RODO: Inspektor Ochrony Danych

29 marca 2018 r. 

Zgodnie z Motywem 4 RODO Prawo do ochrony danych osobowych nie jest prawem bezwzględnym; należy je postrzegać w kontekście funkcji społecznej i wyważyć w myśl zasady proporcjonalności względem innych praw podstawowych. Odnosi się to również do zrozumienia zadań i roli w organizacji Inspektora Ochrony Danych (IOD) – nowej funkcji, którą wprowadza Rozporządzenie o Ochronie Danych Osobowych (RODO).

Czy IOD jest niezbędny w przedsiębiorstwie?

W art. 37 rozporządzenia przewiduje się sytuacje, w których administrator danych osobowych i podmiot przetwarzający dane (w imieniu administratora) mają obowiązek wyznaczenia IOD, a jego niepowołanie stanowi przesłankę nałożenia kary administracyjnej. Należą do nich:

• przetwarzanie dokonywane przez organ lub podmiot publiczny, z wyjątkiem sądów, w zakresie sprawowania przez nie wymiaru sprawiedliwości, sytuacja, gdy główna działalność administratora (lub podmiotu przetwarzającego) polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają systematycznego i regularnego monitorowania osób, których dane dotyczą, na dużą skalę,
• główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO (dane wrażliwe, ujawniające m.in. pochodzenie, stan zdrowia, poglądy polityczne,  światopogląd) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (o czym mowa w art. 10 rozporządzenia).

Większość przedsiębiorców prowadzących działalność gospodarczą na terytorium Polski i UE nie będzie miało obowiązku powołania inspektora ochrony danych. W wielu przypadkach jego ustanowienie będzie miało charakter dobrowolny, warto mieć na uwadze korzyści płynące z takiej decyzji.

Niewątpliwie w każdej organizacji gospodarczej IOD, jako strażnik procesów związanych z ochroną danych osobowych będzie odpowiedzialny za przestrzeganie nie tylko RODO, ale również zgodności działania i organizacji przedsiębiorstwa z pozostałymi przepisami o ochronie danych osobowych. IOD będzie stał na straży nie tylko ochrony danych osobowych osób fizycznych, przetwarzanych przez administratora lub podmiot przetwarzający. Do jego zadań należeć będzie bieżące przeprowadzanie wewnątrz organizacji audytów, dostarczających informacji o procesach przetwarzania danych osobowych oraz na temat innych dysfunkcji zachodzących w organizacji. Funkcję tę może sprawować osoba z personelu administratora lub podmiotu przetwarzającego, a także zewnętrzny profesjonalista, który poza oceną przetwarzania danych osobowych, będzie mógł zweryfikować pozostałe procesy w organizacji (np. finansowe, informatyczne, logistyczne).

Czy warto powołać inspektora ochrony danych w strukturze organizacji skoro nie ma takiego obowiązku na mocy przepisów? Czy faktycznie będzie on uprawniony do podejmowania szeregu innych czynności, nie tylko tych z zakresu ochrony danych osobowych?

IOD a Grupa Robocza Art. 29

Grupa Robocza Art. 29 ds. Ochrony Danych jest niezależnym organem doradczym, ustanowionym na mocy art. 29 dyrektywy 95/46/WE. Wytyczne Grupy  mówią jednoznacznie, że  powołanie inspektora może ułatwić przestrzeganie przepisów oraz przyczynić się do wzrostu konkurencyjności przedsiębiorstwa. IOD z jednej strony ma gwarantować przestrzeganie przepisów poprzez wprowadzenie mechanizmów rozliczania, jak również odgrywać rolę pośrednika pomiędzy zainteresowanymi stronami (np. organem ochrony danych osobowych, osobami, których dane dotyczą albo jednostkami w ramach przedsiębiorstwa).

Grupa wskazuje jako dobrą praktykę, przekazywanie IOD przez podmiot przetwarzający również nadzoru nad działaniami prowadzonymi przez podmiot, w stosunku do których posiada on status administratora (np. podmioty z którymi administrator danych zawarł umowy na usługi z zakresu HR, IT, logistyki).

Wynika z tego, że rola i zadania IOD nie sprowadzają się tylko i wyłącznie do bycia strażnikiem stosowania u administratora danych osobowych (lub podmiotu przetwarzającego) przepisów RODO oraz pozostałych przepisów i uregulowań dotyczących ochrony danych osobowych, lecz także zmierzają do podejmowania innych działań, które mają na celu monitorowanie procesów podejmowanych w danej organizacji.

Inne obowiązki Inspektora Ochrony Danych

Grupa Robocza Art. 29, w ślad za art. 38 (6) RODO wyjaśnia, że Inspektor Ochrony Danych, będąc przykładowo członkiem organizacji, może podejmować inne zadania i obowiązki, jednak jego działania nie mogą prowadzić do konfliktu interesów. Podkreśla, że inspektor ochrony danych nie może zajmować w organizacji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych.

Dlatego też, IOD jednej strony pozostaje podmiotem zakotwiczonym ściśle w RODO, z drugiej zaś (zwłaszcza podejmując inne działania na rzecz administratora lub podmiotu przetwarzającego) funkcjonuje obok RODO i jego działania mogą zmierzać do np. poprawy efektywności biznesowej administratora lub podmiotu przetwarzającego w celu zwiększenia ich konkurencyjności.

Gdyby byli Państwo zainteresowani omawianym tematem i wszystkimi zmianami, które wprowadzi RODO, eksperci Rödl & Partner pozostają do Państwa dyspozycji w biurach w: Gdańsku, Gliwicach, Krakowie, Poznaniu, Warszawie, Wrocławiu.