Dlaczego nie wolno oszczędzać na IOD
Niejednokrotnie kierownictwo organizacji dochodzi do wniosku, że wyznaczenie inspektora ochrony danych jest zbędne. Przyjmują bowiem założenie, że lepsza jest niewiedza w zakresie konieczności zapewnienia bezpieczeństwa danych osobowych, niż ciągle i sukcesywnie nabywane informacje od IOD o niedociągnięciach w systemie ochrony danych oraz o konieczności wdrażania rekomendowanych przez IOD rozwiązań. To bowiem jest kosztowne. Dlaczego takie podejście jest nieprawidłowe? Wyjaśniamy to w artykule.
Wskazana praktyka powoływania inspektorów ochrony danych i tego w jaki sposób są postrzegani w organizacji nie jest niestety nowością. Z doświadczeń autora artykułu wynika, że problem ochrony danych osobowych przez niektórych administratorów jest postrzegany jako listek figowy mający przykryć nagość i bezbronność prezentowaną przez system ochrony danych osobowych w danym podmiocie. Taka praktyka jest naturalnie sprzeczna z prawem.
IOD ma przewidziane w prawie zadania
RODO wskazuje w art. 39 ust. 1 między innymi na następujące główne zadania inspektora:
- informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich i doradzanie im w tej sprawie;
- monitorowanie przestrzegania przepisów o ochronie danych oraz polityk administratora;
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
- współpraca z organem nadzorczym, w tym pełnienie funkcji punktu kontaktowego dla organu nadzorczego.
Jakie gwarancje musi spełnić ADO
Aby IOD mógł być w stanie wykonywać swoje zadania ADO:
- zapewnia by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (art. 38 ust. 1 RODO);
- wspiera IOD w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
Dobrze umocowany IOD powinien więc mieć dostęp do wszystkich lokalizacji, dokumentów, informacji i osób związanych z przetwarzaniem danych osobowych.
Przykładowo:
- IOD może dokonywać doraźnych sprawdzeń, rozumianych jako zapoznanie się z tym jak dany pracownik przetwarza dane osobowe, czy nie ma ryzyka wycieku, czy przestrzega regulacji wewnętrznych itd.;
- IOD może mieć wgląd w teczki osobowe pracowników jeśli podejrzewa, że gromadzi się w nich nadmierne dane; nie różni się to niczym od dostępu IOD do innych dokumentów z danymi osobowymi;
- IOD może przeglądać skrzynki elektroniczne pracowników ale nie celem ustalenia czy wykorzystywane są do celów służbowych (bo w kompetencjach IOD nie leżą uprawnienia z zakresu zarządzania zasobami ludzkim, w tym nadzór nad pracownikiem); natomiast taki przegląd może mieć na celu analizę czy dochodzi do wycieku danych osobowych poza organizację;
- przed skontrolowaniem wystarczy aby IOD powołał się na zadania IOD określone w art. 39 RODO i zajmowane przez siebie stanowisko.
Za nieprawidłowości odpowiada zawsze ADO
Przede wszystkim jednak art. 37-39 RODO nie zwalniają administratora danych osobowych z jego odpowiedzialności tylko z tego powodu, że administrator wyznaczył IOD. Niezależnie więc od tego czy kierownictwo danego podmiotu miało obowiązek wyznaczyć IOD czy też takiego obowiązku nie miało, ponosi pełną odpowiedzialność za przetwarzania danych osobowych w danej jednostce.
Brak wiedzy na temat nieprawidłowości nie chroni administratora przed odpowiedzialnością za bezpieczeństwo danych osobowych.
To kierownictwo podmiotu decyduje przecież o tym jak dane są w tym podmiocie przetwarzane. To zarząd w spółce czy dyrekcja w szpitalu przyjmuje regulacje wewnętrzne obowiązujące w zakresie przetwarzania danych, w tym przede wszystkim odnoszące się do ich zabezpieczania. No i wreszcie to administrator a nie inspektor ochrony danych będzie zobowiązany ponieść karę pieniężną nałożoną przez inspektorów Prezesa UODO.
Dlaczego należy zadbać o odpowiedni status IOD
Dobry inspektor ochrony danych jest sygnalizatorem, lampką wczesnego ostrzegania. Działa niczym czujka, która wykrywa niebezpieczeństwo i informuje o tym osoby reprezentujące administratora aby te były w stanie podjąć w odpowiednim czasie działania zaradcze czy naprawcze. Z kolei „IOD-figurant” to tylko koszt dla administratora – w niczym nie chroni i nie można liczyć na to, że pozwoli zminimalizować ryzyko negatywnych następstw nieprawidłowego przetwarzania danych.
Organy sprawujące nadzór nad daną jednostką (np. rada nadzorcza w spółce czy organ założycielski w przypadku szkoły) nie powinny tolerować lekceważącego podejścia osób zarządzających podmiotem do kwestii ochrony danych w tym do statusu IOD.
- Ochrona sygnalistów a RODO - czy IOD może obsługiwać zgłoszenia naruszeń prawa
- Kodeks postępowania RODO w ochronie zdrowia - jakie rozwiązania przewiduje
- Jaka jest podstawa przetwarzania danych osobowych w zaświadczeniu o niekaralności z Krajowego Rejestru Karnego
- Roczne sprawozdanie RODO - czy jest wymagane od administratora danych osobowych lub IOD
- Czy inspektor ochrony danych może podpisać klauzulę informacyjną RODO
- Rekomendacje Urzędu Ochrony Danych Osobowych w sprawie inspektorów ochrony danych
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
