• Krzysztof Dziemian

Obowiązki Inspektora Ochrony Danych RODO

W ostatnim artykule https://www.rodo.pl/post/konflikt-interesow-iod-ado zatytułowanym „ADMINISTRATOR NIE MOŻE PRZERZUCAĆ SWOICH OBOWIĄZKÓW NA IOD” wskazaliśmy na coraz częściej pojawiające się w interpretacjach i decyzjach Urzędu jego stanowisko dotyczące - zakresu czynności wykonywanych przez Administratora oraz Inspektora w związku z wdrażaniem RODO,

- konflikcie interesów, który naturalnie uniemożliwia Inspektorowi Ochrony Danych rzetelne wykonywanie swoich czynności oraz

- niezależności IOD, na którą Urząd ponownie zwraca uwagę i o czym w swoich wytycznych pisała już w roku 2016 - Grupa Robocza art. 29 (późniejsza Europejska Rada Ochrony Danych):


„w ramach wypełniania zadań z art. 39 DPO (IOD) nie może otrzymywać instrukcji dotyczących sposobu rozpoznania sprawy, środków jakie mają zostać podjęte czy celu jaki powinien zostać osiągnięty, czy też faktu, czy należy skontaktować się z organem nadzorczym. Nie może również zostać zobligowany do przyjęcia określonego stanowiska w sprawie z zakresu prawa ochrony danych, np. określonej wykładni przepisów.”.


W dzisiejszym artykule przyjrzymy się bliżej samym obowiązkom Inspektora Ochrony Danych (IOD), które zostały opisane w art. 39 RODO:


"Artykuł 39 Zadania inspektora ochrony danych


1.Inspektor ochrony danych ma następujące zadania: a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;

d) współpraca z organem nadzorczym;

e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

2.Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania."


Zasady znamy, pytanie jak teraz podejść do ich realizacji. W naszej opinii IOD wypełniając swoje obowiązki powinien postępować wg następującego schematu:


Krok 1 - Rejestr Czynności Przetwarzania (RCP). Prowadzenie RCP jest obowiązkiem Administratora lub podmiotu przetwarzającego, jednak tylko w przypadku jeśli zatrudnia więcej niż 250 osób.

Jako specjaliści nie wyobrażamy sobie jednak prawidłowego wdrożenia RODO, bez właściwej identyfikacji procesów które realizowane są w organizacji i udziału w tym samego Inspektora Ochrony Danych.


Sama Grupa Robocza art. 29 w swoich wytycznych informuje: „nic nie stoi na przeszkodzie, aby administrator lub podmiot przetwarzający powierzył DPO prowadzenie, w imieniu administratora albo podmiotu przetwarzającego, rejestru czynności przetwarzania danych. Taki rejestr powinien być uznany za jedno z narzędzi umożliwiających DPO realizację jego zadań w zakresie monitorowania przestrzegania przepisów, informowania administratora lub podmiotu przetwarzającego i doradzania im.”

Tak więc w pierwszej kolejności Identyfikacja Procesów.


Krok 2 - weryfikacja tych procesów. Sprawdzenie podstaw prawnych, okresów przetwarzania, realizowanych obowiązków informacyjnych, powierzania lub przekazywania danych itd. … w skrócie jako całość - sprawdzenie zgodności przetwarzania z prawem i jego rzetelności.


Krok 3 - ocena ryzyka wynikającego z przetwarzania danych. Ocena ryzyka, która zgodnie z art. 24 RODO przeprowadzona powinna zostać przez Administratora Danych (art. 24(1) RODO)


„Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać.”


i choć RODO nie wymaga uczestnictwa Inspektora w tym procesie, to w naszej opinii jest ono jak najbardziej wskazane. Wynika to m.in. z tego, że to IOD, który powinien zostać wybrany na swoje stanowisko w związku z posiadaniem fachowej wiedzy w zakresie ochrony danych, jest w stanie najlepiej wskazać najlepiej dopasowaną do Administratora metodykę szacowania ryzyka.

W rzeczywistości również to jego opinia będzie w dużej mierze pomocna przy prawidłowej ocenie ryzyka naruszenia praw i wolności.


Krok nr 4 - w przypadku stwierdzenia wysokiego ryzyka podczas wykonywania kroku nr 3 – przeprowadzenie Oceny Skutków dla Ochrony Danych (OSOD). I w tym przypadku zgodnie z art. 35 (1) i (2) RODO:


„1.Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

2.Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony.”


i skorelowany z tym obowiązek IOD, czyli

"c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;".


Krok nr 5 - nieustanne powtarzanie kroków 1-4, wraz z „monitorowaniem przestrzegania niniejszego rozporządzenia”, w szczególności w związku ze zmianami legislacyjnymi i regulacjami w obszarze ochrony danych. Podkreślamy tu wagę słowa monitorowanie, gdyż nie jest to czynność jednorazowa, a ciągła.


IOD powinien więc na bieżąco śledzić i analizować nowe instrumenty UE, decyzje wykonawcze i sądowe UE, nowe wytyczne EROD oraz inne instrumenty, decyzje i wyroki, które mają miejsce w kraju Administratora i dotyczą zagadnień danych osobowych.


I w tym miejscu wspominając art. 25 RODO, który dotyczy ochrony danych w fazie projektowania oraz domyślnej ochrona danych:


"Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania –wdraża odpowiednie środki techniczne i organizacyjne"


i zwracając szczególną uwagę na art. 38(1) RODO, w którym twórcy rozporządzenia piszą:


"Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych."


Chcemy w tym miejscu podkreślić, że w praktyce,

Inspektor Ochrony Danych poprzez wypełnianie swoich obowiązków doradczych, monitorujących i pomocniczych, powinien uczestniczyć we wszystkich działaniach podejmowanych przez Administratora Danych Osobowych, tak by móc weryfikować poprawność przetwarzania danych i jego rzetelności w kontekście do ciągle zmieniających się przepisów, pojawiających się decyzji i wyroków,


a w celu zwiększenia rozliczalności dokonywać sprawdzeń i audytów stosowania i poprawności stosowanej dokumentacji.


Monitorowanie to formalny obowiązek IOD, a bez informacji uzyskanych od Administratora o nowym procesie lub zmianach w już realizowanym - nie jest w stanie go wypełnić.


Kolejne zadania:


Współpraca z organem nadzorczym – Zadaniem Inspektora jest odpowiadać na wszelkie wnioski Prezesa Urzędu Ochrony Danych oraz współpraca z nim, zarówno korespondencyjna jak i podczas wspierania organu podczas samej kontroli.


Postępowanie z Naruszeniami Ochrony Danych, podczas których zaistnienia pierwszą czynnością podejmowaną przez Administratora powinno być poinformowanie właśnie Inspektora Ochrony Danych. W tym przypadku rolą IOD jest w szczególności wspieranie Administratora w ocenie naruszenia praw i wolności, przygotowanie komunikatu dla osób oraz przygotowania zgłoszenia do Urzędu Ochrony Danych Osobowych.


Zgodnie z art. 38(4) RODO – „Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia. „

Tak więc Inspektor odpowiedzialny jest również za udzielanie odpowiedzi na wnioski osób fizycznych, które kierowane są do Administratora.


Ostatnim, nie mniej jednak ważnym zadaniem IOD jest podnoszenie świadomości pracowników oraz samego Administratora poprzez prowadzenie szkoleń. Dziś w dobie ciągle zmieniającej się technologii oraz liczby narastających zagrożeń w obszarze cyberbezpieczeństwa, zadanie trudne oraz często niedoceniane przez osoby, które uczestniczą w szkoleniach do momentu zajścia incydentu.


N samym końcu przypominamy, że jeśli organizacja nie wyznaczyła IOD to wszystkie powyższe obowiązki spoczywają w takim przypadku na Administratorze, a ich wypełnianie jest równie ważne jak wysyłanie deklaracji VAT.


W kolejnym artykule przyjrzymy się obowiązkom Administratora wynikającym z RODO.


Pozdrawiamy,

Zespół rodo.pl


źródła:

https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679

https://uodo.gov.pl/pl/3/1348

420 wyświetlenia

Ostatnie posty

Zobacz wszystkie

Wizerunek