Publikacja danych Inspektora Ochrony Danych – część I

Inspektor Ochrony Danych

Inspektor Ochrony Danych ze względu na swoje obowiązki ma być osobą jawną – dostępną w organizacji administratora lub podmiotu przetwarzającego dla jego pracowników, dostępną dla organu nadzorczego, a przede wszystkim – łatwo dostępną dla podmiotów danych.

Ogólne Rozporządzenie o Ochronie Danych w art. 37 ust. 7 zobowiązuje administratora do publikacji danych kontaktowych IOD. Ustawa o ochronie danych osobowych znacznie dokładniej precyzuje to zobowiązanie.

Administratorzy, ale też podmioty przetwarzające, którzy w wyniku przeprowadzonej analizy podlegania obowiązkowi wyznaczenie Inspektora Ochrony Danych zgodnie z art. 37 ust. 1 RODO takiego Inspektora Ochrony Danych powołali, w kolejnym kroku zobowiązani są poinformować o wyznaczonym Inspektorze Prezesa Urzędu Ochrony Danych Osobowych. Podmioty, które nie są zobowiązane do powołania IOD, jednak powołali Inspektora dla pewności utrzymania zgodności z przepisami o ochronie danych osobowych, także podlegają obowiązkowi zgłoszenia tego faktu do PUODO.

To nie koniec obowiązków związanych z ujawnieniem personaliów IOD. Administratorzy i podmioty przetwarzające zobowiązani są opublikować dane kontaktowe swojego Inspektora Ochrony Danych na swojej stronie internetowej. O jakich danych kontaktowych mówimy? Art. 10 ust. 1 ustawy o ochronie danych osobowych definiuje nam ten zakres jako:

  • Imię i nazwisko.
  • Adres poczty elektronicznej lub numer telefonu inspektora.

Powyższe oznacza, że powołany przez administratora lub podmiot przetwarzający Inspektor Ochrony Danych powinien dysponować narzędziami, pozwalającymi skontaktować się z nim bezpośrednio – telefonem, lub urządzeniem do obsługiwania poczty elektronicznej. W dzisiejszych czasach wyposażenie pracownika w komputer czy telefon służbowy uznajemy niejako za standard, ale czy faktycznie IOD nie mógłby się obejść bez tych urządzeń? RODO mówi o danych kontaktowych, do których pewnie moglibyśmy też zaliczyć adres pocztowy, gdyby nie fakt, że polska ustawa doprecyzowując obowiązek ujawnienia danych kontaktowych IOD, pomija tę drogę komunikacji.

Skoro już wiemy jakie dane Inspektora Ochrony Danych zobowiązani jesteśmy publikować, zastanówmy się teraz gdzie opublikować je prawidłowo. Przepisy RODO zobowiązują do publikacji danych kontaktowych wyznaczonego Inspektora Ochrony Danych. Ale oto polska ustawa śpieszy z pomocą, precyzując, iż chodzi o publikację na stronie internetowej, a jeśli administrator lub podmiot przetwarzający takiej strony nie prowadzi, zobowiązany jest opublikować dane swojego IOD w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności.

Pierwszy przypadek: strona internetowa administratora lub podmiotu przetwarzającego – niby wiadomo gdzie publikować, a jednak nie do końca. Co zrobić np. w sytuacji, kiedy podmiot prowadzi kilka stron internetowych? Kiedy jest częścią globalnej grupy przedsiębiorstw, i jego strona jest właściwie zakładką strony innej spółki? Albo kiedy każdy produkt czy usługa podmiotu mają swoje dedykowane strony? Albo też kiedy strony internetowe podmiotu tworzone są stale, pod każdy nowy konkurs czy wydarzenie organizowane przez administratora?

Wczytując się w sens przepisów RODO i ustawy o ochronie danych osobowych należy stwierdzić, że dane IOD należy publikować na każdej z możliwych stron internetowych, na którą może zajrzeć osoba fizyczna. Zgodnie z zaleceniem Prezesa Urzędu Ochrony Danych, Inspektor Ochrony Danych jest osobą, z którą łatwo można się skontaktować i złożyć żądanie lub uzyskać informacje na temat zasad przetwarzania przez administratora lub podmiot przetwarzający danych osobowych. Zatem każda strona internetowa, za pomocą której podmiot zbiera dane osobowe osób fizycznych, a także każda strona internetowa, która należy do administratora danych lub podmiotu przetwarzającego i za pomocą której można uzyskać o tym podmiocie informacje, powinna dawać możliwość zapoznania się z wymaganymi do opublikowania danymi kontaktowymi Inspektora Ochrony Danych.

PUODO proponuje, aby łatwość w dostępie do danych kontaktowych IOD była zrealizowana poprzez umieszczenie tych informacji np. w zakładce „Kontakt”. Jednocześnie PUODO odradza umieszczanie danych kontaktowych IOD w politykach prywatności lub innych miejscach na stronie internetowej, które wymagałyby uciążliwego dla podmiotów danych przeszukiwania strony. Jak w tej sytuacji potraktować klauzule informacyjne umieszczane np. pod formularzami kontaktowymi, zawierające dane IOD? Można się pokusić o stwierdzenie, że osoba chcąca się skontaktować z administratorem lub podmiotem przetwarzającym, skorzysta z formularza kontaktowego i zapozna się z treścią obowiązku informacyjnego zawierającego dane kontaktowe Inspektora. Należy jednak wziąć pod uwagę, że nie każdy podmiot danych będzie chciał korzystać ze wspomnianego formularza, zatem może go pominąć i tym samym nawet nie dostrzec klauzuli informacyjnej. Wniosek: dane IOD zamieszczone w klauzuli informacyjnej nie stanowią wystarczającego spełnienia wymogu ustawowego.

Zobowiązanie administratorów i podmiotów przetwarzających do publikacji danych IOD na stronach internetowych jest o tyle ciekawe, że stanowi wyjątek – z żadnych innych przepisów prawa nie wynika konieczność ujawniana na stronach internetowych z imienia i nazwiska osób pełniących konkretne funkcje w organizacji, np.: funkcji księgowego, z którym bezpośredni kontakt ułatwiałby wyjaśniania kwestii rozliczeniowych między kontrahentami, czy też szefa HR, do którego kontakt przydałby się np. w trakcie aplikowania na stanowisko pracy w procesie rekrutacji, albo pracownikowi, który pilnie potrzebuje wyjaśnienia kwestii swojego ubezpieczenia zdrowotnego.

Pozostaje do wyjaśnienia jeszcze jedna trudność, która pojawia się w sytuacji, kiedy strona internetowa administratora lub podmiotu przetwarzającego ma swój pewien stały układ, określany np. przez globalną politykę prowadzenia stron internetowych w grupie przedsiębiorstw. Układ ten zostanie oczywiście zaburzony poprzez publikację danych Inspektora Ochrony Danych i będzie w przypadku polskich spółek odróżniał się od pozostałych. Biorąc pod uwagę, że Polska zalicza się do krajów-wyjątków, w których lokalne ustawodawstwo tak mocno uszczegółowiło sposób publikacji danych kontraktowych IOD, globalni DPO (Data Protection Officer) bywają mocno zdziwieni, że ich nazwiska mają znaleźć się na stronie internetowej polskiej spółki z grupy. Chcąc, nie chcąc, podlegając polskiemu porządkowi prawnemu, obowiązek publikacji danych kontaktowych IOD należy realizować.

Angelika Niezgoda

Autor

Angelika Niezgoda

Od kilku lat zajmuje się tematyką ochrony danych osobowych i bezpieczeństwa informacji. Jako certyfikowany Inspektor Ochrony Danych prowadzi audyty bezpieczeństwa danych i czuwa nad projektowaniem i wdrażaniem procedur ochrony danych osobowych zgodnych z wymogami RODO.