IOD — niezależny „łącznik” z organem nadzoru

opublikowano: 15-08-2018, 22:00

Inspektora ochrony danych może mieć firma, od której prawo tego nie wymaga. Niektóre tego chcą, mimo że ma on silniejszą pozycję niż kiedyś ABI

Spółki powołują inspektorów ochrony danych (IOD) i zgłaszają ich do organu nadzoru. Do końca lipca powinni to zrobić szefowie podmiotów, w których przed 25 maja tego roku nie było administratorów bezpieczeństwa informacji (ABI). Tam, gdzie ci ostatni działali i pozostaną, przejmując funkcje inspektorów, powinni powiadomić o tym prezesa Urzędu Ochrony Danych Osobowych (UODO) do 1 września. Przed tym dniem muszą być do niego zgłoszone też decyzje o odwołaniu w firmach osób pełniących rolę ABI i wyznaczeniu innych na stanowiska IOD.

— Za przestrzeganie ochrony danych osobowych odpowiada ich administrator, a także firma, która je przetwarza na zlecenie administratora. W konsekwencji to oni poniosą kary za naruszenie przepisów, a nie powołany u nich inspektor, nawet jeżeli ten nie zapobiegnie uchybieniom. W interesie przedsiębiorcy leży znalezienie jak najlepszego specjalisty z praktycznym doświadczeniem — mówi Paulina Komorowska, adwokat w kancelarii CMS.
Zobacz więcej

KSIĄŻKOWA WIEDZA TO MAŁO:

— Za przestrzeganie ochrony danych osobowych odpowiada ich administrator, a także firma, która je przetwarza na zlecenie administratora. W konsekwencji to oni poniosą kary za naruszenie przepisów, a nie powołany u nich inspektor, nawet jeżeli ten nie zapobiegnie uchybieniom. W interesie przedsiębiorcy leży znalezienie jak najlepszego specjalisty z praktycznym doświadczeniem — mówi Paulina Komorowska, adwokat w kancelarii CMS. Fot. Marek Wiśniewski

Na razie przejściowo

Są to terminy wyznaczone w okresie przejściowym, związanym ze wspomnianą datą 25 maja, od której we wszystkich krajach wspólnoty muszą być stosowane przepisy unijnego rozporządzenia w sprawie ochrony danych (RODO). Przy czym nie każdy administrator danych osobowych lub firma je przetwarzająca musi powołać IOD. Zgodnie z RODO, jest to obowiązek w sektorze publicznym — a w prywatnym nie wszędzie. Inspektora muszą wyznaczyć te firmy, których główna działalność wymaga regularnego wykorzystywania danych na dużą skalę i systematycznego monitorowania osób, których one dotyczą, oraz te, które również na dużą skalę przetwarzają szczególne kategorie informacji (m.in. o pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych, przynależności związkowej, zdrowiu) lub dotyczą wyroków skazujących i czynów zabronionych.

Po okresie przejściowym każdy podmiot, który zacznie spełniać te warunki, będzie miał 14 dni od powołania inspektora na jego zgłoszenie prezesowi UODO. W takim samym czasie powinni to zrobić ci przedsiębiorcy, którzy planują wyznaczenie u siebie IOD, chociaż takiego obowiązku nie mają. Okazuje się, że nie brakuje na to chętnych.

— Z pewnością wpływają na to ostrzejsze wymagania co do ochrony danych osobowych i wysokość sankcji za naruszenia. Jedni więc powołują inspektorów, chociaż nie muszą, inni — dla pewności działania zgodnie z przepisami — tworzą odrębne stanowiska dla specjalistów zajmujących się tylko takimi sprawami w firmie — mówi Paulina Komorowska, adwokat w kancelarii CMS.

Na razie nie wiadomo, jak wiele firm takie decyzje podjęło. Na analizę wszystkich zgłoszeń — i obowiązkowych, i nie — jeszcze za wcześnie. To, czy podmioty zobowiązane wywiązały się z tego, prezes UODO będzie weryfikował przy okazji wszelkich swoich kontaktów z administratorami i podmiotami przetwarzającymi — dowiedział się „PB”.

— Jeżeli nie wyznaczyły one takiej osoby, to zgodnie z wynikającą z RODO zasadą rozliczalności będą musiały wykazać, że dokonały właściwej analizy sytuacji i wskazać przesłanki, na podstawie których przesądziły, że nie mają obowiązku wyznaczyć IOD — informuje Agnieszka Świątek-Druś, rzecznik prasowy UODO.

Zaznacza, że inspektor ochrony danych także dla prezesa urzędu ma być punktem kontaktowym w sprawach związanych z przetwarzaniem danych przez dany podmiot, więc naturalne jest, że to właśnie z nim, tuż po administratorze, organ nadzorczy będzie próbował nawiązywać kontakt, gdy będzie chciał uzyskać określone informacje.

— Inspektor ma współpracować z organem nadzorczym i zarazem pełnić funkcję „łącznika” między urzędem a administratorem — przyznaje Paulina Komorowska.

Rozdzielenie funkcji

Zakres obowiązków inspektorów ochrony danych jest szerszy niż wcześniej administratorów bezpieczeństwa informacji. Do zadań ABI należało głównie monitorowanie prawidłowości przetwarzania danych w firmie, mieli też rolę doradczo-edukacyjną.

Ponadto — jak zauważa przedstawicielka kancelarii CMS — pozycja IOD w przedsiębiorstwa jest obecnie inna. Co prawda, podobnie jak ABI, odpowiada on bezpośrednio przed wyższym kierownictwem i ma zagwarantowaną prawem niezależność, ale zarazem pełniona przez niego funkcja musi spełniać wymóg określony jako brak konfliktu interesów. Chodzi o to, aby osoba będąca inspektorem nie zajmowała jednocześnie stanowiska kierowniczego, którego sprawowanie ma wpływ na decyzje o przetwarzaniu danych, czyli np. kierownika działu HR albo kogoś, kto zarządza systemami informatycznymi. Taki warunek może mieć duże znaczenie praktyczne, ponieważ do tej pory takie funkcje nierzadko były łączone.

IOD nie musi być pracownikiem podmiotu, który przetwarza dane osobowe. Może go z nim wiązać także umowa cywilnoprawna. Tę rolę może też pełnić osoba z firmy oferującej usługi doradcze. Ponadto jeden inspektor ma prawo wykonywać zadania jednocześnie dla grupy firm, które są ze sobą powiązane. Według prawników kancelarii CMS, widać zainteresowanie korzystaniem z takiej możliwości. Przynosi ona oszczędności finansowe, poza tym pozwala na prowadzenie spójnej polityki ochrony danych w grupie spółek.

Skorzystanie z usług zewnętrznego inspektora może mieć też tę zaletę, że zostanie spełniony warunek braku konfliktu interesów.

— Zatrudnienie „na wyłączność” osób o takich kompetencjach byłoby z pewnościądużo bardziej kosztowne, a biorąc pod uwagę ich dostępność na rynku pracy — praktycznie niemożliwe. Za skorzystaniem z usług fachowców spoza firmy może przemawiać też chociażby kwestia odpowiedzialności, także finansowej, za jakość pracy i decyzje podjęte przez inspektora — mówi Adam Wódz, menedżer działu bezpieczeństwa IT w Cybercom Polska.

Zwraca uwagę, że pracownika można pozwać za zaniedbania jedynie do wysokości jego trzykrotnego wynagrodzenia, podczas gdy firmy zewnętrzne powinny być ubezpieczone od odpowiedzialności na dużo większe kwoty.

— Warto wiedzieć, że pozycję inspektora dodatkowo wzmocniono zakazem odwołania go lub karania za wypełnianie swoich zadań. Oczywiście nie dotyczy to sytuacji, w których można zarzucić mu nierzetelność czy niestaranność przy wykonywaniu obowiązków. Celem tej dodatkowej ochrony jest przede wszystkim stworzenie warunków do jak najbardziej niezależnej oceny, czy procesy zachodzące w danym przedsiębiorstwie, które wiążą się z przetwarzaniem danych osobowych, są prowadzone z zachowaniem zasad ich ochrony. Jeżeli IOD doradza ich przerwanie czy modyfikację, bo nie są zgodne z przepisami RODO, takie porady czy wskazania powinny być poszanowane bez żadnych negatywnych konsekwencji dla inspektora — wyjaśnia Paulina Komorowska.

Jej zdaniem, w razie wątpliwości co do zaleceń inspektora, administrator danych mógłby zasięgnąć opinii zewnętrznej firmy doradczej lub audytorskiej. Przedsiębiorcy powinni zresztą wiedzieć, że na IOD nałożono wymóg nie tylko posiadania odpowiedniej wiedzy o ochronie danych osobowych. Według RODO, musi on wykazać się także umiejętnością realizacji powierzanych zadań. Powinien więc mieć doświadczenie praktyczne, sama wiedza książkowa nie wystarczy, aby powierzyć komuś tę funkcję.

— To ważne także dlatego, że odpowiedzialność za przestrzeganie ochrony danych osobowych spoczywa na administratorze danych lub firmie, której powierzono ich przetwarzanie. W związku z tym ewentualne kary spadną na spółkę, a nie na inspektora. W interesie firmy leży znalezienie jak najlepszego specjalisty — podkreśla adwokat.

Łatwo dostępny

Inspektor powinien być włączany we wszystkie procesy i sprawy związane z przetwarzaniem danych, aby móc zapewnić np. natychmiastową reakcję na zagrożenie. O powołaniu IOD muszą też wiedzieć pracownicy, im także przysługują uprawnienia — mają prawo kierować się do niego z wątpliwościami dotyczącymi ich danych. Powinni więc znać dane kontaktowe inspektora, podobnie jak kontrahenci i klienci pracodawcy.

— Nie ma formalnie konieczności podania imienia i nazwiska inspektora, wystarczy e-mail, nawet prosto zbudowany, np. iod@spółka.pl. W przypadku, gdy rola IOD zostanie powierzona nowej osobie, nie trzeba będzie zmieniać takiego adresu — podpowiada Paulina Komorowska.

Wyznaczenie IOD, jak każdy przepis rozporządzenia unijnego, podlega egzekwowaniu przez organ nadzoru.

— W przypadku stwierdzenia niewykonania określonego obowiązku organ nadzorczy może korzystać z szerokiego wachlarza uprawnień — poczynając od środków naprawczych, jak np. ostrzeżenie, na karze pieniężnej kończąc. Decydując się na skorzystanie z któregoś, prezes UODO musi brać pod uwagę m.in. okoliczności naruszenia przepisów i to, jakie administrator podejmował działania w celu wywiązania się z obowiązków — tłumaczy Agnieszka Świątek-Druś.

Przypomina, że zgodnie z art. 10 ust. 6 ustawy z o ochronie danych osobowych, jedynym prawidłowym i skutecznym sposobem powiadomienia prezesa UODO o wyznaczeniu IOD jest zgłoszenie online, opatrzone kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Nie wszyscy stosują się do tego wymogu. Część administratorów przesyła do urzędu zawiadomienia papierowe.

— W takich przypadkach nie może być mowy o skutecznym wywiązaniu się z obowiązku określonego w RODO i ustawie, o czym prezes UODO informuje takie podmioty w korespondencji do nich — wyjaśnia rzecznik UODO.

 

Informacje w zawiadomieniu o powołaniu IOD

  • imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora
  • imię i nazwisko oraz adres zamieszkania, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna
  • firma przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą
  • pełna nazwa oraz adres siedziby, w przypadku gdy administratorem lub podmiotem przetwarzającym jest podmiot inny niż wskazany w dwóch poprzednich punktach
  • numer identyfikacyjny REGON, jeżeli został nadany administratorowi lub podmiotowi przetwarzającemu.

Współpraca z organem nadzoru

Według wyjaśnień prezesa UODO, jego współpraca z IOD powinna mieć charakter dwukierunkowy, ale też być działaniem we wspólnych celach i obszarach — czyli np. jako monitorowanie i egzekwowanie stosowania RODO, upowszechnianie wśród administratorów i podmiotów przetwarzających wiedzy o obowiązkach na nich spoczywających, udzielanie osobie, której dane dotyczą — na jej żądanie — informacji o wykonywaniu przysługujących jej praw. Ponadto konieczne jest monitorowanie zmian w określonych dziedzinach, które mogą mieć wpływ na ochronę danych osobowych — szczególnie rozwoju technologii informacyjno-komunikacyjnych i praktyk handlowych oraz udzielanie zaleceń administratorowi co do oceny ich skutków.

Sprawdź program konferencji "RODO - dotychczasowa praktyka organu nadzoru i przedsiębiorców", 16 października 2018 r., Warszawa >>

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Być może zainteresuje Cię też:

Polecane

Inspiracje Pulsu Biznesu

Tematy

Puls Biznesu

Puls Inwestora / Wyniki spółek / IOD — niezależny „łącznik” z organem nadzoru