„Człowiek od RODO” tak w wielu organizacjach pracownicy kojarzą funkcję Inspektor ochrony danych (IOD). Chociaż funkcja ta obowiązuje w obecnym kształcie od 2018 roku, to przez cały czas wielu przedsiębiorców nie wie, czy powinni wyznaczyć IOD-a. Czym miałby się on zajmować, czy musi nim być jeden z pracowników, czy też może to być podmiot zewnętrzny. Warto więc przybliżyć ten temat i odpowiedzieć na najczęstsze wątpliwości administratorów danych oraz podmiotów przetwarzających.
Kim jest Inspektor ochrony danych i jakie musi mieć kwalifikacje?
W pewnym uproszczeniu można powiedzieć, iż IOD to niezależny, profesjonalny doradca administratora danych (podmiotu przetwarzającego) w dziedzinie ochrony danych osobowych, a także wewnętrzny audytor tego obszaru w danej organizacji. W przeciwieństwie do administratora nie ustala on celów i sposobów przetwarzania danych osobowych. Nie organizuje też procesu przetwarzania takich danych, jak również co do zasady nie odpowiada za niezgodne z prawem przetwarzanie danych przez administratora. Jego rolą jest zapewnienie administratorowi wsparcia w wywiązywaniu się z obowiązków, które nakładają na niego przepisy RODO. Wyjaśnia zawiłości prawa o ochronie danych osobowych, kontroluje czy poziom ochrony danych osobowych w danej organizacji jest odpowiedni, a także raportuje do administratora o dostrzeżonych nieprawidłowościach.
Wiedza i wykształcenie IOD-a
Zawód inspektora ochrony danych nie jest sformalizowany – nie ma publicznego rejestru inspektorów, wykonywanie tego zawodu nie wymaga ukończenia specjalnych szkoleń czy egzaminów. Może nim zostać w praktyce każdy i dlatego zadaniem administratora jest dokonanie odpowiedniego wyboru eksperta. Przepisy RODO w ogólny sposób wskazują, iż IOD wyznaczany jest w oparciu o posiadane przez niego kwalifikacje takie jak wiedza fachowa z zakresu prawa i praktyki w dziedzinie ochrony danych oraz umiejętności wypełniania zadań przypisanych inspektorowi. Warto podkreślić, o czym zapomina wielu administratorów, ale też osób aspirujących do zostania IOD, iż wiedza fachowa z zakresu prawa musi dotyczyć nie tylko znajomości RODO i krajowej ustawy o ochronie danych osobowych z 2018 roku. Ochrona danych osobowych jest zagadnieniem złożonym i regulowanym przez cały szereg aktów prawnych – począwszy od ogólnych, takich jak Kodeks pracy, czy Kodeks cywilny, aż po akty adekwatne dla danej branży, np. Prawo spółdzielcze, ustawę o spółdzielniach mieszkaniowych, ustawę o dostępie do informacji publicznej.
Co powinien wiedzieć dobry Inspektor ochrony Danych
Również wiedza fachowa z zakresu praktyki w dziedzinie ochrony danych osobowych nie oznacza wyłącznie znajomości rozstrzygnięć Prezesa Urzędu Ochrony Danych Osobowych. Dobry IOD powinien dysponować też chociażby podstawową wiedzą z zakresu informatyki, cyberbezpieczeństwa, ale też znajomością praktyk rynkowych. Nie można również bagatelizować kompetencji miękkich, bez których wykonywanie zadań IOD będzie znacznie utrudnione. Do tych należy zaliczyć m.in. umiejętności interpersonalne, w tym otwartość na kontakt z innym człowiekiem, umiejętność jasnego i zrozumiałego wyrażania myśli. Nie mniej istotna jest też asertywność inspektora oraz zdolność do stawiania granic, które pozwolą mu na strzeżenie swojej niezależności. Przydatna będzie też umiejętność działania pod presją czasu i zarządzania priorytetami.
Zadania Inspektora ochrony danych
Częste wątpliwości wiążą się z zakresem zadań, które realizować powinien IOD w danej organizacji. Prawodawca unijny wskazał, iż do głównych obowiązków IOD należą:
- informowanie administratora (podmiotu przetwarzającego) oraz jego pracowników przetwarzających dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz krajowych przepisów o ochronie danych i doradzanie im w tej sprawie,
- monitorowanie przestrzegania przepisów o ochronie danych osobowych oraz regulacji wewnętrznych z obszaru ochrony danych osobowych w danej organizacji, w tym prowadzenie audytów,
- prowadzenie szkoleń i innych działań zwiększających świadomość,
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,
- współpracę z organem nadzorczym oraz pełnienie funkcji punktu kontaktowego dla organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych),
- pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą we wszelkich sprawach związanych z przetwarzaniem ich danych osobowych przez administratora.
Zadania te nie stanowią zamkniętego katalogu.
Inne zadania IOD-a
Administrator może powierzyć IOD wykonywanie również innych czynności, np. przygotowywanie szablonów obowiązków informacyjnych, przygotowanie odpowiedzi na żądania podmiotów danych, czy wsparcie w zakresie analizowania naruszeń ochrony danych osobowych z perspektywy naruszenia praw lub wolności osób, których dane dotyczą. Warunkiem jest jednak to, aby zadania takie nie powodowały konfliktu interesów. Konflikt taki mógłby wystąpić np. w sytuacji, gdyby Inspektor ochrony danych realizował zadania bezpośrednio przypisane do administratora, jak np. udzielanie upoważnień do przetwarzania danych osobowych (zob. decyzja PUODO z 22.09.2020 r. znak: ZWAD.405.31.331.2019). Nie ma również przeszkód, aby IOD łączył wykonywanie zadań przypisanych do tej funkcji z innymi zadaniami, np. prowadzeniem kadr. Realizacja tych dodatkowych zadań nie powinna odbywać się kosztem obowiązków nałożonych na daną osobę będąc IOD. Ponadto te dodatkowe obowiązki nie mogą pozostawać w konflikcie interesów z zadaniami IOD – z tego powodu IOD nie może jednocześnie być członkiem zarządu administratora lub innego organu, jak też nie powinien należeć do kadry kierowniczej, która bierze udział w ustalaniu celów i sposób przetwarzania danych. W żadnym wypadku IOD nie może być też administratorem danych (np. przedsiębiorca prowadzący jednoosobową działalność gospodarczą nie może być jednocześnie IOD w ramach takiej działalności).
Obowiązek czy dobrowolna decyzja?
Jednym z najczęstszych dylematów administratorów jest to, czy muszą oni wyznaczyć inspektora ochrony danych. Odpowiedzi na to pytanie dostarcza nam art. 37 ust. 1 RODO, który wskazuje, iż obowiązek wyznaczenia IOD mają administratorzy (podmioty przetwarzający), gdy:
- są organami lub podmiotami publicznymi, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Chodzi w tym przypadku o jednostki sektora finansów publicznych (np. wójta gminy, prezydenta miasta, ministra, wojewodę, szkołę, uczelnię publiczną), instytuty badawcze oraz Narodowy Bank Polski, lub
- ich główna działalność polega na operacjach przetwarzania, które ze względu na swój zakres lub cele wymagają regularnego i systematycznego monitorowania osób, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.
Główną działalnością są takie czynności administratora danych, które stanowią podstawowy przedmiot jego działalności i które są najważniejsze z punktu widzenia osiągnięcia celów administratora, np. w przypadku szpitala będzie to zapewnienie efektywnej opieki medycznej. Monitorowanie osób to ich obserwowanie, zaś regularność i systematyczność wymagają takiej obserwacji przez określony czas – nie zaś jednorazowego zdarzenia. Duża skala jest najbardziej nieostrym pojęciem. Przy ocenie czy przetwarzanie odbywa się na dużą skalę, należy uwzględnić m.in. liczbę osób, których dane dotyczą, zakres przetwarzanych danych, okres przez jaki dane są przetwarzane oraz zakres geograficzny przetwarzania. Nie budzi więc wątpliwości, iż na dużą skalę dane osobowe przetwarzają np. szpitale w zakresie danych osobowych pacjentów. W naszej ocenie przetwarzaniem na dużą skalę będzie też przetwarzanie danych osobowych przy świadczeniu usług drogą elektroniczną, gdy oferta kierowana jest to nieograniczonego kręgu osób, np. przetwarzanie danych osób zamawiających diety online itd. lub
- ich główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych karnych. Na tej podstawie obowiązek wyznaczenia IOD może mieć np. partia polityczna, placówka medyczna.
Kto musi wyznaczyć IOD-a?
Wskazane wyżej podmioty mają prawny obowiązek wyznaczenia inspektora ochrony danych. Decyzja ta nie jest więc pozostawiona ich swobodnej decyzji, a niedopełnienie tego obowiązku może skutkować zastosowaniem środków nadzorczym przez Prezesa UODO, w tym nałożeniem przez niego administracyjnej kary pieniężnej. Nie oznacza to jednak, iż inni administratorzy nie mogą wyznaczyć IOD – wręcz przeciwnie, często wyznaczenie takiego IOD będzie zalecane. Pozwoli to administratorowi (podmiotowi przetwarzającemu) na zwiększenie poziomu ochrony danych osobowych w jego organizacji. Fachowa wiedza IOD pozwala mu na udzielanie wsparcia pracownikom, ale też na udzielenie administratorowi pomocy w stresujących i problematycznych sytuacjach, np. przy naruszeniu ochrony danych osobowych, czy kontroli ze strony organu nadzorczego. W końcu wyznaczenie inspektora ochrony danych jest przejawem dbałości administratora o obszar ochrony danych osobowych, jak też elementem rozliczalności działań w zakresie przetwarzania danych osobowych w sposób zgodny z przepisami RODO. Niewątpliwie warto jest więc skorzystać z usług takiego specjalisty, choćby wówczas, gdy przepisy bezpośrednio tego od nas nie wymagają.
Wewnętrzny czy zewnętrzny IOD?
Kolejnym dylematem, przed którym stają administratorzy jest wybór pomiędzy wewnętrznym lub zewnętrznym inspektorem ochrony danych. RODO stanowi bowiem wprost, iż IOD może być członkiem personelu administratora (pracownikiem/zleceniobiorcą) lub wykonywać zadania na podstawie umowy o świadczenie usług. W przypadku dużych organizacji, np. banków, towarzystw ubezpieczeniowych, operatorów pocztowych czy telekomunikacyjnych, nie budzi wątpliwości, iż najkorzystniejszym rozwiązaniem będzie wyznaczenie wewnętrznego inspektora ochrony danych, który zatrudniony będzie przez organizację i któremu zapewni się odpowiedni zespół specjalistów. Organizacje takie wymagają szczególnej opieki w obszarze ochrony danych osobowych i zwykle stać je na to, aby odpowiednio zainwestować w ten obszar.
Inspektor Ochrony Danych w mniejszych podmiotach
Większe komplikacje pojawiają się w przypadku mniejszych podmiotów, w tym jednostek publicznych, które zwykle nie dysponują tak pokaźnym budżetem i zasobami kadrowymi. Tacy administratorzy często stoją przed wyborem – wyznaczenia na IOD osoby spośród swojego personelu albo outsourcingu tej funkcji zewnętrznemu dostawcy. Częstym błędem jest wówczas powoływanie do pełnienia tej funkcji przypadkowego pracownika, np. osoby zajmującej się kadrowością, która wielokrotnie nie chce zajmować się tym obszarem i która nie ma odpowiednich kwalifikacji ani możliwości czasowych. Takie działanie powoduje, iż funkcja IOD jest w danej organizacji iluzoryczna, a wyznaczony pracownik nie dysponuje kwalifikacjami, które powinny wyróżniać IOD.
Powołanie zewnetrznego IOD-a
W przypadku takich podmiotów dobrym rozwiązaniem wydaje się skorzystanie z usług zewnętrznego, profesjonalnego podmiotu, który oferuje usługę outsourcingu IOD, np. Inspektorzy ODO. Rozwiązanie takie pozwala z jednej strony na optymalizację kosztów, które administrator musiałby ponieść w związku z zatrudnieniem fachowca zajmującego się ochroną danych osobowych. Z drugiej strony korzystanie z usług takiego podmiotu daje administratorowi gwarancję, iż jego sprawami zajmą się eksperci, którzy posiadają odpowiednie kwalifikacje – wiedzę z zakresu prawa i praktyki ochrony danych, ale też kompetencje miękkie niezbędne do rzetelnego pełnienia funkcji IOD. Dzięki temu, iż firmy takie skupiają wokół siebie szereg ekspertów zajmujących się obsługą różnych branży, mogą one dopasować IOD dla obszaru działania danego administratora. To zaś daje gwarancje efektywnego realizowania przez taką osobę zadań, których wymaga od niej RODO. Korzystanie z usług profesjonalnego podmiotu zewnętrznego niesie też dla administratora inne korzyści, np. umożliwia IOD skonsultowanie konkretnych zagadnień z innymi specjalistami działającymi w ramach danej firmy i wypracowanie najkorzystniejszego rozwiązania, na co często nie mogą pozwolić sobie wewnętrzni IOD. Wiele z takich firm oferuje też z góry ustanowienie zastępcy inspektora ochrony danych, na wypadek, gdy IOD przebywać będzie na urlopie lub z innego powodu będzie nieobecny. Administrator może też zlecić takiej firmie wykonywanie czynności dodatkowych, których IOD realizować nie może, np. przeprowadzenie analizy ryzyka, udzielanie w imieniu administratora upoważnień do przetwarzania danych osobowych.
Należy jednak pamiętać, iż decydując się na outsourcing funkcji IOD zewnętrznemu podmiotowi należy wybrać firmę z odpowiednim doświadczeniem. Kierowanie się samą ceną usługi może sprowadzić administratora na manowce i doprowadzić do sytuacji, w której będzie on płacił za usługę wykonywaną bez należytej dbałości. Warto więc zwrócić uwagę na referencję, którymi może pochwalić się dana firma czy też porozmawiać z jej przedstawicielem o obszarach, w których firma ta ma doświadczenie. Dobrym pomysłem jest też zapoznanie się z treściami, które taki podmiot , czy w mediach społecznościowych.
Zgłoszenie IOD
Niezależnie od tego, czy administrator powołał IOD, bo był do tego zobowiązany, czy też zrobił to z dbałości o ochronę danych osobowych w swojej organizacji, powinien on zgłosić wyznaczenie takiej osoby Prezesowi Urzędu Ochrony Danych Osobowych. Zgłoszenia takiego należy dokonać w ciągu 14 dni w sposób opisany na stronach organu nadzorczego: https://uodo.gov.pl/pl/p/dla-administratora. Warto pamiętać, iż zgłoszeniu podlega też powołanie zastępcy IOD, jak też odwołanie tych osób z pełnionych funkcji.
Podsumowanie
Mając na uwadze powyższe rozważania można przyznać, iż określenie inspektora ochrony danych – „człowiekiem od RODO” ma swoje uzasadnienie. Chociaż w organizacji każdy jej członek ma obowiązek chronić dane osobowe i przetwarzać je zgodnie z przepisami o ochronie danych osobowych, to Inspektor Ochrony Danych, jako fachowiec w tej dziedzinie, stanowić ma dla takich osób wsparcie merytoryczne. Jego rola sprowadza się nie tylko do kontrolowania czy administrator i jego pracownicy prawidłowo przetwarzają i chronią dane osobowe. IOD też służy im pomocą i fachowym doradztwem w tym obszarze. Wyznaczenie IOD jest w wielu przypadkach obowiązkiem prawnym, jednak niezależnie od tego jest to przejawem dbałości o wysoki poziom ochrony danych osobowych. Korzystanie z pomocy takiego eksperta stanowi też przejaw społecznej odpowiedzialności za ww. obszar. Co niewątpliwie nie umknie uwadze klientów oraz kontrahentów administratora, ale też organu nadzorczego. W razie kontroli czy zgłoszenia naruszenia ochrony danych osobowych. Powołanie Inspektora jest też przejawem realizacji zasady rozliczalności oraz jednym ze środków organizacyjnych zapewniających bezpieczeństwo danych osobowych. Warto więc zainwestować w swojego „człowieka od RODO”.