Inspektor Ochrony Danych. Czy warto go powołać?

Biuro DLS

Od 25 maja 2018 roku w całej Unii Europejskiej zaczęto stosować ogólne rozporządzenie o ochronie danych osobowych (RODO). W istotny sposób zmienia ono obowiązki Administratorów Danych Osobowych (ADO) oraz podmiotów, którym powierzono przetwarzanie takich danych. Warto jednak pamiętać, że RODO przewiduje możliwość powołania osoby, która będzie wspierać organizację w zakresie zgodności jej działań z przepisami o ochronie danych. Taką funkcję pełni osoba na stanowisku Inspektora Ochrony Danych (IOD). Jeżeli jeszcze nie powołałeś IOD, to czas najwyższy zapoznać się z korzyściami płynącymi z obsadzenia tego stanowiska w Twoim przedsiębiorstwie.

Instytucja Inspektora Ochrony Danych jest już de facto znana w polskim obrocie prawnym. Pod rządami ustawy o ochronie danych osobowych funkcjonowała pod nazwą Administrator Bezpieczeństwa Informacji (ABI). Można pokusić się o stwierdzenie, że IOD jest niejako „następcą” ABI-ego. Należy jednak zwrócić uwagę na fakt, że w nowym systemie prawnym pozycja IOD znacznie wzrosła, co najwyraźniej przejawia się w rozszerzonych uprawnieniach i obowiązkach inspektora w porównaniu do ABI-ego. Pojawia się więc pytanie – jak funkcjonuje IOD pod reżimem RODO i czy będzie on przydatny w Twojej organizacji?

Jakie podmioty są zobowiązane do powołania IOD?

Co do zasady stworzenie stanowiska Inspektora Ochrony Danych jest uprawnieniem organizacji. Jednakże w niektórych przypadkach powołanie IOD jest obowiązkowe. Zobligowane do tego są przede wszystkim podmioty publiczne, ale także jednostki działające w sektorze prywatnym, które realizują zadania publiczne, np.: urzędy centralne, jednostki samorządu terytorialnego oraz samorządy zawodowe. Do grona podmiotów zobowiązanych do powołania IOD zaliczyć można również podmioty prywatne, które na dużą skalę przetwarzają dane osobowe. Do tej grupy należy zaliczyć organizacje, które dokonują operacji regularnego i systematycznego monitorowania osób (np.: podmioty zajmujące się tworzeniem reklam behawioralnych) oraz te podmioty, które na dużą skalę przetwarzają dane osobowe szczególnych kategorii, zwłaszcza informacje dotyczących wyroków i naruszeń prawa (np. niepubliczne zakłady opieki zdrowotnej).

Inspektor posiada szeroki zakres obowiązków

IOD ma za zadanie wspierać organizację w dostosowywaniu i przestrzeganiu RODO poprzez realizację powierzonych mu zadań. Powołanie IOD realnie wpływa na poziom bezpieczeństwa danych osobowych w organizacji. Obowiązki inspektora znajdują się głównie w art. 39 unijnego rozporządzenia. Można je podzielić na zadania o charakterze:

  1. informacyjno – doradczym;
  2. nadzorczym;
  3. komunikacyjnych

Zadania o charakterze informacyjno – doradczym

Należy tu wymienić przede wszystkim informowanie o obowiązkach wynikających z RODO oraz innych przepisów unijnych i krajowych, dotyczących ochrony danych osobowych. Związany jest z tym również obowiązek doradzania w tym zakresie ADO. Ponadto IOD jest zobowiązany do realizacji zadań o charakterze informacyjno – doradczym nie tylko wobec osób reprezentujących organizację, ale także w stosunku do osób zatrudnionych przy przetwarzaniu danych osobowych. Najczęściej może to być dokonywane za pomocą szkoleń czy to stacjonarnych czy e-learningowych.

Zadania o charakterze nadzorczym

Zgodnie z art. 39 ust. 1 lit. b RODO IOD ma za zadanie nadzorować także realizację przepisów dotyczących RODO w Twoim przedsiębiorstwie. Działalność ta odbywa się poprzez monitorowanie sytuacji wewnątrz organizacji oraz ocenę przyjętych przez nią polityk w zakresie ochrony danych osobowych. Co do zasady obowiązek ten realizowany jest w formie audytu.

Zadania o charakterze komunikacyjnym

W tym obszarze do obowiązków IOD należy:

  • współpraca z organem nadzorczym oraz
  • pełnienie przez IOD funkcji punktu kontaktowego.

Współpraca z organem nadzorczym będzie najczęściej przejawiać się poprzez współpracę w prowadzeniu postępowań administracyjnych, w szczególności związanych z:

  • naruszeniem ochrony danych,
  • rozpatrywaniem skarg podmiotów danych a także
  • uprzednimi konsultacjami związanymi z oceną skutków.

Obowiązek pełnienia funkcji punktu kontaktowego, to jest on realizowany wobec osób, których dane są przetwarzane przez Twoje przedsiębiorstwo. Podmioty te mają bowiem prawo do kontaktu z IOD we wszystkich sprawach związanych z przetwarzaniem ich danych oraz wykorzystaniem praw przysługujących im na gruncie RODO.

Inspektor zgodnie z art. 38 ust 5 RODO zobowiązany jest również do zachowania tajemnicy lub poufności co do wykonywania swoich zadań. Obowiązek ten może wynikać zarówno z przepisów unijnych, jak i krajowych. W szczególności można wskazać tu przepisy dotyczące zachowania w poufności tajemnic przedsiębiorstwa, tajemnicy bankowej, ubezpieczeniowej, telekomunikacyjnej czy skarbowej.

Na zakończenie wątku obowiązków IOD należy dodać, że zgodnie z art. 38 ust. 6 RODO może on także wykonywać inne zadania i obowiązki, o ile administrator lub procesor zapewnią, że nie będą one powodowały konfliktu interesów. Te dodatkowe zadania lub obowiązki powinny być uznane za narzędzia służące do pełniejszego wykonywania podstawowych obowiązków spoczywających na IOD. Jako przykład można tu podać upoważnienie inspektora do informowania organu nadzorczego w przypadku naruszeń ochrony danych w organizacji zgodnie z art. 33 RODO.

IOD ma być organem niezależnym

Ustawodawca unijny, konstruując instytucję Inspektora Danych Osobowych, postawił sobie za cel zapewnienie mu pełnej niezależności oraz ułatwienie  wykonywania zadań nałożonych na niego przez nowe przepisy. Zgodnie z art. 38 ust 2 RODO, administrator oraz podmiot przetwarzający (procesor) mają wspierać IOD w wypełnianiu jego obowiązków, w szczególności poprzez zapewnienie mu zasobów niezbędnych do wykonywania zadań oraz utrzymania jego fachowej wiedzy. Wsparcie to może mieć formę działania lub zaniechania pewnych działań. Ponadto jednostki organizacyjne posiadające w swoje strukturze IOD muszą pamiętać, że powinien być on właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Dodatkowo należy udzielić inspektorowi dostępu do wszelkich procesów przetwarzania zachodzących w przedsiębiorstwie oraz związanych z nimi danych.

Najważniejszą gwarancją niezależności IOD wydaje się jednak fakt, że administrator oraz procesor nie mogą wydawać mu żadnych wiążących instrukcji dotyczących wykonywania powierzonych obowiązków. Ponadto nie można ukarać ani odwołać IOD za wykonywanie przez niego zadań.

Z powyższego opisu można odnieść wrażenie, że instytucja Inspektora Ochrony Danych może stać się obciążeniem dla Twojego przedsiębiorstwa. Nic bardziej mylnego. Głównym zadaniem IOD jest bowiem zapewnienie Twojej organizacji zgodności z przepisami RODO. Tylko posiadając dużą dozę niezależności, jest on w stanie sprostać temu zadaniu. Jeżeli więc zatrudnisz na tym stanowisku odpowiedniego specjalistę oraz udzielisz mu gwarancji wymienionych w art. 38 RODO, możesz w znaczny sposób ułatwić sobie spełnienie wymagań dotyczących ochrony danych osobowych w Twojej organizacji.

Powołanie IOD niekoniecznie musi wiązać się z wysokimi kosztami

Rozporządzenie unijne nie określa w jakiej formie ma być powołany IOD. Wobec tego dozwolone jest powołanie go na podstawie wszelkich umów w tym umowy zlecenia, współpracy itp., jak również zarządzenia czy oświadczenia woli ADO.  Szkolenie pracowników czy tworzenie etatu dla specjalisty wiążą się z zwiększeniem kosztów prowadzenia działalności. Szacuje się, że zatrudnienie IOD na etacie może wiązać z wydatkiem ponad 10 tys. złotych miesięcznie. Wpływa na to wiele czynników, ale najważniejszym jest niedobór odpowiednich specjalistów na rynku. To niewątpliwe spory wydatek.

Ratunkiem dla budżetu może być skorzystanie z usługi outsourcingu IOD. Jeżeli nie mamy wystarczających funduszy, by zatrudnić u siebie inspektora lub chcemy obniżyć koszty, usługa ta może okazać się bardzo przydatna. Obecnie wiele podmiotów oferuję taką usługę w dosyć zadowalających cenach (nasza również). Umożliwia to skorzystanie z pomocy fachowców zajmujących się danymi osobowymi za niższe koszty niż w wypadku zatrudnienia ich na pełnym etacie.

Innym sposobem jest zmiana etatu jednego z naszych pracowników do 3/4 oraz zatrudnienia go na etat IOD w 1/4. Oczywiście proporcje zależne są od wielkości przedsiębiorstwa czy podmiotu publicznego. Należy w tym wypadku jednak pamiętać o możliwości powstania konfliktu interesów.

Co jeśli nie IOD?

W przypadku, gdy organizacja nie powoła IOD, ciężar nadzoru na ochroną danych osobowych spoczywa na ADO. ADO samodzielnie nie musi jednak wykonywać wszystkich tych zadań. W tym zakresie istnieje możliwość powołania pełnomocnika ds. ochrony danych osobowych (lub inaczej nazwanej osoby oddelegowanej do wykonywania zadań związanych z odo). Plusem tego rozwiązania dla organizacji jest brak wymogów dot. niezależności przewidzianych dla IOD np. braku konfliktu interesów czy też zakazu karania za merytoryczne wykonywanie swojej funkcji. Osoba taka może być również zatrudniona na innym stanowisku, które jest związane z przetwarzaniem danych (np. w kadrach lub w dziale IT).

Podsumowanie

Reasumując powyższe rozważania, należy stwierdzić, że powołanie Inspektora Danych Osobowych jest zalecanym rozwiązaniem. Posiada on odpowiednie narzędzia do monitorowania procesów przetwarzania danych osobowych w Twoim przedsiębiorstwie, a także pomoże Ci w dostosowaniu Twojej organizacji do wymogów RODO. To bardzo ważna kwestia, albowiem przetwarzanie danych osobowych prowadzone w sposób niezgodny z unijnym rozporządzeniem może spowodować nałożenie na Twoje przedsiębiorstwo wysokiej kary. Nie warto więc zwlekać! Zwłaszcza, że koszty tego rozwiązania można obniżyć, choćby stosując outsourcing IOD.