Należy udostępnić dane inspektora ochrony danych – jakie obowiązki to oznacza

Inspektor ochrony danych (IOD) do swego rodzaju następca administratora bezpieczeństwa informacji (ABI). Ogólne rozporządzenie o ochronie danych (RODO) statuuje charakter prawny, kwalifikacje i kompetencje inspektora ochrony danych. Przede wszystkim jednak w dotychczasowym porządku prawnym nie funkcjonował obowiązek przekazywania osobie, której dane dotyczą, danych kontaktowych administratora bezpieczeństwa informacji. RODO znacząco zmienia tę sytuację, i w kilku przepisach jednoznacznie wskazuje na obowiązek przekazania osobie, której dane dotyczą, danych kontaktowych inspektora ochrony danych.  Co to w gruncie rzeczy oznacza?

Artykuły 37–39 RODO regulują zasady wyznaczania inspektora ochrony danych, jego status prawny oraz zakres zadań. Zgodnie z art. 37 ust. 1 RODO administrator musi wyznaczyć inspektora w trzech sytuacjach, a konkretnie, gdy:

a) przetwarzania dokonuje jako organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (te podmioty mogą wyznaczyć jednego inspektora, jednak pod warunkiem że weźmie się pod uwagę ich wielkość i strukturę organizacyjną, w praktyce zatem możliwe jest wyznaczenie jednego inspektora w przedszkolach gminnych, ale już nie we wszystkich placówkach oświatowych prowadzonych przez gminę),

b) jego główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub

c) jego główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Motyw 97 RODO wskazuje, że administrator lub podmiot przetwarzający dane ma być wspomagany przez osobę, która ma fachową wiedzę na temat prawa i praktyk w zakresie prawa ochrony danych osobowych. Podobnie też brzmi art. 37 ust. 5 RODO, który podkreśla, że inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO. Konkluzja – IOD trzeba wyznaczyć, uwzględniając jego kwalifikacje zawodowe, a w szczególności wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętność wypełnienia zadań w branży, w której działa administrator.

Grupa Robocza Art. 29 wskazuje, że pojęcie „fachowa wiedza” nie jest jednoznacznie rozumiane. To administrator będzie decydował o tym, kto i z jaką wiedzą ma być dla niego wsparciem. Europejski ustawodawca nie wskazuje wprost, jak tę wiedzę należy weryfikować. Niemniej jednak w praktyce trudno nie odnosić się do dokumentacji potwierdzającej wiedzę IOD zdobytą np. w trakcie kierunkowych studiów podyplomowych, szkoleń, kursów itd. W odniesieniu do „kwalifikacji zawodowych” Grupa Robocza Art. 29 podkreśla podobną uznaniową ich interpretację. Administrator musi mieć pewność, że IOD będzie potrafił odnaleźć się w sektorze, w którym prowadzi swoją działalność.

Zadania inspektora ochrony danych wskazuje art. 39 RODO. Zgodnie z nim inspektor będzie musiał:

a) informować administratora (lub/oraz podmiot przetwarzający, pracowników, którzy przetwarzają dane osobowe) o obowiązkach związanych z ochroną danych osobowych, jak również będzie musiał w tym zakresie pełnić funkcję doradczą,

b) monitorować przestrzeganie RODO oraz innych przepisów regulujących ochronę danych osobowych, w tym polityk w dziedzinie ochrony danych osobowych, jak również dokonywać podziału obowiązków, prowadzić działania zwiększające świadomość, szkolenia kadry pracowniczej w zakresie ochrony danych osobowych czy też przeprowadzać audyty w tym zakresie,

c) udzielać na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorować jej wykonanie zgodnie z art. 35 RODO,

d) współpracować z organem nadzorczym,

e) pełnić funkcję punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzić konsultacje w tym zakresie. 

Zgodnie z RODO już podczas zbierania danych osobowych administrator musi podać dane kontaktowe do IOD, jeśli go wyznaczył. Zasada ta wyrażona jest w art. 13 RODO: „Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje, gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych”. Podobnie tę zasadę realizuje również art. 14 RODO. Artykuł 33 RODO wskazuje, że w przypadku naruszenia ochrony danych osobowych, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – administrator zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W zgłoszeniu z kolei musi znaleźć się imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji. Podobnie też jest w przypadku uprzednich konsultacji z organem nadzorczym – art. 36 ust. 3 RODO, jak również w przypadku realizowania obowiązku z art. 37 RODO, tj. publikowania danych kontaktowych IOD i zawiadamiania o nich organu nadzorczego.

W wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych podkreśla się, że łatwo dostępne dane do IOD to np. adres korespondencyjny, telefon kontaktowy lub dedykowany adres e-mail. Innym przykładem realizowania tego obowiązku jest również dedykowana infolinia lub formularz kontaktowy na stronie internetowej ADO. RODO nie wymaga publikowania imienia i nazwiska IOD, ale może to być pomocne w nawiązaniu z nim kontaktu, dlatego Grupa Robocza Art. 29 zaleca przekazanie również i tych informacji. Dane te mogą zostać udostępnione wewnętrznie np. poprzez intranet, w wewnętrznej książce telefonicznej albo w ramach rozpisanej struktury organizacyjnej. Przekazanie organowi nadzorczemu imienia i nazwiska IOD jest niezbędne, aby inspektor mógł sprawować funkcję punktu kontaktowego pomiędzy ADO a organem nadzorczym (art.  39 ust. 1 pkt e RODO).

Mając na uwadze bezpośrednią wykładnię przepisów RODO regulujących zagadnienie IOD jako punktu kontaktowego, nie można jednoznacznie stwierdzić, że procedura kontaktu z inspektorem ochrony danych jest wymagana. Przepisy nie wprowadzają wszak takiego obowiązku wprost. Należy jednak pamiętać o elastycznym charakterze RODO, o tym, że im bardziej skrupulatnie podejdzie się do ochrony danych osobowych i zasady rozliczalności, tym łatwiej będzie uwiarygodnić zaangażowanie w proces ochrony danych osobowych. W związku z tym wydaje się, że ewentualna procedura kontaktu z IOD może z tego punktu widzenia być słusznym rozwiązaniem. Opracowując jej ewentualne zasady, nie można jednak zapomnieć o tym, że kontakt z IOD ma być przede wszystkim łatwy i bezpośredni. Opracowanie wzoru formularza kontaktowego z inspektorem ochrony danych, czy to w formie tradycyjnej – pisemnej, czy to w formie aktywnego formularza online, nie będzie wpływało negatywnie na realizowanie zasady kontaktu z IOD, jeśli bez utrudnień trafią one do inspektora.