Status IOD

O statusie Inspektora Ochrony Danych stanowi art. 38 RODO, w którym określone zostały obowiązki, jakie ciążą na podmiocie, u którego został wyznaczony IOD. Obejmują one:

  1. właściwe i niezwłoczne włączanie we wszystkie sprawy dotyczące ochrony danych osobowych (art. 38 ust. 1 RODO);
  2. zapewnienie:
    • niezbędnych zasobów do wykonywania zadań IOD i do utrzymania wiedzy fachowej IOD,
    • dostępu do danych osobowych i operacji przetwarzania, a także  
    • wsparcia IOD w wypełnianiu przez niego zadań, o których mowa w art. 39 (art. 38 ust. 2 RODO);
  3. zapewnienie:
    • niezależności, w tym poprzez takie usytuowanie w strukturze organizacyjnej, by IOD podlegał bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego,
    • by IOD nie otrzymywał instrukcji dotyczących wykonywania jego zadań oraz
    • by IOD nie był odwołany ani karany za wypełnianie swoich zadań (art. 38 ust. 3 RODO);
  4. zapewnienie kontaktu z osobami, których dane dotyczą, we wszystkich sprawach związanych
    z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO (art. 38 ust. 4 RODO);
  5. zapewnienie zachowania przez IOD tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego (art. 38 ust. 5 RODO);
  6. niepowierzanie IOD zadań powodujących konflikt interesów (art. 38 ust. 6 RODO).

Wszystkie wyżej wskazane obowiązki odpowiednio administratora czy też podmiotu przetwarzającego wypełniane wobec Inspektora Ochrony Danych kształtują jego status i niezależność oraz niebagatelny wpływ na wykonywanie przepisów o ochronie danych osobowych oraz ukształtowanie systemu ochrony danych osobowych w danej organizacji.

Włączanie IOD w sprawy ochrony danych osobowych

RODO wymaga, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych, a zatem jego włączanie powinno nosić następujące cechy:

1) włączanie powinno być „właściwe”, a więc adekwatne, odpowiednie, w sposób zapewniający możliwie kompleksowe zapoznanie się IOD z okolicznościami przetwarzania danych osobowych – kontekstem, celami, zakresem, charakterem, uwarunkowaniami czasowymi, technicznymi, prawnymi;

2) ma następować niezwłocznie – a więc bez nieuzasadnionej zwłoki, możliwie szybko, na możliwie najwcześniejszym etapie – najlepiej – o ile to możliwe – zanim jeszcze zaczną być dokonywane operacje przewarzania;

3) ma odnosić się do wszystkich spraw dotyczących ochrony danych osobowych, co oznacza, że IOD należy informować i angażować we wszystkie sprawy z zakresu ochrony danych osobowych bez względu na to, jakich kategorii danych czy osób one dotyczą oraz czy stanowią istotę działalności administratora lub podmiotu przetwarzającego, czy też mają wyłącznie charakter akcesoryjny[1].

Jak wskazała Grupa Robocza Art. 29 w Wytycznych dotyczących inspektorów ochrony danych („DPO”) (WP 243): „Istotne jest włączanie DPO lub jego zespołu we wszystkie sprawy dotyczące ochrony danych osobowych na jak najwcześniejszym etapie. (…). Zapewnienie informowania DPO i konsultowania się
z nim od samego początku ułatwi przestrzeganie RODO, promowanie podejścia zakładającego uwzględnienie ochrony prywatności w fazie projektowania, a zatem powinno być standardową procedurą w ramach zarządzania organizacją. Ponadto ważne jest, aby DPO był postrzegany w organizacji jako partner w dyskusji i był włączany w prace grup wykonujących czynności przetwarzania danych w organizacji
”.

Zapewnienie niezbędnych zasobów do wykonywania zadań IOD

Przez zasoby niezbędne do wykonywania zdań IOD należy rozumieć m.in. odpowiednie wsparcie finansowe i infrastrukturalne, czyli wyposażenie go w pomieszczenie, sprzęt odpowiedniego rodzaju i zasoby kadrowe pozwalające na wykonanie tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także niezbędny dostęp do innych służb, np. działu zasobów ludzkich, działu prawnego, informatycznego i ochrony itd.

Niezwykle ważnym wydaje się być także zapewnienie zasobów niezbędnych do doskonalenia zawodowego IOD’a, gdyż braki w wiedzy fachowej mogą pociągać za sobą negatywne skutki na gruncie prawa cywilnego, karnego jak i administracyjnego za naruszenie RODO. Należy bowiem pamiętać, iż IOD nie ponosi osobistej odpowiedzialności za przypadki naruszenia przepisów RODO. Ogólne rozporządzenie o ochronie danych wyraźnie stanowi, że obowiązek zagwarantowania i wykazania, iż przetwarzanie danych odbywa się zgodnie z jego przepisami, spoczywa na administratorze lub podmiocie przetwarzającym (art. 24 ust. 1). Obowiązek zapewnienia zgodności środków w zakresie ochrony danych z przepisami rozporządzenia spoczywa na administratorze lub podmiocie przetwarzającym.

Zapewnienie IOD wsparcia w wykonywaniu zadań

Zadania IOD, o których mowa w art. 39 RODO, mają charakter wewnętrzny (działania podejmowane w stosunku do administratorów danych, podmiotów przetwarzających i ich personelu) i zewnętrzny (współpraca z organem nadzorczym), dlatego też trudno wskazać uniwersalny sposób pomocy przy ich realizacji. Niemniej, Grupa Robocza Art. 29 w swoich Wytycznych dotyczącymi inspektorów ochrony danych („DPO”) (WP 243) zaproponowała pewne ogólne zasady wspierania IOD w wykonywaniu przez niego zadań, a to:

1) wsparcie IOD ze strony kadry kierowniczej jednostki organizacyjnej (np. na poziomie zarządu) m.in. poprzez aktywny udział w działaniach na rzecz ochrony danych osobowych czy liczenie się z jego stanowiskiem, a przynajmniej branie go pod uwagę;

2)zapewnienie IOD odpowiedniego wymiaru czasu pracy umożliwiającego wykonywanie powierzonych mu zadań i odpowiednie ustalenie priorytetów, zwłaszcza gdy ta osoba łączy je z jeszcze innymi zadaniami w organizacji;

3)zapewnienie wsparcia finansowego, organizacyjnego, odpowiedniego kolportażu istotnych informacji.

Zapewnienie niezależności

Motyw 97 RODO wskazuje, że „inspektorzy ochrony danych bez względu na to, czy są pracownikami administratora, powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny”.

Niezależność IOD stanowi gwarancję prawidłowego wykonywania jego zadań. Przy zapewnianiu niezależności IOD należy pamiętać o stosowaniu następujących zasad:

  1. niewydawaniu IOD instrukcji dotyczących realizacji jego zadań, określonych w art. 39 RODO

W ramach wypełniania swoich zadań zgodnie z art. 39 IOD nie może otrzymywać instrukcji dotyczących sposobu rozpatrywania sprawy, np. sposobu rozpatrywania skargi lub przyjęcia określonego stanowiska w sprawie przepisów dotyczących ochrony danych.

  • nieodwoływaniu i niekaraniu IOD za wypełnianie zadań

Nie należy mylić tego z brakiem nadzoru nad wykonywaniem zadań przez IOD czy bezkrytyczne podejście do wykonywanych przez niego zadań w sposób niezgodny z prawem. IOD tak samo jak każdy inny pracownik czy zleceniobiorca może zostać odwołany, jednakże wyłącznie w uzasadnionych sytuacjach z przyczyn innych niż wykonywanie obowiązków.

Co więcej, jak wskazano bowiem w Wytycznych dotyczących inspektorów ochrony danych („DPO”) (WP 243) „kary, są niedozwolone tylko w przypadkach, gdy ich nałożenie pozostawałoby w związku z wypełnianiem przez IOD jego zadań”, np. w związku z przedłożonymi przez niego rekomendacjami czy zaleceniami bądź dokonywanymi przez niego ustaleniami audytu.

  • podległości IOD najwyższemu kierownictwu administratora lub podmiotu przetwarzającego

Intencją prawodawcy jest by w sytuacji podjęcia przez administratora lub podmiot przetwarzający decyzji niezgodnej z przepisami RODO i zaleceniami IOD, Inspektor miał możliwość jasnego przedstawienia swojej odrębnej opinii osobom podejmującym decyzję. Ta bezpośrednia podległość pozwala na zapewnienie najwyższemu kierownictwu (np. członkom zarządu) wiedzy na temat porad
i rekomendacji IOD’a w ramach wypełniania przez niego zadań.

Niezależność zatem sprowadza się do braku podporządkowania, wyłączenia spod wpływów, wolność od nacisków, a więc i obiektywizm w ocenach i działaniach. Nie chodzi tu jednak o brak podporządkowania IOD jako takiego, gdyż podlega on przepisom prawa powszechnego i prawa zakładowego. Będąc zaś pracownikiem, musi podporządkować się poleceniom przełożonych dotyczących procesu pracy, a także realizować zadania wynikające z umowy.

Nie ma wątpliwości, iż niezależność inspektora, a także jego rola rzutują na ostateczny stan przestrzegania przepisów o ochronie danych osobowych w organizacji, a co za tym idzie – wywołują uzasadnione oczekiwania wobec osoby, która pełni tę funkcję, co do jej wysokich kwalifikacji moralnych, staranności, sumienności, umiejętności udzielenia należytego wsparcia administratorowi (procesorowi), zapewnienia odpowiedniej jakości kontaktu osobie, której dane dotyczą, oraz organowi nadzorczemu.

Zapewnienie kontaktu z osobami, których dane dotyczą

Art. 38 ust. 4 RODO zawiera zasadę, zgodnie z którą osoby, których dane dotyczą, mogą kontaktować się bezpośrednio z inspektorem ochrony danych we wszystkich sprawach związanych
z przetwarzaniem ich danych osobowych oraz z wykonywaniem przysługujących im praw.

Zapewnienie zachowania przez IOD tajemnicy lub poufności

Obowiązek ten sprowadza się do nieujawniania osobom trzecim jakichkolwiek informacji mających związek z wykonywanymi przez IOD zadaniami, bez zgody dysponenta tajemnicy tj. administratora danych lub podmiotu przetwarzającego. Art. 38 ust. 5 RODO odsyła w zakresie zasad zachowania tajemnicy lub poufności do przepisów unijnych lub krajowych. W związku z brakiem wprowadzenia szczególnej regulacji w tym zakresie, na gruncie obowiązujących krajowych przepisów zastosowanie znajdują odpowiednie przepisy kodeksu pracy czy ustawy o zwalczaniu nieuczciwej konkurencji, dotyczące tajemnic zawodowych lub – o ile takie są – zobowiązania umowne.

Niepowierzanie IOD zadań powodujących konflikt interesów

W świetle art. 38 ust. 6 IOD „może wykonywać inne zadania i obowiązki”. W myśl tej regulacji organizacja musi jednak „zapewnić, by takie zadania i obowiązki nie powodowały konfliktu interesów”. Wymóg niepowodowania konfliktu interesów jest silnie związany z wymogiem niezależności w wykonywaniu zadań. Mimo, iż dopuszcza się na pełnienie innych funkcji przez inspektora danych osobowych, to dodatkowe zadania i obowiązki można im powierzyć tylko wówczas, gdy nie powodują konfliktów interesów. Należy przez to rozumieć, że IOD nie może pełnić jednocześnie stanowiska w organizacji, które zapewniałoby mu dostęp do informacji pozwalających mu ustalić cele i sposoby przetwarzania danych osobowych. Tytułem przykładu stanowiska, w przypadku których dochodzi do konfliktu interesów: m.in. w strukturze kadry kierowniczej wyższego szczebla (takie jak dyrektor generalny, dyrektor ds. operacyjnych, dyrektor ds. finansowych, dyrektor ds. medycznych, kierownik departamentu marketingu, kierownik działu kadr lub kierownik departamentów IT), ale również inne stanowiska na niższych szczeblach struktury organizacyjnej, o ile pełnienie tych funkcji zapewnia możliwość ustalenia celów i sposobów przetwarzania danych osobowych.


[1] M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018, art. 38, nb. 5