przez obcokrajowca. W celu zapewnienia możliwości łatwego kontaktu z DPO, czy to wewnętrznym, czy zewnętrznym, istotne jest udostępnienie jego danych kontaktowych, zgodnie z wymogami RODO.

Rozwiązanie to może być zatem stosowane jedynie wtedy, kiedy pomimo wykonywania swoich zadań dla kilku podmiotów, inspektor ochrony danych będzie w stanie czynić to efektywnie, w sposób rzetelny i kompetentny. Administratorzy i podmioty przetwarzające powinny się na nie decydować ze świadomością ciążącej na nich odpowiedzialności za zgodne z ogólnym rozporządzeniem o ochronie danych przetwarzanie danych osobowych. W takich sytuacjach niezbędne będzie ustalenie zasad ich współpracy w zakresie zapewnienia DPO odpowiednich warunków wykonywania funkcji (np. pod względem czasowym czy organizacyjnym, pod względem zapewnienia wystarczających zasobów, włączania we wszystkie sprawy dotyczące ochrony danych osobowych i przewidzianych w RODO gwarancji jego niezależności). Każdy z tych administratorów musi zapewnić łatwy dostęp do inspektora ochrony danych zarówno wewnątrz organizacji, jak i wobec podmiotów, których dane są przetwarzame i organu nadzorczego. Z obsługi jednego DPO nie może więc korzystać jednocześnie wielu administratorów, będących dużymi, odległymi od siebie podmiotami.

Korzystać z tego rozwiązania będą zaś głównie niewielkie podmioty, w jakiś sposób ze sobą powiązane, przetwarzające dane osobowe w zbliżonych celach bądź w podobny sposób (np. przy wykorzystaniu takich samych środków informatycznych lub rozwiązań organizacyjnych).

Zgodnie z art. 37 ust. 3 RODO jednego inspektora będzie mogło powołać - przy uwzględnieniu ich struktury organizacyjnej i wielkości - także kilku administratorów danych będących podmiotami publicznymi, np. publiczne placówki oświatowe, muzea. Podmioty takie, np. ze względu na realizowanie zadań publicznych w tym samym obszarze, mogą przyjmować podobne rozwiązania organizacyjne oraz korzystać z tych samych procedur. Prawodawca europejski przyjął w tym przypadku model niejako „wspólnego wyznaczenia inspektora ochrony danych”, gdyż w takiej sytuacji ułatwiona będzie współpraca administratorów w zakresie zorganizowania inspektorowi wsparcia i prawidłowych warunków do rzetelnego wypełniania jego zadań. Można więc zasadnie zakładać, że mimo wyznaczenia na inspektora ochrony danych tej samej osoby przez kilka podmiotów, będzie on mógł efektywnie wypełniać swoje obowiązki.

Przepisy RODO nie zawierają wyrażonego wprost zakazu wyznaczania przez kilka podmiotów publicznych tej samej osoby na inspektora ochrony danych poza sytuacją wskazaną w art. 37 ust. 3. Skorzystanie z takiego rozwiązania wymaga dokonania starannej analizy, czy wyznaczona osoba będzie w stanie prawidłowo wypełniać wszystkie swoje obowiązki wobec każdego administratora danych. Wiele z obowiązków inspektorów przewidzianych w RODO wymaga stałego zaangażowania na rzecz administratora, który inspektora wyznaczył, oraz tzw. „efektywnej dostępności” inspektora dla osób z danej organizacji. Do zadań IOD należy np. bieżące monitorowanie zgodności przetwarzania danych osobowych z przepisami prawa oraz udzielanie informacji i rad w zakresie obowiązków wynikających z tych przepisów. Zwłaszcza w pierwszych latach stosowania nowych przepisów inspektorzy będą odgrywać ważną rolę we wspieraniu „kultury ochrony danych” oraz pomagać w zrozumieniu i implementacji wszystkich regulacji unijnego rozporządzenia, spośród których wiele jest w naszym systemie prawa nowością.

Trudno będzie również wykonywać równolegle w wielu podmiotach zadania w zakresie punktu kontaktowego dla osób, których dane dotyczą, oraz punktu kontaktowego dla organu nadzorczego. Na mocy rozporządzenia każda osoba w każdej sprawie dotyczącej jej danych ma prawo kontaktować się z wyznaczonym dla danej organizacji inspektorem. Organ nadzorczy będzie natomiast mógł wymagać od inspektora gotowości do współpracy w związku z realizacją zadań oraz uprawnień organu w zakresie prowadzonych postępowań, a także tzw. „uprzednich konsultacji”.

Zreformowane przepisy o ochronie danych osobowych wymagają od administratorów stosowania takich rozwiązań i środków w zakresie przetwarzania oraz ochrony danych osobowych, które będą odpowiadały konkretnym potrzebom, specyfice prowadzonych przez nich procesów przetwarzania danych osobowych. Nie będzie można stosować jednej uniwersalnej matrycy do wielu różnych sytuacji, np. jednego, tego samego wzoru dokumentacji opisującej środki służące zabezpieczeniu danych. Stąd w wymaganiach co do kwalifikacji inspektorów ochrony danych podkreśla się szczegółową wiedzę na temat charakteru prowadzonych operacji przetwarzania danych, stosowanych systemów informatycznych oraz ich zabezpieczeń, a także sektora, w którym działa administrator danych.

Ponadto każda osoba pełniąca funkcję DPO musi unikać konfliktu interesów. Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. Zatem z pełnieniem funkcji inspektora wiążą się bardzo konkretne wymagania prawne i wymagań tych trzeba będzie sumiennie przestrzegać. RODO spowoduje wiec zapewne wyeliminowanie praktyki polegającej na korzystaniu przez administratorów danych z usług osób pełniących funkcję inspektora równocześnie w kilkudziesięciu różnych podmiotach. Praktyka taka będzie bowiem nie do pogodzenia z bardzo konkretnymi wymaganiami określonymi w przepisach oraz z nowym, dużo bardziej odpowiedzialnym podejściem do ochrony danych osobowych. Administratorzy danych świadomi poważnych konsekwencji nieprzestrzegania przepisów RODO, powinni zatem przykładać dużą wagę do możliwości prawidłowego i terminowego wypełniania zadań przez inspektora oraz jego faktycznej dostępności. Osoba ta musi bowiem stanowić realne, fachowe i stałe wsparcie w zakresie zapewnienia zgodności działania z przepisami o ochronie danych osobowych.

Ani przepisy RODO, ani ich interpretacje wydawane np. przez Grupę Roboczą Art. 29 w postaci wytycznych, nie dają odpowiedzi na pytanie, ile maksymalnie podmiotów będzie mógł obsługiwać jeden IOD. Stosowanie tego rozwiązania będzie mogło jednak następować jedynie w uzasadnionych przypadkach, a liczba obsługiwanych podmiotów musi się mieścić w racjonalnych granicach. Ocena tej kwestii zależna jest od wielu czynników, w tym m.in. od: efektywnej dostępności inspektora, możliwości uzyskania przez niego szczegółowej wiedzy na temat funkcjonowania podmiotu, dysponowania przez niego odpowiednią do zakresu zadań oraz specyfiki procesów przetwarzania danych ilością czasu, konieczności unikania konfliktu interesów oraz wielkości i struktury organizacyjnej jednostki będącej administratorem danych. Na powyższe pytanie konkretnie będzie można zatem odpowiedzieć jedynie w kontekście konkretnych sytuacji. Niemniej tak jak każda decyzja dotycząca przyjmowanych rozwiązań w zakresie ochrony danych osobowych, też decyzja w zakresie wyboru odpowiedniej osoby do pełnienia funkcji inspektora, musi być podejmowana z pełną świadomością ciążącej na administratorze danych odpowiedzialności za prawidłowe przestrzeganie przepisów prawa.

Art. 37 ust. 2 RODO wyraźnie przewiduje możliwość powołania jednego inspektora ochrony danych przez administratorów tworzących grupę przedsiębiorstw, np. grupę kapitałową, o ile będzie można nawiązać z nim kontakt z każdej jednostki organizacyjnej. Grupa przedsiębiorstw została zdefiniowana w przepisach rozporządzenia jako przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane. Prawodawca europejski w art. 37 ust. 2 RODO przyjął model niejako „wspólnego wyznaczenia inspektora ochrony danych” przez grupę przedsiębiorstw, ze względu na wzajemne powiązania tych przedsiębiorstw, wspólne regulacje wewnętrzne, podobne zasady oraz sposoby postępowania z danymi osobowymi.

Każde z przedsiębiorstw, wyznaczając na swojego inspektora tę samą osobę, będzie miało możliwość pozostawania jednocześnie w zgodzie nie tylko z warunkiem wskazanym w tym przepisie (łatwości nawiązania kontaktu z inspektorem), ale również ze wszystkimi innymi wymaganiami określonymi w przepisach prawa co do inspektorów ochrony danych. W takiej sytuacji możliwe będzie np. racjonalne i wspólne określenie zasad dotyczących zapewnienia takiemu inspektorowi wystarczającej ilości czasu na wypełnianie jego obowiązków, pomoc w stworzeniu planu jego pracy, a w razie potrzeby wsparcie jego funkcjonowania zespołem odpowiednich specjalistów. Inspektor obsługujący grupę podobnie funkcjonujących podmiotów ma możliwość rzetelnego poznania szczegółów ich funkcjonowania oraz obowiązujących je przepisów. Z powyższych powodów rozwiązanie przyjęte w art. 37 ust. 2 wydaje się racjonalne i uzasadnione. Można też przypuszczać, iż grupy przedsiębiorstw będą chciały z niego korzystać.

Regulacja przyjęta w tym przepisie nie oznacza jednak, że nie jest dopuszczalne wyznaczenie jednej osoby przez kilku administratorów danych poza wskazanym przypadkiem, tj. poza grupą przedsiębiorstw. Przepisy RODO nie zawierają bowiem zakazu w tym zakresie. Przedsiębiorcy niewchodzący w skład tej samej grupy przedsiębiorstw mogą powołać jednego IOD.

W każdym przypadku skorzystania z takiego rozwiązania bezwzględnym warunkiem jest jednak to, żeby ta osoba była w stanie autentycznie wypełniać swoje obowiązki wobec każdej obsługiwanej przez niego organizacji i to w sposób w pełni odpowiadający przepisom prawa oraz potrzebom konkretnego administratora danych. Analogiczne stanowisko GIODO konsekwentnie prezentował również w odniesieniu do ABI na gruncie ustawy o ochronie danych osobowych.

Rozważmy jeszcze kwestię, czy po wejściu do stosowania RODO Centrum Usług Wspólnych może powołać jednego inspektora ochrony danych dla wszystkich obsługiwanych jednostek. Centra Usług Wspólnych (CUW) są tworzone jako osobne podmioty, a domeną ich działań są najczęściej działania pomocnicze, wykonywane zarówno w odniesieniu do organów wykonawczych, jak i uchwałodawczych samorządu terytorialnego, jak też do obsługi poszczególnych jednostek organizacyjnych, np. urzędów, zakładów i jednostek budżetowych. Ostateczną decyzję, zarówno co do powołania samorządowego centrum usług wspólnych, jak i jego kształtu oraz zakresu realizowanych przez niego zadań, podejmuje organ stanowiący danej jednostki samorządu terytorialnego. CUW nie jest administratorem danych przekazanych przez jednostki obsługiwane. Może je przetwarzać w zakresie i celu niezbędnym do wykonywania zadań w ramach wspólnej obsługi tych jednostek (zgodnie z art. 10d ustawy z dnia 8 marca 1990 r. o samorządzie gminnym, art. 6d ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym i art. 8f ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa). W zależności od różnych możliwych rozwiązań stosowanych przez konkretne samorządy, CUW może być natomiast administratorem danych np. swoich pracowników.

Na gruncie ogólnego rozporządzenia o ochronie danych obowiązek wyznaczenia inspektora ochrony danych w sektorze publicznym dotyczyć będzie wszystkich  organów i podmiotów publicznych, i to zarówno tych będących administratorami danych, jak i podmiotami przetwarzającymi. Ponieważ pojęcie organu i podmiotu publicznego powinno być zdefiniowane przez każde państwo członkowskie UE na poziomie przepisów krajowych, polski ustawodawca doprecyzuje zakres tego pojęcia. Z projektu nowej ustawy o ochronie danych osobowych wynika, że przez podmioty takie należy rozumieć m.in. organy i jednostki samorządu terytorialnego. Skoro tak, to obowiązek taki dotyczyłby zarówno CUW, jak i poszczególnych podmiotów przez niego obsługiwanych.

Zarówno CUW, jak i jednostki obsługiwane mogą rozważać powołanie na swojego inspektora ochrony danych jednej, tej samej osoby. Niemniej nawet w sytuacji, gdyby miał być nim pracownik jednej z tych jednostek, np. pracownik CUW, konieczne jest osobne wyznaczenie IOD przez każdą z tych jednostek, np. każdą szkołę, dom kultury – jako osobnych administratorów. Nawet jeśli więc CUW świadczy obsługiwanym podmiotom usługi związane z szeroko rozumianą ochroną danych osobowych, nie jest uprawniony do wyznaczania inspektora ochrony danych w tych podmiotach. Obowiązek wyznaczania inspektora ochrony danych nie może być przeniesiony, np. w drodze uchwały czy porozumienia, na inną jednostkę organizacyjną, np. na CUW.

Każdy z podmiotów zobowiązanych do wyznaczenia inspektora ochrony danych (niezależnie, czy będzie to jedna, ta sama osoba, czy różne osoby) będzie również  zobowiązany - zgodnie z art. 37 ust. 7 RODO - do opublikowania danych kontaktowych inspektora i zawiadomienia o nich organu nadzorczego. Tak jak obowiązek wyznaczenia inspektora, tak i obowiązek powiadomienia o danych kontaktowych dotyczy zatem każdej jednostki samorządu terytorialnego, o której mowa w art. 37 ust. 1 lit. a RODO.

Jakie kwalifikacje musi posiadać inspektor ochrony danych?

Zgodnie z art. 37 ust. 5 RODO, inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO. Poziom wiedzy inspektora powinien być ustalany w kontekście konkretnych potrzeb administratora danych i procesora (motyw 97 RODO).

Żeby zatem móc w sposób należyty wykonywać swoje obowiązki, inspektor ochrony danych powinien wykazywać się wiedzą zarówno teoretyczną, jak też praktyczną dotyczącą ogólnego rozporządzenia o ochronie danych oraz przepisów krajowych regulujących przetwarzanie danych. Zgodnie z Wytycznymi dotyczących inspektorów danych osobowych Grupy Roboczej art. 29, inspektor ochrony danych winien posiadać odpowiednią wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych i praktyk, jak również dogłębną znajomość przepisów RODO. Zalecana jest także wiedza biznesowa oraz sektorowa dotycząca działalności administratora. DPO powinien również posiadać odpowiednią wiedzę na temat procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych. W przypadku organów i podmiotów publicznych DPO powinien też wykazywać się znajomością procedur administracyjnych i funkcjonowania jednostki.

Wymagany poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, lecz musi być współmierny do charakteru, skomplikowania oraz ilości danych przetwarzanych w ramach jednostki.

Przykład:

W przypadku wyjątkowo złożonych procesów przetwarzania danych osobowych czy w razie przetwarzania dużej ilości danych szczególnej kategorii, można wymagać wyższego poziomu wiedzy. Podobnie będzie w przypadku obsługi przez DPO podmiotów regularnie przekazujących dane do państw trzecich. W związku z tym wybór inspektora ochrony danych powinien być dokonany z zachowaniem należytej staranności i z uwzględnieniem charakteru przetwarzania danych osobowych w ramach jednostki.

Znaczenie fachowej, a przy tym stale uaktualnianej wiedzy DPO zostało podkreślone przez zobowiązanie administratorów danych i procesorów do zapewnienia inspektorowi zasobów niezbędnych do utrzymania jego wiedzy fachowej, a więc systematycznego podnoszenia poziomu jego wiedzy. Wymóg uaktualniania wiedzy oraz zapewnienia na to środków finansowych jest uzasadniony zmieniającym się ciągle stanem wiedzy technicznej, rozwojem technologicznym i postępem wielkoskalowych metod przetwarzania danych. Funkcję inspektora ochrony danych wpisane jest ciągłe kształcenie się, uwzględnianie zmian w prawie i zmian w metodach przetwarzania danych.

Administrator i podmiot przetwarzający ma obowiązek właściwego oraz bezzwłocznego włączania DPO we wszystkie sprawy dotyczące ochrony danych osobowych (art. 38 ust. 1 RODO). Administrator danych czy podmiot przetwarzający winien umożliwić inspektorowi ochrony danych czynny udział we wszystkich sprawach dotyczących procesów przetwarzania danych osobowych i na bieżąco przekazywać mu wszystkie informacje związane z wykonywaniem jego zadań. Wiedza inspektora ma więc obejmować informacje o każdej sprawie dotyczącej przetwarzania i ochrony danych osobowych w danej jednostce organizacyjnej.

Umiejętność (możliwość) wykonywania zadań ciążących na DPO powinna być interpretowana zarówno przez pryzmat cech i kwalifikacji DPO, jak też jego pozycji w strukturach podmiotu. Do cech inspektora ochrony danych, pożądanych w związku z pełnieniem tej funkcji, należy rzetelne podejście i wysoki poziom etyki zawodowej oraz priorytetowe traktowanie swoich obowiązków. Jest to szczególnie istotne w zakresie zapewnienia przestrzegania RODO, gdyż wytworzenie efektywnej polityki ochrony danych osobowych w organizacji zależy w dużej mierze od działalności DPO. 

Wymogi stawiane inspektorom ochrony danych (DPO) przez przepisy ogólnego rozporządzenia o ochronie danych (RODO) są podobne do tych stawianych dotąd ABI, lecz nie są identyczne. Zgodnie z art. 36a ust. 5 pkt 2 starej ustawy o ochronie danych osobowych, osoba powoływana na stanowisko ABI powinna posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych. RODO zaś w art. 37 ust. 5 stanowi, iż inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 ogólnego rozporządzenia.

Wymagany od inspektora poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony; jednak zgodnie z Wytycznymi dotyczącymi inspektorów ochrony danych, musi być on współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Wyższy poziom wiedzy powinien być wymagany np. w przypadku:

  • wyjątkowo skomplikowanych procesów przetwarzania,
  • przetwarzania dużej ilości danych szczególnych kategorii,
  • podmiotów regularnie przekazujących dane do państw trzecich.

Inspektor ochrony danych powinien mieć odpowiednią wiedzę z zakresu krajowych, europejskich i sektorowych przepisów, a także praktyk w zakresie ochrony danych osobowych, oraz dogłębną znajomość RODO. Jednocześnie winien posiadać odpowiednią wiedzę na temat:

  • procesów przetwarzania, systemów informatycznych oraz zabezpieczeń stosowanych u administratora,
  • sektora, w którym działa administrator,
  • procedur administracyjnych oraz funkcjonowania jednostki.

Jeżeli chodzi o osobiste cechy DPO kwalifikujące go do wykonywania tej funkcji, to są to: rzetelne podejście i wysoki poziom etyki zawodowej.

Ocena umiejętności wykonywania zadań wymaga uwzględnienia charakteru i zakresu zadań inspektora, spośród których kilka stanowi nowość w stosunku do dotychczasowych wymogów. Według przepisów RODO, inspektor będzie miał m.in. obowiązek identyfikowania poszczególnych obowiązków ciążących na mocy RODO na administratorze (w tym kierownictwie i wszystkich osobach przetwarzających dane) oraz podmiocie przetwarzającym (w tym kierownictwie i wszystkich osobach przetwarzających dane osobowe), informowania o nich oraz doradzania w zakresie tych obowiązków. Specjalnego merytorycznego przygotowania wymagać będzie udzielanie administratorowi i podmiotowi przetwarzającemu zaleceń co do oceny skutków dla ochrony danych. Nowym, ważnym zadaniem będzie obowiązek pełnienia roli punktu kontaktowego dla organu nadzorczego i punktu kontaktowego dla osób, których dane dotyczą (art. 38 ust. 4 RODO).

Grupa Robocza Art. 29 w Wytycznych dotyczących inspektorów ochrony danych (DPO) w odniesieniu do umiejętności wykonywania zadań inspektora wskazała, iż priorytetem dla niego powinno być zapewnienie przestrzegania rozporządzenia. DPO ma więc odgrywać kluczową rolę w zakresie wspierania „kultury ochrony danych” oraz pomagać w implementacji niezbędnych wymogów RODO, tzn.:

  • zasad przetwarzania danych osobowych,
  • praw osób, których dane dotyczą,
  • ochrony danych w fazie projektowania oraz domyślnej ochrony danych,
  • rejestru czynności przetwarzania,
  • wymogów bezpieczeństwa przetwarzania,
  • głaszania naruszeń.

Znaczenie fachowej wiedzy w zakresie prawa i praktyk zostało dodatkowo podkreślone przez zobowiązanie administratorów danych oraz podmiotów przetwarzających do zapewnienia inspektorowi ochrony danych zasobów niezbędnych do utrzymania wysokiego i aktualnego poziomu wiedzy (art. 38 ust. 2 RODO). Wymóg uaktualniania wiedzy i zapewnienia na to środków finansowych jest uzasadniony wobec zmieniającego się stale stanu wiedzy technicznej, rozwoju technologicznego i postępu wielkoskalowych metod przetwarzania danych. Warto, by już teraz ABI – przyszły inspektor ochrony danych korzystał z wszelkich możliwości kształcenia się, rozwijania swojego doświadczenia i umiejętności w różnych formach edukacyjnych, zaś możliwość powołania się na wskazany art. 38 ust. 2 RODO może być mu bardzo pomocna w uzyskaniu niezbędnych na to środków finansowych.

Mimo że ogólne rozporządzenie o ochronie danych bardzo mocno akcentuje wymóg wiedzy i fachowości DPO, nie reguluje zasad ani trybu weryfikacji spełnienia tego wymogu. Niemniej certyfikaty, dyplomy oraz inne dokumenty poświadczające wiedzę i doświadczenie inspektora w większości przypadków będą ważnym kryterium kwalifikacyjnym oraz argumentem przemawiającym na korzyść osoby wyznaczanej do pełnienia tej funkcji.

W jakiej formie należy zatrudnić inspektora ochrony danych?

Wedle art. 37 ust. 6 RODO, inspektorem ochrony danych może zostać zarówno pracownik administratora bądź podmiotu przetwarzającego dane, jak też osoba spoza grona pracowników tych odmiotów. Możliwe będzie zatem nadal pełnienie funkcji inspektora ochrony danych w modelu outsourcingu, na podstawie umowy o świadczenie usług.

Chociaż takze teraz funkcję ABI wykonują zarówno osoby będące pracownikami administratorów danych, jak i osoby, które zawarły z administratorem danych umowę cywilnoprawną, ustawa o ochronie danych osobowych nie zawiera obecnie przepisu wprost odnoszącego się do tego zagadnienia.

Osoba wykonująca funkcję DPO na podstawie umowy o świadczenie usług musi spełniać wszystkie wymogi stawiane przez przepisy RODO, np. warunki co do unikania konfliktu interesów, gwarancji niezależności, łatwości nawiązania z kontaktu z DPO, właściwego oraz terminowego włączania go we wszystkie sprawy dotyczące ochrony danych osobowych.

Grupa Robocza art. 29 w Wytycznych dotyczących inspektorów danych osobowych wyjaśniła, iż funkcja DPO może być też pełniona na podstawie umowy o świadczenie usług zawartej nie tylko z osobą fizyczną, ale także z innym podmiotem. W pracy zespołowej można bowiem połączyć indywidualne atuty oraz umiejętności poszczególnych osób tak, żeby zapewnić wydajniejszą obsługę administratora danych. W takiej sytucaji konieczne jest jednak, by każdy członek podmiotu sprawującego funkcję DPO spełniał wszystkie istotne wymogi wskazane w Sekcji 4 RODO, oraz miał zapewnioną, wynikającą z tych przepisów ochronę. W celu zapewnienia przejrzystości prawnej i dobrej organizacji zalecany jest również wyraźny podział zadań i wyznaczenie jednej osoby jako wiodącej osoby kontaktowej oraz osoby "odpowiedzialnej" za każdego klienta. Kwestie te winny być jasno określone w umowie o świadczenie usług.

Jakie gwarancje niezależności DPO przewidzano?

Podobnie jak dotąd obowiązująca ustawa o ochronie danych osobowych (art. 36a ust. 8 ustawy), inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora, czy nie – muszą być w stanie wykonywać swoje obowiązki oraz zadania w sposób niezależny (motyw 97 RODO). W celu zapewnienia niezależności DPO administrator bądź podmiot przetwarzający powinni wprowadzić wewnętrzne regulacje gwarantujące inspektorowi ochrony danych niezależność w wykonywaniu przez niego obowiązków i zadań. Dotyczy to podmiotów publicznych i podmiotów o złożonych strukturach, które muszą dostosować swoje regulaminy organizacyjne oraz statuty do wymogów RODO - tak żeby zapewnić niezależność DPO.

Zgodnie z Wytycznymi Grupy Roboczej art. 29 dotyczącymi inspektora ochrony danych, umiejscowienie inspektora ochrony danych w strukturze organizacyjnej danego podmiotu powinno być czytelne dla całego personelu administratora lub podmiotu przetwarzającego, w związku z czym w razie powołania DPO, administrator bądź podmiot przetwarzający powinien zawiadomić o tym fakcie pozostałych pracowników.

Dla zapewnienia niezależności inspektorowi ochrony danych RODO wprowadza kilka szczegółowych gwarancji takich jak:

  • wymóg unikania konfliktu interesów DPO;
  • bezpośrednia podległość DPO najwyższemu kierownictwu;
  • zakaz wydawania instrukcji DPO co do wykonywania przez niego zadań;
  • wspieranie DPO w wypełnianiu jego zadań;
  • zapewnienie udziału DPO we wszystkich sprawach związanych z ochroną danych osobowych;
  • zakaz odwoływania oraz karania DPO;
  • obowiązek zachowania tajemnicy i poufności co do wykonywania zadań przez DPO.

Unikanie konfliktu interesów DPO

 Zgodnie z art. 38 ust. 6 RODO, istnieje możliwość nakładania na inspektora ochrony danych innych zadań i obowiązków, lecz administrator i podmiot przetwarzający muszą zapewnić, aby nie powodowało to konfliktu interesów. Oznacza to np., iż DPO nie może zajmować w organizacji stanowiska związanego z określaniem sposobów oraz celów przetwarzania danych. Kwestie te powinny być analizowane osobno i indywidualne dla każdego podmiotu. Powierzając inspektorowi ochrony danych inne zadania, dla uniknięcia konfliktu interesów administrator danych lub podmiot przetwarzających winni w swojej organizacji zidentyfikować stanowiska niekompatybilne z pełnieniem funkcji DPO.

Co do zasady, za powodujące konflikt interesów uważane będą stanowiska kierownicze (jak np. dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu IT  kierownik działu HR czy kierownik działu marketingu), a także niższe stanowiska, o ile biorą udział w określaniu celów oraz sposobów przetwarzania danych. Poza tym konflikt interesów może powstać, kiedy zewnętrzny DPO zostanie poproszony o reprezentowanie administratora bądź podmiotu przetwarzającego przed sądem w sprawie dotyczącej ochrony danych osobowych.

Wskazane jest również opracowanie wewnętrznej polityki określającej stanowiska będące w konflikcie interesów i opracowanie generalnego dokumentu dotyczącego konfliktu interesów. Ponadto administrator bądź podmiot przetwarzający winni wprowadzić odpowiednie zabezpieczenia do wewnętrznych zasad organizacji, w celu zapewnienia, aby ogłoszenia o rekrutacji na stanowisko inspektora ochrony danych były sformułowane w jasny, precyzyjny sposób i niwelowały ryzyko powstania konfliktu interesów.

Bezpośrednia podległość DPO najwyższemu kierownictwu

Jednym ze szczegółowych rozwiązań służących niezależności DPO jest umieszczenie go w strukturze organizacyjnej administratora danych czy podmiotu przetwarzającego bezpośrednio pod najwyższym kierownictwem. Wedle art. 38 ust. 3 RODO, inspektor ochrony danych ma podlegać bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. 

Bezpośrednia podległość oznacza, iż w ramach podejmowanych przez siebie czynności inspektor ochrony danych nie może podlegać jakimkolwiek innym osobom czy jednostkom organizacyjnym wchodzącym w skład struktury administratora danych (art. 38 ust. 3 RODO). Termin "najwyższe kierownictwo" należy interpretować z uwzględnieniem formy prawnej, w jakiej działa administrator bądź podmiot przetwarzający.

Przykład:

„Najwyższym kierownictwem” danej organizacji będzie osoba lub osoby wchodzące w skład organu, które kierują jej pracami (ministrowie kierujący działami administracji rządowej, dyrektorzy szkół), albo prowadzą jej sprawy (zarząd spółki, wspólnicy spółki jawnej, właściciel jednoosobowej działalności gospodarczej).

Podległość najwyższemu kierownictwu jest jedną z gwarancji niezależnej, wysokiej pozycji inspektora ochrony danych w strukturze administratora danych, a także skraca drogę raportowania, co ma istotne znaczenie w razie konieczności podejmowania szybkich działań naprawczych w przypadku naruszenia ochrony danych osobowych.

Zakaz wydawania instrukcji DPO co do wykonywania przez niego zadań

Gwarancją niezależności inspektora ochrony danych jest obowiązujący zakaz wydawania przez administratora lub podmiotu przetwarzającego instrukcji (poleceń) dla DPO dotyczących wykonywania przez niego zadań (przewidziany w art. 38 ust. 3 RODO). Zakaz wydawania instrukcji inspektorowi ochrony danych, oznacza, iż w ramach wypełniania swoich zadań inspektor ochrony danych nie może otrzymywać poleceń dotyczących sposobu załatwienia sprawy, środków, jakie mają zostać podjęte, bądź odnośnie celu, jaki powinien zostać osiągnięty.

Administrator nie może też uniemożliwiać ani ograniczać inspektorowi ochrony danych kontaktu z organem nadzorczym. DPO nie może również zostać zobligowany do przyjęcia określonego stanowiska w sprawie z zakresu prawa ochrony danych, w tym określonej wykładni przepisów.

Niezależność DPO nie oznacza jednak, że inspektor ochrony danych posiada uprawnienia decyzyjne wykraczające poza zadania wynikające z art. 39 RODO.

W każdym razie, zgodnie z zasadą rozliczelności, za zapewnienie zgodności z przepisami o ochronie danych osobowych oraz wykazanie zgodności odpowiedzialni są administrator i podmiot przetwarzający. W razie podjęcia przez administratora lub podmiot przetwarzający decyzji niezgodnej z przepisami RODO czy zaleceniami DPO, inspektor ochrony danych winien zaś mieć możliwość jasnego przedstawienia swojego stanowiska osobom podejmującym decyzję.

Respektowanie powyższego zakazu może być szczególnie problematyczne na styku wykonywania wewnętrznego audytu różnych sfer działalności podmiotu będącego administratorem danych. Stąd ważne jest dokonanie wnikliwej analizy zakresu oraz celów poszczególnych stanowisk związanych z wewnętrznym audytem, tak żeby inne osoby wewnątrz organizacji, np. prawnicy czy audytorzy, mogli realizować swoje zadania, nie naruszając przedmiotowego zakazu.

Wspieranie DPO w wypełnianiu jego zadań

Administrator danych, jak i podmiot przetwarzający zostali zobowiązani do wspierania DPO - np. poprzez zapewnienie mu zasobów niezbędnych do wykonania tych zadań. Na gruncie dotychczasowej ustawy o ochronie danych osobowych funkcję ABI mogła pełnić osoba, która miała zapewnione środki i organizacyjną odrębność, niezbędne do niezależnego wykonywania przez niego zadań. Przy tym określenie „środki” rozumiane było szeroko, np. w sensie organizacyjnym, technicznym, infrastrukturalnym i finansowym.

Grupa Robocza art. 29 w Wytycznych dotyczących inspektora ochrony danych także opowiedziała się za szerokim rozumieniem zasobów, wskazując, iż ważne - szczególnie w przypadku DPO zatrudnionych w niepełnym wymiarze czasu pracy albo łączących obowiązki DPO z innymi zadaniami – jest zapewnienie inspektorowi ochrony danych odpowiedniej ilości czasu na wykonywanie zadań. Wystąpienie sprzecznych priorytetów skutkować mogłoby zaniedbaniem obowiązków pełnionych przez DPO. Zdaniem Grupy Roboczej art. 29, dobrą praktyką będzie wskazanie czasu, który należy poświęcić na obowiązki DPO, oszacowane czasu potrzebnego na wypełnienie tych obowiązków oraz ustalenie priorytetów DPO oraz stworzenie planu pracy DPO.

W zakresie innych form wspierania inspektora ochrony danych Grupa Robocza art. 29 wskazuje np. wsparcie kadrowe, szczególnie, gdy DPO obsługuje podmiot o szerokim spektrum działania. Ponadto zaleca się, by oficjalnie zakomunikować wszystkim pracownikom w danej organizacji, o fakcie powołania DPO i o pełnionych przez niego obowiązkach.

Zapewnienie udziału DPO we wszystkich sprawach związanych z ochroną danych osobowych

Artykuł 38 RODO zobowiązuje administratora oraz podmiot przetwarzający do zapewnienia, aby inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Norma ta ma zapobiegać próbom ograniczania inspektorowi dostępu do niezbędnych dla realizacji jego zadań informacji, a przez to sprzyja zachowaniu jego niezależności.

Istotne jest, żeby DPO był zaangażowany od najwcześniejszego etapu we wszystkie kwestie związane z przetwarzaniem danych osobowych, gdyż ułatwi to zapewnienie zgodności z RODO oraz uwzględnianie ochrony danych w fazie projektowania. Przepisy RODO w określonych przypadkach wprost nakazują administratorowi angażowanie DPO w podejmowanie określonych czynności lub decyzji, np. nakazują administratorowi konsultowanie się z DPO przy dokonywaniu oceny skutków. W związku z tym angażowanie inspektora ochrony danych we wszelkie kwestie związane z ich przetwarzaniem winno być standardową procedurą w organizacji.

Inspektor ochrony danych powinien być postrzegany jako partner w dyskusji i powinien być włączany w prace grup roboczych poświęconych procesom związanym z przetwarzaniem danych osobowych w ramach organizacji. Należy zapewnić mu np.: udział w spotkaniach przedstawicieli wyższego oraz średniego szczebla organizacji, uczestnictwo przy podejmowaniu kluczowych decyzji dotyczących przetwarzania danych osobowych (z odpowiednio wcześniejszym udostępnieniem DPO informacji umożliwiających zajęcie mu stanowiska), natychmiastowe konsultowanie w razie stwierdzenia naruszenia czy innego zdarzenia związanego z danymi osobowymi. Warto też, by administrator lub podmiot przetwarzający określił inne przypadki, które wymagają konsultacji z DPO.

Stanowisko inspektora ochrony danych powinno być zawsze brane pod uwagę przez kierownictwo, jak i pracowników danego podmiotu. Grupa Robocza art. 29 zaleca, by w ramach dobrych praktyk, dokumentować przypadki i powody postępowania niezgodnego z zaleceniem DPO. 

Zakaz odwoływania oraz karania DPO

Zachowaniu niezależności przez inspektora ochrony danych służy też art. 36 ust 3 RODO. Stanowi on, że administrator lub podmiot przetwarzający nie może odwołać ani karać DPO za wypełnianie przez niego zadań. Oczywiście przepis ten należy dotyczy przypadków obiektywnie prawidłowego wykonywania zadań przez DPO. Nie chroni on inspektora, który nie wywiązuje się należycie ze swoich zadań. Jest to jedyny przepis w RODO dotyczący odwołania DPO.

Wytyczne Grupy Roboczej art. 29 dotyczące inspektora ochrony danych wskazują, że inspektor nie może zostać odwołany ani ukarany za udzielenie określonego zalecenia, nawet jeżeli jest ono niezgodne ze stanowiskiem reprezentowanym przez administratora lub podmiot przetwarzający. Chodzi tu o kary w różnych formach, bezpośrednie albo pośrednie, jak np. brak albo opóźnienie awansu, utrudnienie rozwoju zawodowego, ograniczenie dostępu do korzyści oferowanych pozostałym pracownikom. Zakaz odwoływania inspektora ochrony danych nie oznacza natomiast, że DPO nie może zostać odwołany w uzasadnionych sytuacjach, z przyczyn innych niż wykonywanie swoich obowiązków (np. z powodu kradzieży). Grupa Robocza art. 29 zaleca stosowanie polityki, że im stabilniejsza podstawa zatrudnienia oraz szerszy zakres ochrony inspektora ochrony danych przed odwołaniem, tym większa szansa na wykonywanie przez DPO zadań w sposób niezależny.

Obowiązek zachowania tajemnicy i poufności co do wykonywania zadań przez DPO

Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy i poufności co do wykonywania swoich zadań, zgodnie z prawem Unii lub państwa członkowskiego (art. 38 ust. 5 RODO). Obowiązująca dotychczas ustawa o ochronie danych osobowych w art. 39 ust. 2 stanowiła, iż osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Przepis ten odnosił się również do pełniącego swoje obowiązki i upoważnionego do przetwarzania danych osobowych administratora bezpieczeństwa informacji.

DPO, w związku z wykonywaniem swoich zadań, może on mieć dostęp do danych osobowych, w tym danych osobowych, o których mowa w art. 9 ust. 1 RODO (czyli tzw. danych wrażliwych) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO, jak też do informacji dotyczących środków technicznych i organizacyjnych zapewniających przetwarzanie zgodne z przepisami RODO, w tym polityk ochrony danych.

Inspektor ochrony danych będzie również zobowiązany do przestrzegania wszystkich przepisów prawa krajowego i unijnego, które będą miały do niego zastosowanie i na mocy których, określone informacje objęte są prawnie chronionymi tajemnicami.

Zobowiązanie inspektora ochrony danych do przestrzegania tajemnicy jest w pełni uzasadnione i służyć będzie nie tylko bezpieczeństwu danych osobowych, ale też wzmocnieniu zaufania do inspektorów ze strony administratorów danych i podmiotów przetwarzających.

W Wytycznych dotyczących inspektora ochrony danych Grupa Robocza art. 29 podkreśla, że obowiązek zachowania tajemnicy oraz poufności nie uniemożliwia DPO kontaktu z organem nadzorczym i zasięgania jego opinii.

Co należy do zadań inspektora ochrony danych?

Zadania inspektora ochrony danych w RODO zostały sformułowane w sposób ogólny, bez wskazania trybu czy terminów ich realizacji. Jest to istotna różnica w stosunku do tego, co dotąd przewidywała polska ustawa o ochronie danych osobowych oraz akty do niej wykonawcze w zakresie zadań ABI.

Taki sposób ujęcia obowiązków inspektora wynika z nowego podejścia do ochrony danych osobowych opartego na analizie ryzyka oraz zasadzie rozliczalności, zapisanej w art. 5 ust. 2 RODO. Wyznaczenie inspektorowi ochrony danych roli doradczej i weryfikacyjnej wobec działań administratora danych czy podmiotu przetwarzającego (oraz ich pracowników) sprawia, że zarówno zadania DPO, jak też sposób ich realizacji są powiązane nie tylko z obowiązkami administratorów danych lub podmiotów przetwarzających, ale też z nowym sposobem podejścia do ich realizacji.

Na podstawie art. 24 RODO administratorzy i podmioty przetwarzające są zobowiązani uwzględniać: charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, i odpowiednio do nich - dobierać i wdrażać środki techniczne i organizacyjne, tak aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te powinny być w razie potrzeby poddawane przeglądom i uaktualniane. Poza tym zarówno przy określaniu ilości zbieranych danych osobowych, jak też zakresu ich przetwarzania, okresu przechowywania, dostępności oraz sposobów przetwarzania, konieczne jest stosowanie mechanizmów takich jak zapewnienie ochrony danych osobowych na etapie projektowania oraz domyślnej ochrony danych („privacy by design” oraz „privacy by default”), tak przed przystąpieniem do przetwarzania danych, jak i w czasie prowadzonego przetwarzania (art. 25 RODO).

Przepis dotyczący zadań inspektora ochrony danych (art. 39 ust. 2 RODO) wyraźnie wskazuje na konieczność dostosowania trybu i metod pracy do specyfiki przetwarzania danych oraz związanego z tym przetwarzaniem ryzyka. Inspektor ma wypełniać swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. Chodzi tu o ogólną, zdroworozsądkową zasadę, którą DPO może odnieść do wielu aspektów swojej codziennej pracy. Wypełnianie zadań „z należytym uwzględnieniem ryzyka” wymaga od DPO ustalania priorytetów w swojej pracy oraz koncentrowania się na aspektach pociągających za sobą większe ryzyko.

Według Grupy Roboczej Art. 29, takie podejście powinno ułatwić DPO doradzenie administratorowi m.in.:

  • które obszary powinny zostać poddane wewnętrznemu albo zewnętrznemu audytowi,
  • jakie szkolenia dla pracowników lub kierowników odpowiedzialnych za przetwarzanie danych należy przeprowadzić,
  • na które operacje przetwarzania należy przeznaczyć więcej czasu i zasobów.

DPO, wykonując swoje zadania (art. 39 ust. 2), winien więc stosować rozwiązania dostosowane do potrzeb podmiotów, w których pełni swoją funkcję, a także cech konkretnego przetwarzania danych i związanego z tym przetwarzaniem ryzyka. Konieczność realizacji obowiązków w powyższy sposób w konsekwencji ma prowadzić do skuteczniejszej ochrony danych.

Zakres zadań inspektora ochrony danych zawiera art. 39 ust. 1 RODO. Wyliczenie zawarte w tym przepisie nie jest jednak katalogiem zamkniętym, gdyż obowiązki inspektora ochrony danych można wywodzić też innych przepisów RODO (np. z art. 38 ust. 4 RODO - pełnienie roli punktu kontaktowego, dla osób, których dane dotyczą). W Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów danych osobowych do zadań DPO zaliczono także prowadzenie rejestru czynności i kategorii czynności, o których mowa w art. 30 RODO.

Do zadań inspektora ochrony danych należy więc m.in.:

  1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
  2. monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
  3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
  4. współpraca z organem nadzorczym;
  5. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;
  6. pełnienie roli punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy tego rozporządzenia;
  7. prowadzenie rejestru czynności lub rejestru kategorii czynności.

Informowanie oraz doradzanie administratorowi i podmiotowi przetwarzającemu oraz ich pracownikom w zakresie ich obowiązków, jak i monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych - oznaczają, że DPO ma przede wszystkim pełnić doradczą i weryfikacyjną rolę wobec działań i decyzji administratorów danychi podmiotów przetwarzających dane. Podmiotem, który faktycznie podejmuje decyzje i odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiedni stopień bezpieczeństwa oraz wykazanie, że przetwarzanie odbywa się zgodnie z przepisami ochrony danych osobowych, jest administrator danych lub  podmiot przetwarzający. DPO występuje natomiast niejako w potrójnej roli: wskazuje obowiązki, doradza co do sposobu ich wykonania, a następnie ocenia poprawność wykonania tych obowiązków.

Niewątpliwie prawidłowe wykonywanie powyższego zadania przez DPO bezpośrednio przekłada się na podejmowanie przez administratorów oraz podmioty przetwarzające świadomych i właściwych decyzji.

Ponieważ RODO wprowadza szereg nowych praw podmiotów danych oraz obowiązków administratorów (np. prawo do byciazapomnianym, prawo do przenoszenia danych, uwzględnianie ochrony danych w fazie projektowania, domyślną ochronę danych, konieczność zgłaszania naruszeń ochrony danych osobowych) należy spodziewać się, że zwłaszcza w pierwszych latach stosowania RODO niezbędne będzie duże zaangażowanie DPO w edukowanie innych osób. Żeby kompetentnie edukować i doradzać innym, DPO musi być do tego dobrze przygotowany merytorycznie, musi sam bardzo dobrze znać obowiązki administratorów oraz podmiotów przetwarzających, jak i związane z nimi uprawnienia podmiotów danych. Konieczne jest posiadanie przez niego rzetelnej wiedzy, zarówno teoretycznej (w zakresie przepisów prawa unijnych, krajowych, sektorowych związanych z działalnością obsługiwanego administratora danych lub podmiotu przetwarzającego oraz ich regulacji wewnętrznych), jak też praktycznej w zakresie właściwego stosowania tych przepisów, przekładania ich na sprawdzone rozwiązania, procedury i środki służące ochronie danych. Przygotowanie DPO winno obejmować także stale uaktualnianą wiedzę na temat m.in. metod przetwarzania danych, systemów informatycznych i zabezpieczeń danych osobowych.

Dbanie o edukację osób podejmujących działania i decyzje w zakresie ochrony danych osobowych jest działaniem ciągłym i powtarzalnym, wymagającym umiejętności interpersonalnych oraz dydaktycznych. Z pewnością możliwe będzie wykorzystywanie na tym polu dotychczasowych doświadczeń obecnych ABI w zakresie zapewniania zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Monitorowanie przestrzegania przepisów ogólnego rozporządzenia o ochronie danych, pozostałych przepisów unijnych oraz krajowych przepisów odnoszących się do ochrony danych, polityk administratora lub podmiotu przetwarzającego w zakresie ochrony danych osobowych, polega na prowadzeniu ciągłego bieżącego nadzoru, w czym pomocne mają być ww. instrumenty, tzn.: polityki w dziedzinie ochrony danych, podział obowiązków i audyty, działania zwiększające świadomość personelu uczestniczącego w operacjach przetwarzania i szkolenia.

Grupa Robocza art. 29 w Wytycznych dotyczących inspektorów ochrony danych wskazała m.in. następujące działania DPO w ramach sprawowania przez niego stałego bieżącego nadzoru przestrzegania przepisów ogólnego rozporządzenia o ochronie danych, pozostałych przepisów unijnych oraz krajowych przepisów odnoszących się do ochrony danych, polityk administratora lub podmiotu przetwarzającego w zakresie ochrony danych osobowych:

  • zbieranie informacji w celu identyfikacji procesów przetwarzania;
  • analizowanie i sprawdzanie zgodności przetwarzania;
  • informowanie, doradzanie i rekomendowanie określonych działań.

Audyty i inne działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania, są bardzo ważną częścią zadań DPO. Sformułowanie „działania” świadczy o tym, że aktywność inspektora ochrony danych w tym zakresie nie powinna mieć charakteru jednorazowego, a charakter ciągły i długofalowy. Wykonując ten obowiązek, inspektor ochrony danych powinien dostosować sposób oraz rodzaj przekazywanych informacji do grupy docelowej, tak żeby zadanie to było realizowane w sposób efektywny i skuteczny. W wykonywaniu tego obowiązku administrator lub podmiot przetwarzający powinni wspierać inspektora ochrony danych, np. zapewniając mu odpowiednie zasoby oraz zobowiązując swoich pracowników do udziału w ww. szkoleniach.

Dotąd zadaniem ABI było zapewnianie przestrzegania przepisów o ochronie danych osobowych, czemu służyć ma m.in.: przeprowadzanie sprawdzeń i sporządzanie sprawozdań dla administratora danych oraz nadzorowanie dokumentacji w postaci Polityki bezpieczeństwa informacji i Instrukcji zarządzania systemem informatycznym oraz przestrzegania zasad w nich określonych. Szczegółowe wymagania dotyczące zarówno trybu i terminów wykonywania sprawdzeń, jak też zawartości dokumentacji przetwarzania danych osobowych określały rozporządzenia wykonawcze do ustawy o ochronie danych osobowych. W pewnym zakresie odpowiednikiem tego zadania po 25 maja 2018 r. będzie wskazane monitorowanie przez inspektorów ochrony danych osobowych przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz wewnętrznych polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych (art. 39 ust. 1 pkt b RODO). Powołany przepis wskazuje kilka przykładów działań wspomagających monitorowanie, takich jak przeprowadzane przez inspektora audyty, które powinny być powiązane z wewnętrznym podziałem obowiązków w organizacji, działaniami zwiększającymi świadomość oraz szkoleniami personelu uczestniczącego w operacjach przetwarzania. Przepisy RODO nie wskazują natomiast trybu i terminów realizacji tych obowiązków, gdyż te kwestie musi samodzielnie rozstrzygnąć inspektor ochrony danych. Jest to istotna różnica w stosunku do tego, co dotąd przewidywała ustawa o ochronie danych osobowych oraz akty wykonawcze do niej odnoszące się do zadań ABI. Różnica ta wynika z nowego podejścia do ochrony danych osobowych opartego na analizie ryzyka i zasadzie rozliczalności, zapisanej w art. 5 ust. 2 RODO.

Grupa Robocza Art. 29 w Wytycznych dotyczących inspektorów ochrony danych osobowych wskazała, że w ramach monitorowania IOD może podejmować wiele działań (m.in. zbierać informacje w celu identyfikacji procesów przetwarzania, analizować i sprawdzać zgodność tego przetwarzania, informować, doradzać i rekomendować określone działania administratorowi albo podmiotowi przetwarzającemu). Ich celem jest dostarczanie administratorowi i podmiotowi przetwarzającemu wyczerpujących informacji o procesach przetwarzania danych w zakresie zgodności z przepisami prawa, a zatem również analizy zebranych informacji w postaci wniosków i zaleceń. Na ich podstawie powinny być podejmowane przez administratora bądź podmiot przetwarzający decyzje i działania mające na celu zgodne z prawem przetwarzanie danych osobowych.

Według art. 35 RODO, jeżeli dany rodzaj przetwarzania, w szczególności z użyciem nowych technologii ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Artykuł ten nakłada obowiązek na administratora konsultowania się przy dokonywaniu oceny z inspektorem ochrony danych, jeżeli został on wyznaczony. Po stronie inspektora ochrony danych odpowiada mu obowiązek DPO przedstawienia administratorowi opinii w tym zakresie oraz monitorowania wykonania zaleceń (art. 39 ust. 1 lit. c RODO)

RODO określa, kiedy i jak należy dokonywać oceny skutków dla ochrony danych, natomiast  nie zawiera konkretnych wskazówek, w jaki sposób oceny takiej należałoby dokonać. jak wskazują Wytyczne Grupy Roboczej art. 29, administrator, dokonując takiej oceny, powinien konsultować się z DPO w następujących kwestiach:

  • czy należy przeprowadzić ocenę skutków dla ochrony danych, metodologii przeprowadzenia oceny skutków dla ochrony danych,
  • czy należy przeprowadzić wewnętrzną ocenę czy też zlecić ją podmiotowi zewnętrznemu,
  • zabezpieczeń (w tym środków technicznych i organizacyjnych) stosowanych do łagodzenia wszelkich zagrożeń praw i interesów osób, których dane dotyczą,
  • prawidłowości przeprowadzonej oceny skutków dla ochrony danych i zgodności jej wyników z RODO (czy należy kontynuować przetwarzanie, czy też nie oraz jakie zabezpieczenia należy zastosować).

Jeżeli administrator nie zgadza się z zaleceniami DPO w wyżej wymienionych kwestiach, to dokumentacja oceny skutków dla ochrony danych powinna zawierać pisemne uzasadnienie nieuwzględnienia zaleceń DPO. Grupa Robocza art. 29 razi też, aby administrator jasno, np. w umowie z DPO i w informacjach przekazywanych pracownikom, kierownikom i innym zainteresowanym, wskazał zakres obowiązków DPO w danej organizacji, w szczególności w odniesieniu do przeprowadzania oceny skutków dla ochrony danych.

Reforma ochrony danych zakłada nowy, bardziej efektywny system monitorowania zgodności przetwarzania danych z RODO. W celu skonsolidowania tego systemu i zapewnienia jego efektywności w katalogu zadań inspektorów ochrony danych wyraźnie zapisano obowiązek współpracy z organem nadzorczym, a w art. 57 RODO - obowiązek wypełniania przez organ nadzorczy zadań na rzecz np. inspektora ochrony danych. Współpracę między DPO a organem nadzorczym należy rozumieć jako działanie dwukierunkowe oraz jako działanie we wspólnych celach i obszarach. Tzn., że pojęcie to obejmuje, z jednej strony, np. monitorowanie i egzekwowanie stosowania RODO, upowszechnianie wśród administratorów i podmiotów przetwarzających wiedzy o obowiązkach spoczywających na nich na mocy RODO, udzielanie osobie, której dane dotyczą, na jej żądanie, informacji o wykonywaniu praw przysługujących jej na mocy RODO, monitorowanie zmian w dziedzinach nauki (o ile zmiany te mają wpływ na ochronę danych osobowych), w szczególności monitorowanie rozwoju technologii informacyjno-komunikacyjnych i praktyk handlowych oraz udzielanie zaleceń administratorowi w zakresie oceny skutków. Inspektor ochrony danych, jako profesjonalista i osoba odpowiedzialna w danym podmiocie za monitorowanie przestrzegania przepisów RODO, dysponuje często najszerszą wiedzą na temat przetwarzania danych przez dany podmiot. Jego pomoc może być więc nieoceniona w wielu przypadkach związanych z realizacją zadań organu nadzorczego. Z drugiej strony, organ nadzorczy winien wspierać inspektorów ochrony danych swoimi działaniami, tzn. szeroko rozumianymi działaniami edukacyjnymi (jak np. szkolenia, debaty, konferencje naukowe), legislacyjnymi i konsultacyjnymi.

Inspektor ochrony danych ma obowiązek pełnienia roli punktu kontaktowego dla organu nadzorczego. Jeśli więc organ nadzorczy zwróci się do inspektora ochrony danych o udzielenie mu informacji w określonych przypadkach, to DPO winien się z tego obowiązku należycie wywiązać.

Jednym z przykładów w tym zakresie może być art. 33 RODO, zgodnie z którym, w razie zgłoszenia naruszenia ochrony danych przez administratora organowi nadzorczemu, administrator jest zobowiązany do podania danych kontaktowych DPO w celu uzyskania przez organ wszelkich ważnych w tej sprawie informacji. Przepis ten zobowiązuje jednocześnie inspektora ochrony danych do współpracy i przekazywania wszelkich niezbędnych informacji organowi nadzorczemu.

Kolejnym przepisem, z którego może wynikać obowiązek pełnienia funkcji punktu kontaktowego przez DPO dla organu nadzorczego jest art. 36 RODO. Według art. 35 RODO, na administratora danych nałożony jest obowiązek dokonywania oceny skutków dla ochrony danych oraz konsultowania się w tej sprawie z powołanym DPO. Ponadto, kiedy zmienia się ryzyko wynikające z operacji przetwarzania, administrator powinien dokonać przeglądu, aby stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych. Jeśli ocena ta wykaże, iż przetwarzanie może powodować wysokie ryzyko przy braku zastosowania przez administratora środków dla zminimalizowania tego ryzyka, to zgodnie z art. 36 RODO administrator konsultuje się w tej sprawie z organem nadzorczym. DPO, jako doradca administratora, winien w tej sprawie ściśle współpracować z organem nadzorczym, przedstawiając wszystkie istotne informacje, mogące mieć wpływ na treść przyszłego zalecenia. 

Zgodnie z Wytycznymi Grupy Roboczej art. 29, powołany inspektor ochrony danych winien, komunikować się w języku używanym przez organ nadzorczy. Jest to istotne, gdyż przepisy RODO umożliwiają sprawowanie funkcji DPO przez obcokrajowca, niemniej w celu wykonywania nałożonych zadań, osoba ta musi być w stanie porozumiewać się z organem nadzorczym.

Osoby, których dane dotyczą, zgodnie z art. 38 ust. 4 RODO, muszą mieć możliwość skontaktowania się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy tego rozporządzenia. Na stronie internetowej administratora lub podmiotu przetwarzającego powinny więc znaleźć się dane kontaktowe inspektora ochrony danych, umożliwiające kontakt z nim zainteresowanym podmiotom. W dużej organizacji, ilość pytań wpływających do inspektora ochrony danych może być tak duża, że mogłoby to powodować trudności w wykonywaniu przez niego innych zadań. Pożądane jest w takiej sytuacji wyznaczenie pracowników bądź powołanie zespołu osób, które wspierałyby inspektora ochrony danych w zakresie wykonywania tego zadania.

Ważną zmianą, jaką wprowadza RODO, jest odejście od obowiązku zawartego w Dyrektywie 95/46/WE, tzn. obowiązku notyfikacji procesów zautomatyzowanego przetwarzania danych organowi nadzorczemu. Uzasadnieniem rezygnacji z tego rozwiązania, jest to, że obowiązek ten powoduje duże obciążenia administracyjne i finansowe oraz nie zawsze przyczynia się do poprawy ochrony danych osobowych (motyw 89 RODO). Powyższe nie oznacza jednak, iż instytucja rejestru nie będzie w dalszym ciągu wykorzystywana jako pomocna w ewidencjonowaniu przetwarzanych danych osobowych. Art. 30 ust. 1 i 2 RODO nakłada obowiązek prowadzenia wewnętrznego rejestru czynności przetwarzania danych osobowych, za które odpowiada administrator danych (obowiązek administratora danych) i rejestru kategorii czynności przetwarzania danych dokonywanych w imieniu administratora (obowiązek podmiotu przetwarzającego). Z wskazanego przepisu wynika, iż obowiązki powyższe są obowiązkami administratora oraz podmiotu przetwarzającego, co podkreśliła też Grupa Robocza Art. 29 w Wytycznych dotyczących inspektorów ochrony danych. W praktyce często to DPO będzie tworzył i prowadził powyższe rejestry w oparciu o dane otrzymane od pozostałych komórek organizacji. Taka procedura została ustalona na mocy wielu obowiązujących przepisów państw członkowskich UE oraz przepisów o ochronie danych osobowych mających zastosowanie do instytucji i organów UE. 

W rejestrach prowadzonych na podstawie RODO będą zamieszczanenastępujące dane: 

Lp.

Zawartość rejestru czynności przetwarzania prowadzonego przez administratora danych

Zawartość rejestru czynności przetwarzania prowadzonego przez podmiot przetwarzający

1.

imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz DPO

imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz DPO

2.

cele przetwarzania

3.

opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych

kategorie przetwarzań dokonywanych w imieniu każdego z administratorów

4.

kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych

5.

gdy ma to zastosowanie – informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń

gdy ma to zastosowanie – informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń

6.

jeżeli jest to możliwe – planowane terminy usunięcia poszczególnych kategorii danych

7.

jeżeli jest to możliwe – ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO

jeżeli jest to możliwe – ogólny opis technicznych i organizacyjnych środków bezpieczeństwa , o których mowa w art. 32 ust. 1 RODO

Pojęcie „czynności przetwarzania” i „kategorii czynności przetwarzania” nie zostało doprecyzowanie w przepisach RODO. Biorąc jednak pod uwagę podobieństwo elementów tych rejestrów do elementów zgłoszenia zbioru do rejestracji oraz lokalnego zbioru danych osobowych prowadzonego przez ABI na podstawie dotychczasowej ustawy o ochronie danych osobowych i aktów wykonawczych do tej ustawy, uznać należy, iż przez "rejestrowanie czynności przetwarzania danych" można rozumieć klasyfikowanie przetwarzanych danych ze względu m.in. na: zakres przetwarzanych danych, cele przetwarzania, kategorie osób, których dane dotyczą oraz jeżeli jest to możliwe - środki bezpieczeństwa.

Celem tego obowiązku jest - jak wskazuje motyw 82 RODO - zachowanie zgodności z niniejszym rozporządzeniem. Z uwagi na swoją zawartość, rejestry mogą być pomocnym narzędziem w stosowaniu zasady rozliczalności, zapewnianiu przestrzegania RODO oraz prowadzeniu prawidłowej polityki w zakresie ochrony danych. Ponadto rejestry te mają ułatwiać organowi nadzorczemu efektywne wypełnianie jego obowiązków kontrolnych (art. 30 ust. 4 w zw. z art. 31 RODO – każdy administrator i każdy podmiot przetwarzający zobowiązani są współpracować z organem nadzorczym i na jego żądanie udostępniać mu rejestry w celu monitorowania operacji przetwarzania). Rejestr powinien być prowadzony w formie pisemnej, w tym formie elektronicznej (art. 30 ust. 3 RODO).

Prowadzenie wspomnianych rejestrów nie będzie jednak obowiązkiem powszechnym. Zgodnie z art. 30 ust. 5 RODO, z obowiązku prowadzenia powyższych rejestrów zwolniono przedsiębiorców lub podmioty zatrudniające mniej niż 250 pracowników, jeżeli przetwarzanie przez nie danych nie powoduje ryzyka naruszenia praw lub wolności osób, których dane dotyczą, ma sporadyczny charakter i nie obejmuje szczególnych kategorii danych osobowych ani danych dotyczących wyroków skazujących i naruszeń prawa.

Prowadzenie ww. rejestrów nie wyklucza możliwości prowadzenia także innych (np. bardziej szczegółowych) ewidencji przetwarzanych danych, jeżeli wynika to z analizy ryzyka oraz konkretnych potrzeb administratora danych czy podmiotu przetwarzającego.

Powiadomienie o danych kontaktowych inspektora

Według przepisów RODO, nie ma obowiązku rejestracji inspektora ochrony danych w organie nadzorczym, a samo powołanie takiej osoby przez administratora lub podmiot przetwarzający będzie wystarczające dla przyjęcia wszelkich skutków, jakie z tym faktem wiąże rozporządzenie o ochronie danych.

RODO przewiduje natomiast obowiązek publikowania danych kontaktowych inspektora ochrony danych oraz poinformowania o jego powołaniu i przekazanie odpowiednich danych kontaktowych DPO organowi nadzorczemu.

Grupa Robocza art. 29 w Wytycznych dotyczących inspektorów danych osobowych wyjaśniła, iż celem tego obowiązku jest zapewnienie, by osoby, których dane dotyczą (zarówno wewnątrz, jak i spoza organizacji) oraz organy nadzorcze mogły mieć łatwy, bezpośredni oraz poufny kontakt z DPO, bez konieczności kontaktowania się z innymi jednostkami podmiotu. Dane kontaktowe DPO powinny zawierać informacje umożliwiające osobom, których dane dotyczą, i organom nadzorczym nawiązanie kontaktu w łatwy sposób (adres korespondencyjny, telefon kontaktowy, dedykowany adres email). Gdy to potrzebne, winny również zostać udostępnione inne środki komunikacji dla ogółu społeczeństwa, jak np. dedykowania infolinia, formularz kontaktowy z DPO na stronie internetowej danego podmiotu. W opinii Grupy Roboczej art. 29, chociaż art. 37 ust. 7 RODO nie wymaga publikowania (podawania do powszechnej wiadomości) imienia i nazwiska DPO, to taka informacja powinna zostać wskazana w ramach dobrej praktyki. Decyzja o tym, czy w określonych okolicznościach udostępnienie tych danych może być konieczne lub pomocne, należy do administratora i DPO.

Dlaczego administrator danych lub podmiot przetwarzający powinien unikać naruszenia przepisów odnoszących się do inspektora ochrony danych?

Stosownie do art. 83 ust. 4 lit. a RODO, naruszenia przepisów bezpośrednio odnoszących się do inspektorów ochrony danych (art. 37–39 RODO) podlegają administracyjnej karze pieniężnej do 10 mln euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Karami administracyjnymi obwarowane są więc zarówno poszczególne obowiązki administratorów danych oraz podmiotów przetwarzających dotyczące wyznaczania inspektora ochrony danych i zapewnienia mu określonych warunków wykonywania funkcji, jak i wykonywanie zadań przez inspektorów ochrony danych. Organ nadzorczy, nakładając karę finansową, będzie brał pod uwagę m.in. charakter oraz wagę naruszenia, a także skutki dla ochrony praw i wolności osób, których dane dotyczą.

Pamiętaj, że:

  • Twoja firma/organizacja, bez względu na to, czy jest administratorem, czy podmiotem przetwarzającym, powinna wyznaczyć IOD, jeśli jej główna działalność obejmuje przetwarzanie danych wrażliwych na dużą skalę lub regularne i systematyczne monitorowanie osób na dużą skalę. W takim przypadku monitorowanie zachowań osób oznacza między innymi wszelkie formy obserwowania i profilowania w internecie, także dla celów reklamy behawioralnej.
  • Organy administracji publicznej mają zawsze obowiązek wyznaczenia IOD (z wyjątkiem sądów w ramach sprawowania wymiaru sprawiedliwości).
  • Inspektor ochrony danych może być członkiem personelu organizacji lub wykonywać zadania na podstawie umowy o świadczenie usług. Inspektorem może być zarówno osoba fizyczna, jak i organizacja.

 

Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.

  

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1).

A.J.
Zespół e-prawnik.pl

Skomentuj artykuł - Twoje zdanie jest ważne

Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?


Masz inne pytanie do prawnika?

 

Komentarze

    Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!

Potrzebujesz pomocy prawnej?

Zapytaj prawnika