Pełnienie funkcji Inspektora Ochrony Danych (dalej: IOD) powinno być zgodnie z art. 37 ust. 5 RODO powierzone osobie, na podstawie jej kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO. Jednocześnie zgodnie z art. 37 ust. 1 lit. a) RODO, na podmiotach publicznych spoczywa obowiązek wyznaczenia IOD, który może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.
Status i pozycję IOD w organizacji reguluje art. 38 RODO, zgodnie z którym IOD podlega bezpośrednio najwyższemu kierownictwu administratora, nie może być odwoływany, karany przez administratora za wypełnianie swoich zadań.
Administrator zapewnia również, aby IOD nie otrzymywał instrukcji co do wykonywania tych zadań. Zgodnie z RODO IOD może wykonywać u administratora również inne zadania i obowiązki, bardzo ważne jednak aby ten zapewnił, iż takie zadania i obowiązki nie będą powodowały konfliktu interesów.
Przy okazji omawiania tematu IOD w instytucjach publicznych, nie sposób nie zwrócić również uwagi na kwestię kryterium ceny przyjmowanego przez takie podmioty (w szczególności jednostki samorządu terytorialnego) przy zamówieniach na wykonywanie funkcji IOD, co w zdecydowanej większości przypadków powoduje nie uwzględnianie kwalifikacji, specjalistycznej wiedzy ani też wymaganego czasu, który należy poświęcić na rzetelne wykonywanie zadań przypisanych IOD.
Z kolei przy wyznaczeniu do pełnienia funkcji IOD osób spośród pracowników administratora, dochodzi do wyznaczania pracowników bez odpowiednich kompetencji i kwalifikacji, którzy nie mieli wcześniej lub mieli w bardzo ograniczonym zakresie do czynienia z kwestią ochrony danych osobowych. Są to również pracownicy, którzy mocno obciążeni dotychczasowymi zadaniami na zajmowanym stanowisku, nie dysponują odpowiednim czasem na rzetelne i profesjonalne wykonywanie zadań wynikających z RODO. Dodatkowo wykonywanie obowiązków na zajmowanym dotychczas stanowisku i równolegle pełnienie funkcji IOD powoduje w wielu przypadkach konflikt interesów i w efekcie brak obiektywizmu, niezbędnego dla wszechstronnej i przede wszystkim bezstronnej oceny analizowanych przez IOD procesów.
Zgodnie z zaleceniami UODO administrator, który wyznacza IOD spośród swojego pracownika, powinien kierować się co najmniej 3 kryteriami:
organizacyjnym – IOD powinien podlegać bezpośrednio najwyższemu kierownictwu jednostki organizacyjnej,
merytorycznym – inne obowiązki nie powinny negatywnie wpływać na niezależne wykonywanie zadań IOD,
czasowym – IOD powinien dysponować czasem wystarczającym do wykonywania swoich zadań, przy uwzględnieniu m.in. liczby obowiązków czy stopnia ich skomplikowania.
Zasada podległości najwyższemu kierownictwu jest jedną z gwarancji niezależnej, wysokiej pozycji IOD w strukturze administratora danych, a ponadto skraca drogę raportowania, co ma szczególnie istotne znaczenie w razie konieczności podejmowania szybkich działań naprawczych w sytuacji naruszenia ochrony danych osobowych. Bezpośrednia podległość oznacza, że w ramach podejmowanych przez siebie czynności, IOD nie może podlegać jakimkolwiek innym osobom lub jednostkom organizacyjnym wchodzącym w skład struktury administratora danych.
Jednocześnie przytaczając wytyczne Grupy Roboczej art. 29 dotyczące IOD, nie może on zajmować w organizacji stanowiska, na którym określa się sposoby i cele przetwarzania danych. Co do zasady będą to stanowiska kierownicze (np. dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również stanowiska niższego rzędu, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych.
Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny, pozbawiony wszelkich nacisków. Istotną gwarancją w zakresie niezależności IOD jest niewątpliwie wprowadzenie zakazu wydawania przez administratora lub podmiotu przetwarzającego instrukcji (poleceń) dla IOD dotyczących wykonywania przez niego zadań. Zakaz wydawania instrukcji inspektorowi, oznacza, że w ramach wypełniania swoich zadań IOD, nie może otrzymywać poleceń dotyczących sposobu załatwienia sprawy, środków jakie mają zostać podjęte, czy też celu jaki powinien zostać osiągnięty.
Dlatego np. decyzja, że inspektorem będzie pracownik zespołu, nad którym występuje jeszcze osoba przełożonego, powoduje nie tylko niezgodność z art. 38 (wymóg podlegania przez IOD najwyższemu kierownictwu administratora), ale w konsekwencji również potencjalnie niechęć w przypadku obowiązku poinformowania przez IOD takiego kierownictwa, w celu następnie być może zgłoszenia do Prezesa UODO naruszenia ochrony danych osobowych, które powstało w wyniku błędu przełożonego inspektora. Kolejny przykład to gdy pracownik niższego szczebla pełniący funkcję IOD, audytuje swój dział pod kątem zgodności z RODO, w praktyce sprawdzając swoich bezpośrednich przełożonych.
W takim przypadku faktyczna niezależność w wykonywaniu obowiązków IOD jest fikcją.
Warto przytoczyć tutaj także jedną z decyzji Prezesa UODO (decyzja z dnia 20 września 2020 r. ZWAD.405.31.331.2019), w której organ nadzorczy udzielił upomnienia administratorowi stwierdzając naruszenie w postaci wystąpienia konfliktu interesów w zakresie powierzonych IOD zadań i obowiązków. Przywołany konflikt interesów polegał na zobowiązaniu inspektora do nadawania pracownikom administratora upoważnień do przetwarzania danych osobowych. Zobowiązanie to zostało określone w przyjętej przez administratora procedurze, która regulowała status i zadania IOD. W uzasadnieniu decyzji można przeczytać:
„możliwe jest udzielenie przez administratora upoważnienia podległemu pracownikowi do przetwarzania danych osobowych, obejmującego swoim zakresem również delegację uprawnienia do wykonywania obowiązków administratora w zakresie nadawania w jego imieniu upoważnień do przetwarzania danych osobowych. Z uwagi jednak na specyfikę działań IOD ogniskujących się na doradzaniu oraz kontrolowaniu działalności administratora pod kątem zgodności operacji przetwarzania danych osobowych z przepisami o ochronie danych osobowych, administrator nie powinien przyznawać IOD uprawnień do nadawania w jego imieniu upoważnień do przetwarzania danych osobowych, pozostawiając IOD w procedurze wydawania upoważnień funkcji doradczej i nadzorczej”.
Prezes UODO podkreślił, że IOD cechujący się szczególnym statusem w dziedzinie zapewnienia właściwego przestrzegania przepisów o ochronie danych osobowych musi mieć dla tego celu zagwarantowane odpowiednie warunki funkcjonowania, a więc takie, które pozwolą mu na efektywną, niezależną oraz prawidłową realizację obowiązków.
Odnosząc się do kryterium czasowego, problemem jest bardzo często brak odpowiedniej ilości czasu pracownika administratora na wykonywanie poza swoimi podstawowymi, obowiązków w zakresie IOD. Powoduje to, iż wiele obszarów i procesów z działalności administratora nie zostaje objętych audytami oraz analizą ryzyka i albo w ogóle nie zapewnia się tam zgodności przetwarzania danych osobowych z RODO albo kwestie przetwarzania danych osobowych pozostawiają wiele do życzenia, jak choćby często jeszcze spotykane wskazywanie jako podstawy prawnej do przetwarzania danych osobowych nieobowiązującej już ustawy o ochronie danych osobowych z 1997 roku.
Ponadto częstą sytuacją w samorządach jest wyznaczenie jednej osoby jako np. IOD Gminy oraz IOD przez poszczególne placówki oświatowe (szkoły). Choć przepisy RODO dopuszczają wyznaczania przez kilka podmiotów publicznych tej samej osoby do pełnienia funkcji IOD, to skorzystanie z takiego rozwiązania wymaga zawsze dokonania starannej analizy, czy wyznaczona osoba będzie w stanie prawidłowo wypełniać wszystkie swoje obowiązki wobec każdego administratora danych.
Zgodnie ze stanowiskiem UODO
„wiele z obowiązków inspektorów przewidzianych w RODO wymaga stałego zaangażowania na rzecz administratora, który inspektora wyznaczył oraz tzw. „efektywnej dostępności” inspektora dla osób z danej organizacji. Do zadań IOD należy np. bieżące monitorowanie zgodności przetwarzania danych osobowych z przepisami prawa oraz udzielanie informacji i rad w zakresie obowiązków wynikających z tych przepisów.
UODO zwraca również uwagę, iż
„Trudno będzie również wykonywać równolegle w wielu podmiotach zadania w zakresie punktu kontaktowego dla osób, których dane dotyczą oraz punktu kontaktowego dla organu nadzorczego. Na mocy rozporządzenia każda osoba w każdej sprawie dotyczącej jej danych ma prawo kontaktować się z wyznaczonym dla danej organizacji inspektorem. Organ nadzorczy będzie natomiast mógł wymagać od inspektora gotowości do współpracy w związku z realizacją zadań i uprawnień organu w zakresie prowadzonych postępowań, a także tzw. „uprzednich konsultacji”.”
Rozpatrując należyte umiejscowienie IOD w swojej organizacji i wykonywane przez niego zadania, administratorzy danych nie powinni zapominać także o zakazie zobowiązywania IOD do wykonywania obowiązków w innych podmiotach, które w myśl RODO, są odrębnymi administratorami danych. Zadania IOD powinny być przez niego wykonywane tylko na rzecz jednostki, w której został powołany i odpowiednio zgłoszony do organu nadzorczego. Nie mogą mieć miejsca sytuacje gdzie IOD powołany np. w Urzędzie Gminy, wykonuje jednocześnie obowiązki określone w art. 39 RODO w innych jednostkach organizacyjnych samorządu (szkołach, przedszkolach, ośrodkach kultury) bez powołania go do pełnienia funkcji IOD bezpośrednio przez te jednostki.
Należy mieć również na uwadze, że Prezes UODO kontroluje, wykorzystując swoje uprawnienia nadzorcze określone w art. 58 RODO, przypadki naruszeń przepisów dotyczących inspektora danych osobowych. Naruszenia te dotyczą przede wszystkim przyjęcia przez administratorów procedur obciążających IOD obowiązkami powodującymi konflikt interesów, zapisywania w regulaminie organizacyjnym, że IOD może być odwołany w każdym czasie, nieprawidłowego usytuowania IOD w strukturze organizacyjnej administratora (IOD nie podlegał bezpośrednio najwyższemu kierownictwu) i niezapewnienia IOD wystarczającej ilości czasu oraz innych zasobów niezbędnych do wykonywania jego zadań.
Konsekwencją rozpatrywania powyższych przypadków było opublikowanie w marcu 2022 roku i skierowanie do administratorów, będących również podmiotami publicznymi, 27 pytań kontrolnych, których celem było zbadanie zasad współpracy administratorów z IOD, w szczególności prawidłowości ich powoływania i funkcjonowania w ramach organizacji. UODO badał czy inspektor ochrony danych wykonuje również inne obowiązki lub sprawuje inną funkcję poza obowiązkami związanymi z ochroną danych osobowych, a jeżeli tak to jakie oraz w jakim wymiarze czasu pełni funkcję IOD, a w jakim inne zadania, w jaki sposób administrator ocenił, że w przypadku każdego z tych zadań nie występuje konflikt interesów, o którym mowa w art. 38 ust 6 RODO, czy w zakresie wykonywania innych zadań IOD podlega innym osobom niż najwyższe kierownictwo administratora.
Dodatkowo UODO pytał również, czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów, a także czy IOD wykonuje swoje zadania jedynie w siedzibie administratora, a jeżeli nie, to w jakim miejscu i w jaki sposób zapewniona jest stała dostępność IOD dla kierownictwa i pracowników administratora. UODO zapowiedział również, iż rozpoczęte działania kontrolne nie mają charakteru doraźnego i będą kontynuowane.
Widać zatem wyraźnie, iż polski organ nadzorczy bardzo poważnie podchodzi do kwestii prawidłowego rozpoznania przez administratorów kwestii konfliktu interesów i odpowiedniego uwzględnienia go przy powoływaniu, a następnie funkcjonowaniu IOD w swojej strukturze.
Podsumowując, pełnienie funkcji IOD jest czasochłonnym i bardzo odpowiedzialnym zajęciem. Wyjątkowość tej funkcji znajduje odzwierciedlenie w brzmieniu przepisów RODO, które określają zarówno status IOD (art. 38), jak i jego obowiązki (art. 39).
UODO konsekwentnie wskazuje, że do zadań administratora danych należy zapewnienie aby nie dopuszczać do sytuacji, w których IOD byłby odpowiedzialny za przeprowadzenie jakiejkolwiek procedury, a jednocześnie miałby monitorować jej zgodność z przepisami o ochronie danych osobowych, do czego zobowiązuje go unormowanie zawarte w art. 39 ust. 1 lit. b) RODO, co w efekcie prowadziłoby do powstania konfliktu interesów, gdzie IOD sprawowałby nadzór nad własną działalnością, a co wprost stoi w sprzeczności z treścią art. 38 ust. 6 RODO.
Odpowiednie ułożenie relacji na linii administrator danych – IOD, stanowi fundament sprawnie funkcjonującego systemu ochrony danych osobowych. Niezależny IOD, to gwarancja, że niezgodne z RODO procesy, zostaną w odpowiednim momencie zidentyfikowane i zatrzymane.
Zgodnie zatem z dotychczasowym stanowiskiem UODO, nakładanie na IOD obowiązków prowadzących do powstania konfliktu interesów stawia pod znakiem zapytania nie tylko możliwość efektywnego wypełniania jego zadań, ale uderza przede wszystkim w podstawy instytucji IOD, opartej na niezależności jego funkcjonowania. Pamiętając, iż IOD ma kluczowe znaczenie dla zapewnienia należytego poziomu bezpieczeństwa danych osobowych, a tym samym gwarancji praw i wolności osób, których dane dotyczą, każdy administrator danych zobowiązany jest do takiego zorganizowania wykonywania przez IOD swoich obowiązków, aby zapewnić mu pracę w warunkach niezależności i nie powodujących występowania konfliktu interesów.
Oznacza to także, iż możliwość zaistnienia takiego konfliktu powinna być przez administratorów stale monitorowana, gdyż przyczyny zaistnienia konfliktu mogą wystąpić również w późniejszym czasie, po rozpoczęciu wykonywania przez IOD swoich obowiązków. Administratorzy, którzy naruszają tę zasadę muszą liczyć się z interwencją organu nadzorczego w postaci kontroli i możliwymi konsekwencjami, z karami finansowymi włącznie.
W razie jakichkolwiek pytań, zapraszamy do kontaktu.
Pozdrawiamy
Zespół rodo.pl