2 dni temu
Personalny fundament ochrony danych osobowych
Inspektor ochrony danych (dalej: IOD) to jedyna funkcja organizacyjna nazwana w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO). Wymagane w RODO niezależność oraz usytuowanie organizacyjne inspektorów (bezpośrednio pod „najwyższym kierownictwem”), wraz z kompetencjami osoby sprawującej funkcję, są głównym personalnym – wewnątrz jednostki organizacyjnej – gwarantem zapewnienia zgodności działalności z obowiązkami określonymi w RODO.
W Polsce IOD stanowi kontynuację funkcji administratora bezpieczeństwa informacji, która w wyniku zmian ustawowych od 1.1.2015 r. pozostawała zbliżona prawnymi cechami do tej uregulowanej w RODO właśnie po to, aby przygotować do wykonywania zadań IOD. Przekształcenie w nową funkcję stało się faktem od 25.5.2018 r. (tj. od daty rozpoczęcia stosowania RODO).
Oceniając już historię wdrażania wymagań RODO, to inspektorzy byli – co do zasady – kluczowymi uczestnikami przygotowań i realizacji wymagań w sferze wewnętrznej administratorów i podmiotów przetwarzających.
Rozumienie unikania konfliktu interesów
Jedną z gwarancji niezależności IOD jest warunek unikania konfliktu interesów. W art. 38 ust.6 RODO został on sformułowany w ten sposób, iż co prawda IOD może wykonywać inne zadania i obowiązki niż te określone w art. 39 RODO, ale administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów. Przypomnijmy, iż zadania wskazane w art. 39 ust.1 RODO obejmują w szczególności działalność informacyjną i doradczą IOD, monitorowanie przez niego przestrzegania przepisów o ochronie danych osobowych i polityk ochrony danych, opiniowanie oceny skutków dla ochrony danych oraz pełnienie roli punktu kontaktowego (dla organu nadzorczego oraz podmiotów danych).
W pierwszym okresie obowiązywania RODO konflikt interesów był zasadniczo odnoszony do kontekstu nakładania na IOD zadań poza ochroną danych osobowych. Akcentowano, iż takie „inne zadania” nie powinny polegać na podejmowaniu „decyzji” w przedmiocie przetwarzania danych osobowych, ponieważ jednocześnie podlegają one monitoringowi IOD, prowadząc w jego przypadku do konfliktu interesów. Najważniejszym dokumentem potwierdzającym takie rozumienie konfliktu interesów były wytyczne WP 243 Grupy Roboczej z 2017 r. dotyczące art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz. UE L z 1995 r. Nr 281, s. 31), właśnie odnoszące się do IOD. Jednocześnie w tych samych wytycznych WP 243 dopuszczono powierzanie przez administratora realizacji przez IOD niektórych obowiązków dokumentacyjnych z RODO (rejestr czynności przetwarzania), co pośrednio oznacza brak istnienia w tym przypadku analizowanego konfliktu.
Jednak z czasem Prezes UODO odniósł ten konflikt do obszaru prawnych obowiązków ochrony danych osobowych, przyjmując, iż w kolizję z zadaniami IOD wchodzi każde wykonywanie obowiązków określonych w RODO („w zastępstwie administratora”) oraz każde reprezentowanie tegoż administratora w stosunkach z organem nadzorczym czy osobami, których dane dotyczą. W pierwszym przypadku konflikt będzie powodowało monitorowanie własnych działań, zaś działanie IOD jako pełnomocnika narusza jego niezależność z racji charakteru stosunku mandant – pełnomocnik.
Również zawężeniu ulega sama funkcja doradzania, ponieważ inspektor nie może w jej ramach proponować konkretnych rozwiązań wykonujących obowiązki ustalone w RODO. W praktyce IOD ma się więc skupić w ochronie danych osobowych na wąsko rozumianych zadaniach wyznaczonych w art. 39 ust.1 RODO.
Konsekwencje dla administratora oraz IOD
Celem niniejszego tekstu nie jest ocena prawna tak rygorystycznej wykładni Prezesa UODO. Uczyniłem już to z r.pr. Bartłomiejem Żeromskim w artykule: „Konsekwencje warunku unikania konfliktu interesów inspektora ochrony danych dla dopuszczalnego zakresu jego zadań w ochronie danych osobowych” opublikowanym w dodatku specjalnym do Monitora Prawniczego Nr 11/2024.
W tym tekście skupię się na konsekwencjach organizacyjnych spowodowanych stanowiskami Prezesa UODO. Skoro bowiem – zdaniem organu nadzorczego – IOD ma się ograniczyć tylko do zadań z art. 39 ust.1 RODO, a jego doradztwo ma mieć bardziej kierunkowy charakter, to w praktyce inne osoby muszą w jednostce organizacyjnej zająć się realizacją obowiązków administratora z RODO, szczególnie biorąc pod uwagę, iż najczęściej takim administratorem będzie inny podmiot prawa niż osoba fizyczna. Ponieważ wykonywanie wymagań ochrony danych osobowych powinno być procesem skoordynowanym, to zatem inne niż inspektor osoby powinny zarządzać realizacją tych wymagań. W ten sposób dojdzie do funkcjonowania dwóch komórek w sferze wewnętrznej:
- niezależnego IOD, który może być wspierany przez zastępcę i zespół oraz
- „grupę wykonawczą”, tj. osobę lub zespół zajmujące się wykonaniem obowiązków, w tym zarządzania tym obszarem.
W przypadku tej grupy wykonawczej nie istnieją wymagania co do jej miejsca w strukturze organizacji. Może ona działać w ramach innych komórek (prawnej, organizacyjnej lub bezpieczeństwa), ale również tworzyć odrębną komórkę (ochrony danych osobowych).
W przypadku outsourcingu funkcji IOD powyższe oznacza, iż ta sama osoba (lub grupa osób) nie może jednocześnie wykonywać zadań IOD oraz realizować obowiązków administratora określonych w RODO.
Reakcje administratorów
Ta część zawiera jedynie moje bieżące obserwacje, ponieważ jak na razie nie przeprowadzono żadnych badań w zakresie podejścia do wymagań Prezesa UODO dotyczących funkcjonowania IOD. Na marginesie, to, jak dużo mamy luk w publicznej wiedzy na temat sytuacji inspektorów w Polsce, pokazuje brak informacji z UODO choćby co do liczby wyznaczonych i zgłoszonych inspektorów do tego urzędu. Inaczej ujmując, nie mamy aktualnej wiedzy, ilu inspektorów funkcjonuje w naszym kraju.
Wracając do głównego wątku – odpowiedź na pytanie o reakcję administratorów na stanowiska Prezesa UODO nie jest jednoznaczna. Cześć środowiska nie jest bowiem świadoma aktualnej wykładni urzędowej, a szczególnie przedsiębiorcy przez cały czas uważają, iż wyznaczenie IOD pozwoli na scedowanie na niego wszystkich kwestii związanych z obowiązkami ustanowionymi w RODO. Zjawisku temu sprzyja brak jednego dokumentu urzędowego Prezesa UODO (np. wytycznych), w którym zawarłby wszystkie swoje stanowiska dotyczące pełnienia funkcji IOD. w tej chwili pozostają one rozproszone w różnych dokumentach urzędowych, materiałach informacyjnych i wystąpieniach np. w zakresie naruszeń ochrony danych w ostatnim poradniku UODO z lutego 2025 r.
Wśród tych „świadomych” zauważam kilka postaw. Pierwsza to dostosowywanie się organizacyjne do stanowisk Prezesa UODO w celu uwzględnienia poglądów organu nadzorczego. W szczególności w przypadku istnienia komórek ochrony danych osobowych dochodzi do ich podziału na IOD oraz „grupę wykonawczą”.
Druga postawa dotyczy tej grupy przedsiębiorców i innych podmiotów prawa prywatnego, którzy nie mają obowiązku wyznaczania inspektora ochrony danych. Zdarza się, iż oni po prostu rezygnują z wyznaczania IOD i ograniczają się tylko do działania „grupy wykonawczej” w swojej jednostce organizacyjnej.
Trzecią postawę charakteryzuje kwestionowanie przynajmniej części stanowisk Prezesa UODO i pozostawienie inspektorowi rozbudowanej funkcji doradczej oraz powierzanie tych obowiązków, które nie powodują konfliktu interesów (np. prowadzenie rejestrów czynności oraz ewidencji naruszeń ochrony danych). Dotychczas Prezes UODO nie wydał bowiem żadnej decyzji administracyjnej potwierdzającej jego wykładnię w indywidualnej sprawie, a co z tym związane – nie wypowiedziały się też w tej prawnej kwestii sądy administracyjne kontrolujące decyzje tego organu nadzorczego.
Wreszcie ostatnia postawa, w której administratorzy nie zmieniają swojego dotychczasowego działania scedowującego na IOD całość problematyki ochrony danych, ale jednocześnie „maskują” aktywność inspektora w sferze realizacji obowiązków administratora. Oczywiście nie ma to już nic wspólnego z zapewnianiem jasnych, formalnych standardów ochrony danych osobowych, ale staje się to tylko swoistą grą w kotka i myszkę z organem nadzorczym.
W oczekiwaniu na wytyczne EROD
Dnia 11.2.2025 r. Europejska Rada Ochrony Danych (dalej: EROD) ogłosiła rozpoczęcie prac nad wytycznymi dotyczącymi inspektorów ochrony danych, które mają zaktualizować wspomniane wcześniej wytyczne WP 243 z 2017 r. Jedną z przyczyn tego działania EROD są różnice w wykładni przepisów o IOD między poszczególnymi państwami unijnymi. Już w styczniu 2024 r. EROD przyjął raport z badania przeprowadzonego w ramach skoordynowanego działania egzekucji prawa CEF (Coordinated Enforcement Framework) dotyczącego wyznaczania i pozycji IOD w państwach członkowskich Unii Europejskiej, który potwierdził niejednolite podejście krajowych organów nadzorczych do funkcjonowania inspektora. Zakończenie obecnych prac EROD i wydanie wytycznych zapowiedziano na drugi kwartał 2026 r.
Nie ulega wątpliwości, iż przedmiotem wytycznych będą również zagadnienia niezależności i unikania konfliktu interesów. Doczekamy się zatem jednolitej unijnej wykładni przepisów RODO w tym zakresie, która będzie także wiążąca dla Prezesa UODO.
