Należy udostępnić dane inspektora ochrony danych – jakie obowiązki to oznacza

Paweł Biały

Autor: Paweł Biały

Dodano: 7 maja 2018
Należy udostępnić dane inspektora ochrony danych – jakie obowiązki to oznacza

Inspektor ochrony danych będzie odgrywał bardzo ważną rolę w ochronie procesów przetwarzania danych osobowych. RODO znacząco podkreśla uprawnienia osoby, której dane dotyczą, tym samym gwarantuje jej bardzo łatwy, bezpośredni kontakt z inspektorem, jeśli został wyznaczony. Pamiętając o tych zasadach, warto już dziś przemyśleć ścieżkę kontaktu osoby, której dane dotyczą z IOD, mając na uwadze kontakt zarówno elektroniczny, telefoniczny, jak i tradycyjny – osobisty.

Inspektor ochrony danych (IOD) do swego rodzaju następca administratora bezpieczeństwa informacji (ABI). Ogólne rozporządzenie o ochronie danych (RODO) statuuje charakter prawny, kwalifikacje i kompetencje inspektora ochrony danych. Przede wszystkim jednak w dotychczasowym porządku prawnym nie funkcjonował obowiązek przekazywania osobie, której dane dotyczą, danych kontaktowych administratora bezpieczeństwa informacji. RODO znacząco zmienia tę sytuację, i w kilku przepisach jednoznacznie wskazuje na obowiązek przekazania osobie, której dane dotyczą, danych kontaktowych inspektora ochrony danych.  Co to w gruncie rzeczy oznacza?

Te podmioty muszą wyznaczyć inspektora ochrony danych

Artykuły 37–39 RODO regulują zasady wyznaczania inspektora ochrony danych, jego status prawny oraz zakres zadań. Zgodnie z art. 37 ust. 1 RODO administrator musi wyznaczyć inspektora w trzech sytuacjach, a konkretnie, gdy:

a) przetwarzania dokonuje jako organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (te podmioty mogą wyznaczyć jednego inspektora, jednak pod warunkiem że weźmie się pod uwagę ich wielkość i strukturę organizacyjną, w praktyce zatem możliwe jest wyznaczenie jednego inspektora w przedszkolach gminnych, ale już nie we wszystkich placówkach oświatowych prowadzonych przez gminę),

b) jego główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub

c) jego główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Jakie warunki musi spełniać inspektor ochrony danych

Motyw 97 RODO wskazuje, że administrator lub podmiot przetwarzający dane ma być wspomagany przez osobę, która ma fachową wiedzę na temat prawa i praktyk w zakresie prawa ochrony danych osobowych. Podobnie też brzmi art. 37 ust. 5 RODO, który podkreśla, że inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO. Konkluzja – IOD trzeba wyznaczyć, uwzględniając jego kwalifikacje zawodowe, a w szczególności wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętność wypełnienia zadań w branży, w której działa administrator.

Grupa Robocza Art. 29 wskazuje, że pojęcie „fachowa wiedza” nie jest jednoznacznie rozumiane. To administrator będzie decydował o tym, kto i z jaką wiedzą ma być dla niego wsparciem. Europejski ustawodawca nie wskazuje wprost, jak tę wiedzę należy weryfikować. Niemniej jednak w praktyce trudno nie odnosić się do dokumentacji potwierdzającej wiedzę IOD zdobytą np. w trakcie kierunkowych studiów podyplomowych, szkoleń, kursów itd. W odniesieniu do „kwalifikacji zawodowych” Grupa Robocza Art. 29 podkreśla podobną uznaniową ich interpretację. Administrator musi mieć pewność, że IOD będzie potrafił odnaleźć się w sektorze, w którym prowadzi swoją działalność.

PRZYKŁAD

W przypadku podmiotów publicznych inspektor ochrony danych powinien znać procedury administracyjne (materialne, procesowe, organizacyjne), co wprost koresponduje z dysponowaniem fachową wiedzą. Podobnie też w przypadku szczególnej branży, jaką jest ochrona zdrowia. Wydaje się, że trudno byłoby w tych branżach odnaleźć się inspektorowi, który ma doświadczenie w branży oświatowej czy branży motoryzacyjnej.

Jakie będą zadania inspektora ochrony danych

Zadania inspektora ochrony danych wskazuje art. 39 RODO. Zgodnie z nim inspektor będzie musiał:

a) informować administratora (lub/oraz podmiot przetwarzający, pracowników, którzy przetwarzają dane osobowe) o obowiązkach związanych z ochroną danych osobowych, jak również będzie musiał w tym zakresie pełnić funkcję doradczą,

b) monitorować przestrzeganie RODO oraz innych przepisów regulujących ochronę danych osobowych, w tym polityk w dziedzinie ochrony danych osobowych, jak również dokonywać podziału obowiązków, prowadzić działania zwiększające świadomość, szkolenia kadry pracowniczej w zakresie ochrony danych osobowych czy też przeprowadzać audyty w tym zakresie,

c) udzielać na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorować jej wykonanie zgodnie z art. 35 RODO,

d) współpracować z organem nadzorczym,

e) pełnić funkcję punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzić konsultacje w tym zakresie. 

Ważne:

Administrator będzie musiał ocenić, czy kandydat, którego zamierza wyznaczyć do pełnienia funkcji inspektora ochrony danych, spełnia wszystkie kryteria wskazane w RODO.

Co to oznacza, że inspektor ochrony danych będzie punktem kontaktowym

Zgodnie z RODO już podczas zbierania danych osobowych administrator musi podać dane kontaktowe do IOD, jeśli go wyznaczył. Zasada ta wyrażona jest w art. 13 RODO: „Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje, gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych”. Podobnie tę zasadę realizuje również art. 14 RODO. Artykuł 33 RODO wskazuje, że w przypadku naruszenia ochrony danych osobowych, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – administrator zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W zgłoszeniu z kolei musi znaleźć się imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji. Podobnie też jest w przypadku uprzednich konsultacji z organem nadzorczym – art. 36 ust. 3 RODO, jak również w przypadku realizowania obowiązku z art. 37 RODO, tj. publikowania danych kontaktowych IOD i zawiadamiania o nich organu nadzorczego.

Uwaga

Jak podkreśla Grupa Robocza Art. 29 w wytycznych WP 243, istotą publikowania danych kontaktowych IOD jest łatwy i co najważniejsze – bezpośredni kontakt z inspektorem. Możliwość takiego kontaktu powinny mieć zarówno osoby świadczące pracę w ramach struktury organizacyjnej ADO, jak i – jeśli nie przede wszystkim – osoby, których dane dotyczą, np. konsumenci. Chodzi o to, aby potencjalna osoba, której dane dotyczą, nie musiała „poszukiwać” w ramach struktury ADO kontaktu do IOD. Dlatego administrator musi zadbać o to, aby dane kontaktowe inspektora były łatwo, intuicyjnie dostępne, tak aby można było się z nim porozumieć.

W wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych podkreśla się, że łatwo dostępne dane do IOD to np. adres korespondencyjny, telefon kontaktowy lub dedykowany adres e-mail. Innym przykładem realizowania tego obowiązku jest również dedykowana infolinia lub formularz kontaktowy na stronie internetowej ADO. RODO nie wymaga publikowania imienia i nazwiska IOD, ale może to być pomocne w nawiązaniu z nim kontaktu, dlatego Grupa Robocza Art. 29 zaleca przekazanie również i tych informacji. Dane te mogą zostać udostępnione wewnętrznie np. poprzez intranet, w wewnętrznej książce telefonicznej albo w ramach rozpisanej struktury organizacyjnej. Przekazanie organowi nadzorczemu imienia i nazwiska IOD jest niezbędne, aby inspektor mógł sprawować funkcję punktu kontaktowego pomiędzy ADO a organem nadzorczym (art.  39 ust. 1 pkt e RODO).

Czy należy opracować procedurę kontaktu z IOD

Mając na uwadze bezpośrednią wykładnię przepisów RODO regulujących zagadnienie IOD jako punktu kontaktowego, nie można jednoznacznie stwierdzić, że procedura kontaktu z inspektorem ochrony danych jest wymagana. Przepisy nie wprowadzają wszak takiego obowiązku wprost. Należy jednak pamiętać o elastycznym charakterze RODO, o tym, że im bardziej skrupulatnie podejdzie się do ochrony danych osobowych i zasady rozliczalności, tym łatwiej będzie uwiarygodnić zaangażowanie w proces ochrony danych osobowych. W związku z tym wydaje się, że ewentualna procedura kontaktu z IOD może z tego punktu widzenia być słusznym rozwiązaniem. Opracowując jej ewentualne zasady, nie można jednak zapomnieć o tym, że kontakt z IOD ma być przede wszystkim łatwy i bezpośredni. Opracowanie wzoru formularza kontaktowego z inspektorem ochrony danych, czy to w formie tradycyjnej – pisemnej, czy to w formie aktywnego formularza online, nie będzie wpływało negatywnie na realizowanie zasady kontaktu z IOD, jeśli bez utrudnień trafią one do inspektora.

Paweł Biały

Autor: Paweł Biały

doktor nauk prawnych, prawnik praktyk, ekspert z zakresu prawa ochrony danych osobowych, administrator bezpieczeństwa informacji, prowadzi warsztaty i szkolenia, wykładowca akademicki, Instytut Ochrony Danych Osobowych

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel