• Krzysztof Dziemian

„ADMINISTRATOR NIE MOŻE PRZERZUCAĆ SWOICH OBOWIĄZKÓW NA IOD”

Taki tytuł nosi pierwszy artykuł newslettera kierowanego w lutym do inspektorów wysyłany przez Urząd Ochrony Danych Osobowych.


W swoim artykule Urząd ponownie wskazuje na zadania Inspektora Ochrony Danych (IOD), które określają jego status - art. 38, jak i obowiązki - art. 39, a w samym artykule stwierdza:

„Niestety w praktyce zdarza się, że administratorzy, zawierając z IOD umowy o pracę lub świadczenie usług, do zakresu ich zadań wpisują swoje obowiązki.” i błędnie postrzegają

„inspektora jako osoby, która jako jedyna w organizacji odpowiedzialna jest za wykonywanie obowiązków z zakresu ochrony danych osobowych.”


Przestrzeganie obowiązków wynikających z RODO to obowiązek każdej osoby w organizacji, a Inspektor Ochrony Danych pełni w głównej mierze funkcje doradcze i podnoszące świadomość zarówno samego administratora jak i wszystkich pracowników w tym zakresie.


Warto przypomnieć, że odpowiedzialność z tytułu niezgodnego z prawem przetwarzania danych zawsze w głównej mierze spoczywa na administratorze.


Urząd podkreślił to m. in. w zeszłorocznej decyzji opisującej karę nałożoną na SGGW. Prezes Urzędu Ochrony Danych jako jedną z przyczyn nałożenia kary podaje m.in. stwierdzenie naruszenia przepisów dotyczących inspektora ochrony danych (art. 38 ust.1, art. 39 ust.1 pkt 2, art. 39 ust.2). Urząd w uzasadnieniu odnosi się do wykonywania zadań przez IOD, jego relacji z administratorem danych i stwierdza, że działania IOD wpływają również na wykonywanie obowiązków przez Administratora. Wkrótce artykuł na temat samej kary.


Identyczne stanowisko, na którym można przypuszczać wzorował się Urząd, prezentuje w swoich wytycznych (WP243) - Grupa Art. 29 ( dziś Europejska Rada Ochrony Danych). „DPO (IOD) nie ponoszą odpowiedzialności w przypadku niezgodności z RODO. Z rozporządzenia jasno wynika, że to administrator lub podmiot przetwarzający zobowiązany jest do zapewnienia i udowodnienia zgodności przetwarzania danych osobowych z przepisami prawa (artykuł 24, (1)). Przetwarzanie danych zgodne z rozporządzeniem jest obowiązkiem administratora lub podmiotu przetwarzającego.”


Do obowiązków administratora lub podmiotu przetwarzającego jest również

„umożliwienie efektywnego wykonywania zadań przez DPO. Wyznaczenie DPO jest jedynie pierwszym krokiem, istotne jest również zapewnienie wystarczającej niezależności i środków umożliwiających skuteczne wykonywanie obowiązków.”,

a sam artykuł 38 RODO stanowi, iż administrator oraz podmiot przetwarzający zapewniają, „by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.”


Pewnie zastanawiasz się więc, czy potrzebujesz IODy ?

Jeśli jesteś właścicielem firmy i nie chcesz go wyznaczać to pamiętaj, że wszystkie obowiązki spoczywające na Inspektorze, a nie jest ich mało, ponieważ czasy papierowego RODO już się skończyły, spoczywają w takim przypadku na Tobie, a sama grupa art. 29 rekomenduje w związku z tym: „udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia DPO”.


Najistotniejszą kwestią, którą Urząd kilkukrotnie podkreśla w w swoim newsleterze, jest konflikt interesów. Przypomina tu swoją decyzję ZWAD.405.31.331.2019, w której to IOD był odpowiedzialny za wystawianie upoważnień do przetwarzania, co taki konflikt bezapelacyjnie powodowało.


To konflikt interesów powoduje błędne założenie administratorów wskazane przez Urząd na wstępie. Dochodzi do niego w każdym przypadku, kiedy administrator nakłada na IOD swoje obowiązki, które to inspektor wykonując, a w dalszej kolejności przechodząc do wypełniania jednego ze swoich obowiązków wynikającego z art. 39 ust. 1 lit. b RODO, czyli "monitorowanie przestrzegania niniejszego rozporządzenia ..."

sprawdza wykonaną przez siebie pracę,

co cytując Urząd:

stawia pod znakiem zapytania nie tylko możliwość efektywnego wypełniania przez niego zadań, do realizacji których zobowiązuje go dyspozycja normy art. 39 rozporządzenia 2016/679, ale godzi w same fundamenty instytucji IOD, opartej w pierwszym rzędzie na niezależności

jego funkcjonowania."


Podsumowując powyższe - Inspektor Ochrony Danych, nigdy nie powinien realizować zadań, które w dalszej kolejności staną się punktem jego monitorowania oraz nie powinien podejmować decyzji w zakresie celów i środków zabezpieczeń, za których dobór odpowiedzialny jest administrator.


W kolejnych artykułach przyjrzymy się szerzej wynikającym z RODO:

- obowiązkom inspektora,

- obowiązkom administratora wobec inspektora,

- obowiązkom administratora.

Pozdrawiamy,

Zespół rodo.pl


źródła:

https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679

https://uodo.gov.pl/pl/3/1348

Newsletter UODO dla Inspektorów Ochrony Danych (2/2021)

112 wyświetlenia

Ostatnie posty

Zobacz wszystkie

KONTAKT

PODPIS ELEKTRONICZNY

pon - pt 8-16

weekend nieczynne

info@rodo.pl

61 307 25 66

©2020 by rodo.pl sp. z o.o. sp. k..