Przetwarzanie danych osobowych zgodnie z RODO
Ochrona danych osobowych,

UODO sprawdza, jak funkcjonują Inspektorzy Ochrony Danych

Inspektor ochrony danych to przewidziana dla poszczególnych jednostek organizacyjnych funkcja, mająca na celu zapewnianie zgodności przetwarzania danych osobowych z przepisami prawa i wewnętrznymi politykami ochrony danych. W części podmiotów wyznaczenie inspektora jest obowiązkowe. Do jego zadań należy informowanie i doradzanie wewnątrz organizacji w zakresie obowiązków związanych z ochroną danych osobowych i monitorowanie przestrzegania przepisów prawa w tym zakresie, a także pełnienie roli punktu kontaktowego dla Prezesa UODO w sprawach ochrony danych osobowych oraz dla osób, których dane dotyczą, realizujących swoje prawa przewidziane w RODO. Swoją funkcję inspektorzy powinni wykonywać w sposób niezależny, bez poleceń co do realizowanych działań, a administratorzy mają obowiązek zapewnić im niezbędne zasoby do wykonywania swojej funkcji oraz dbać, aby zostali włączeni we wszystkie sprawy dotyczące ochrony danych osobowych.

Prawidłowe wykonywanie zadań przez inspektorów w ich jednostkach organizacyjnych ma kluczowe znaczenie dla przestrzegania przepisów RODO, ponieważ to na nich spoczywa merytoryczny ciężar doradzania w sprawach ochrony danych osobowych i monitorowania wykonania związanych z nią obowiązków. Z tego względu Urząd wyraził zaniepokojenie docierającymi sygnałami – najczęściej nieformalnymi – że inspektorzy nie są w stanie poprawnie realizować swoich zadań, ponieważ nie posiadają wystarczającego wsparcia organizacyjnego lub muszą wykonywać dodatkowe obowiązki pozostające w konflikcie interesów z inspektorskimi zadaniami, a ich niezależność ma tylko iluzoryczny charakter. Kontrole UODO mają zweryfikować te sygnały.

  
Zgodnie z art. 8 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, administrator i podmiot przetwarzający dane są obowiązani do wyznaczenia inspektora ochrony danych w przypadkach i na zasadach określonych w art. 37 RODO., tj., gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • ich główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  • ich główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Administrator lub podmiot przetwarzający mają obowiązek zawiadomić Prezesa UODO o wyznaczeniu IOD w ciągu 14 dni od dnia jego wyznaczenia. Zadaniem zaś inspektora ochrony danych jest:

  • informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich UE o ochronie danych i doradzanie im w tej sprawie;
  • monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich UE o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
  • udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
  • współpraca z organem nadzorczym;
  • pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach. 

Urząd Ochrony Danych Osobowych rozpoczął akcję wzywania wybranych administratorów do złożenia wyjaśnień i przedstawienia dowodów dotyczących stosowania przepisów o inspektorze ochrony danych. Wezwania mają kompleksowy i szczegółowy charakter, nie są jednak związane z określoną branżą. UODO wymaga nie tylko wyjaśnienia określonych kwestii, ale także pyta o:

  • wyznaczenie przez Administratora IOD, w tym czy zgłoszenia dokonano pomimo braku obowiązku w danej jednostce,
  • niezbędne zasoby zapewniane IOD przez administratora,
  • sposób, w jaki zagwarantowana jest niezależność wykonywania przez IOD zadań i przyjęte wewnętrzne regulacje w zakresie potencjalnego konfliktu interesu w związku z wykonywaniem przez niego innych zadań,
  • realizację obowiązku publikowania informacji o wyznaczonym IOD,
  • sposoby zapewnienia kontaktu z IOD,
  • osoby, którym IOD podlega w strukturze organizacyjnej,
  • kompetencje IOD i zasoby zapewnione do utrzymania fachowej wiedzy,
  • włączanie IOD we wszystkie sprawy dotyczące ochrony danych osobowych,
  • zapewnienie gwarancji niezależności i prawidłowego realizowania przez IOD obowiązków,
  • sposoby współpracy administratora z IOD-em i kontrolowanie jego pracy,
  • wyznaczenie zastępcy IOD.

Urząd wielokrotnie zwracał uwagę, że wykonywanie obowiązków przez Inspektora Ochrony Danych jest bardzo istotne z punktu widzenia zapewnienia prawidłowego poziomu ochrony danych. Rolą bowiem IOD jest z jednej strony ułatwienie osobom, których dane dotyczą, kontaktów z administratorem, z drugiej zaś budowanie świadomości administratora i podmiotu przetwarzającego w zakresie praw tych osób, a następnie monitorowanie skuteczności przyjętych w tym zakresie procedur i rozwiązań. Pytania UODO zawarte w wezwaniach kontrolnych nakierunkowane są na dwa obszary:

  • pierwszy obszar to obowiązki samego administratora – zagadnienia dotyczące samego wyznaczenia inspektora i opublikowania informacji na jego temat, zachowania niezależności w działalności inspektora czy unikania konfliktu interesów, jeżeli inspektor realizuje również inne obowiązki w jednostce organizacyjnej, a także kontrolowania działalności inspektora,
  • drugi obszar odnosi się do wykonywania swoich zadań przez samego inspektora – czy działa on według z góry ustalonego planu oraz czy przekazuje administratorowi wyniki przeprowadzonych audytów.

Działania kontrolne UODO mają istotne znaczenie dla dalszego funkcjonowania inspektorów w naszym kraju i pozwolą ocenić stan wykonywania obowiązków w obszarze ich działalności. Dotychczas polski organ nadzorczy skupiał się na działalności informacyjnej wobec inspektorów, podczas gdy w innych państwach unijnych tamtejsze organy dodatkowo weryfikowały spełnianie wymogów odnoszących się do inspektorów, a nawet nakładały kary pieniężne na administratorów za naruszanie przepisów o inspektorach.

Inspektor Ochrony Danych powinien być zaangażowany od samego początku w kreowanie procesu przetwarzania i mieć możliwość doradzenia, w jaki sposób należy zaprojektować przetwarzanie danych, aby nie naruszyć przepisów prawa oraz standardów bezpieczeństwa. Takie podejście pomoże uniknąć niepotrzebnej straty czasu lub innych zasobów, w tym pieniędzy, a także zmniejszyć ryzyko wystąpienia naruszeń ochrony danych. Jeszcze w fazie projektowania procesu przetwarzania danych, IOD może zwrócić uwagę na ryzyka dla ich ochrony i może zarekomendować wdrożenie odpowiednich środków zabezpieczających lub modyfikację procesu.

Kategorie

Aktualności Ochrona danych osobowych RODO Szkolenia RODO Wdrożenie RODO

Zobacz inne artykuły:

« | »