Z poprzednich wpisów wiemy już kim jest IOD i jaki jest jego status, czyli jakie obowiązki ciążą na administratorze względem IOD’a. W dzisiejszym wpisie przyjrzymy się jakie zadania czekają na Inspektora Ochrony Danych.
W art. 39 ust. 1 RODO wyliczone zostały zadania inspektora ochrony danych, tj.:
Powyższy katalog zadań IOD’a nie ma natomiast charakteru zamkniętego, bowiem inne przepisy RODO przewidują także inne zadania, jakie powinien realizować inspektor ochrony danych, np. pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą (zgodnie z art. 38 ust. 4). Co ciekawe, w polskiej wersji językowej RODO nie użyto sformułowania, które jasno wskazywałoby na brak zamkniętego katalogu zadań, niemniej, w innych wersjach językowych kwestia ta jest jednoznacznie przesądzona (w wersji angielskiej użyto określenia at least the following tasks, co przetłumaczono na język niemiecki zumindest folgende Aufgaben).
Analizując jednak minimalny zakres zadań, o którym mowa w art. 39 RODO, dostrzec można, iż zadania te mają charakter wewnętrzny (działania podejmowane w stosunku do administratorów danych, podmiotów przetwarzających i ich personelu) bądź zewnętrzny (współpraca z organem nadzorczym, kontakt z osobami, których dane dotyczą).
Jak wskazał P. Litwiński w swoim komentarzu1 na zadania o charakterze wewnętrznym składają się zadania w zakresie:
1) informowania administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych;
2) doradzania wyżej wymienionym podmiotom w zakresie obowiązków wynikających z RODO i innych przepisów;
3) monitorowania przestrzegania RODO, innych właściwych przepisów Unii lub państw członkowskich o ochronie danych osobowych;
4) monitorowania przestrzegania polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych;
5) doradztwa w zakresie podziału obowiązków (np. między współadministratorami, administratorem a podmiotem przetwarzającym lub pomiędzy członkami personelu tych podmiotów);
6) prowadzenia działań zwiększających świadomość personelu w zakresie obowiązków wynikających z RODO lub przyjętych polityk;
7) przeprowadzania lub organizowania szkoleń dla personelu uczestniczącego w operacjach przetwarzania danych;
8) przeprowadzania audytów w zakresie przestrzegania RODO i polityk przez administratora lub podmiot przetwarzający i ich personelu;
9) udzielania na żądanie administratora zaleceń co do oceny skutków dla ochrony danych;
10) monitorowania wykonania oceny skutków dla ochrony danych, zgodnie z art. 35 RODO;
11) uczestniczenia w konsultacjach we wszelkich innych sprawach związanych z ochroną danych osobowych (art. 39 ust. 1 lit. a–c i e in fine RODO).
Jak wskazała Grupa Robocza art. 29 w Wytycznych dotyczących inspektorów ochrony danych („DPO”) (WP 243) w ramach przedmiotowych obowiązków w zakresie monitorowania przestrzegania IOD może w szczególności:
Nadto, w literaturze podkreśla się, że „monitorowanie przestrzegania przepisów i procedur z zakresu ochrony danych osobowych ma charakter ciągły, można by rzec – ustawiczny. Sposoby monitorowania mogą być doprecyzowane w umowie wiążącej inspektora z administratorem lub podmiotem przetwarzającym lub wynikać z jego zakresu czynności jako pracownika. Może być również tak, że sposoby i zasady monitorowania określają polityki obowiązujące w tych podmiotach albo że kwestie te ustalane są na bieżąco między nimi a inspektorem, na potrzeby konkretnego audytu, kontroli czy też innych czynności nadzorczych„2
ZAPAMIĘTAJ! Monitorowanie przestrzegania nie oznacza, że IOD osobiście odpowiada w przypadkach nieprzestrzegania RODO. RODO wyraźnie stanowi bowiem, że to administrator, a nie IOD „wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać” (art. 24 ust. 1).
Do grupy zadań zewnętrznych IOD’a z kolei należą:
1) współpraca z organem nadzorczym;
2) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO,
3) uczestniczenie w konsultacjach we wszelkich innych sprawach związanych z ochroną danych osobowych art. 39 ust. 1 lit. d i e RODO).
Warto wskazać, że IOD, w myśl art. 39 ust. 2 RODO, wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
Czyli…
w praktyce oznacza to konieczność dostosowania wdrażanych zabezpieczeń m.in. do: rodzaju danych (czy są to dane „zwykłe” czy też szczególne kategorie danych), sposobu przetwarzania danych (czy dane są przetwarzane w wydzielonej sieci zamkniętej czy przez ogólnodostępną sieć Internet) oraz ryzyka, jakie wiąże się z przetwarzaniem3. Grupa Robocza art. 29 zwróciła uwagę, że w artykule 39 ust. 2 przywołuje się ogólną, zdroworozsądkową zasadę, którą IOD może odnieść do wielu aspektów swojej codziennej pracy. Wymaga to od Inspektora Ochrony Danych ustalenia priorytetów w zakresie prowadzonych działań i skupienia się na aspektach pociągających za sobą większe ryzyko w zakresie ochrony danych. Nie oznacza to jednak, że powinni oni zaniedbywać monitorowanie przestrzegania operacji przetwarzania danych o relatywnie niższym poziomie ryzyka, a jedynie wskazuje, że powinni oni skupić się przede wszystkim na obszarach podwyższonego ryzyka.
Na koniec warto wspomnieć, iż naruszenie art. 39 RODO może pociągnąć za sobą odpowiedzialność w postaci nałożenia przez organ nadzorczy na administratora lub podmiot przetwarzający administracyjnej kary pieniężnej, w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83 ust. 4 RODO). Jak widać kara może być bardzo dotkliwa.
Np. Luksemburski organ ochrony danych (DPA) nałożył na spółkę grzywnę w wysokości 18 000 EUR. Zdaniem DPA administrator po pierwsze nie zaangażował inspektora ochrony danych we wszystkie sprawy związane z ochroną danych osobowych. Po drugie, administrator nie zapewnił inspektorowi ochrony danych niezbędnych zasobów do wykonywania jego obowiązków.
1 P. Litwinski (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, art. 39, nb. 1
2 A. Nerka, w: Ogólne rozporządzenie o ochronie danych osobowych, s. 430, Nb 7
3 P. Fajgielski, Ogólne rozporządzenie o ochronie danych, s. 317