Funkcja Inspektora Ochrony Danych w oczach europejskich organów nadzorczych

  • 03.08.2022

  • Autor: Klaudia Dryja

  • News

Funkcja Inspektora Ochrony Danych (dalej również jako: „IOD”) na przestrzeni ostatnich kilku miesięcy stała się istotnym tematem w świecie ochrony prywatności. Zagadnieniu temu przyjrzał się bliżej nie tylko polski organ nadzorczy, ale również wydano wytyczne dotyczące pracy inspektorów we Francji. Niemniej istotne są również decyzje dotyczące pełnienia funkcji IOD z Luksemburga. Biorąc pod uwagę obecną oddolną inicjatywę UODO kontroli administratorów i podmiotów przetwarzających w zakresie IOD, konieczna jest kompleksowa lektura najnowszych wytycznych, decyzji i orzeczeń w celu spojrzenia na tę funkcję oczami europejskich organów nadzorczych.

IOD w oczach francuskiego CNIL

Najnowsze wytyczne[1] francuskiego organu nadzorczego CNIL z dnia 15 marca 2022 r. wskazują, iż funkcja IOD zmieniała się na przestrzeni ostatnich 4 lat. Zmiany w tym okresie nie miały charakteru jedynie ilościowego, ale również jakościowy. Według szacunków CNIL, powołanych zostało ponad 80.000 inspektorów ochrony danych na terenie Francji, którzy stali się „dyrygentami orkiestry” w zakresie zarządzania danymi osobowymi w organizacji. Mimo szeregu zadań, które wykonuje IOD, francuski organ nadzorczy podkreśla, iż inspektor nie odpowiada za zgodność organizacji z przepisami prawa, w tym RODO. Zadanie to należy bowiem do administratora danych.

Niezwykle interesującym zagadnieniem jest certyfikacja inspektorów we Francji. Już od 2018 roku CNIL prowadzi listę instytucji, które umożliwiają inspektorom uzyskanie dokumentu potwierdzającego adekwatny poziom znajomości przepisów RODO, który ważny jest przez okres 3 lat. Z perspektywy administratorów danych, niewątpliwie taki dokument odpowiada na potrzeby biznesowe rynku.

Niemniej ważnym problemem poruszanym we francuskich wytycznych jest konflikt interesów. Urząd, podtrzymując wyjaśnienia z wytycznych[2], wskazuje, że do przykładów powodujących konflikt interesów zalicza się łączenie funkcji inspektora ochrony danych i dyrektora zarządzającego, dyrektora operacyjnego, kierownika działu marketingu, kierownika działu personalnego czy też kierownika działu IT. Nie należy jednakże zapominać, iż pracownicy zajmujący niższe stanowiska w hierarchii organizacji, mogą również być narażeni na występowanie konfliktu interesów, gdy osoba ta decyduje o celach i sposobach przetwarzania. Francuski urząd zwraca uwagę czytelników wytycznych, aby podchodzić do badania kwestii potencjalnego konfliktu interesów w odniesieniu do konkretnych przypadków.

Należy również wspomnieć, iż wytyczne CNIL zawierają szereg informacji mogących być przydatnych nie tylko dla inspektorów (tj. jak doskonalić swoje umiejętności z zakresu ochrony prywatności), ale również dla administratorów (tj. lista pytań przy powoływaniu inspektora). Niewątpliwie wytyczne przygotowane przez francuski organ nadzorczy mogą stać się istotnym źródłem informacji dla wielu podmiotów.

IOD w oczach polskiego UODO

Polski Urząd Ochrony Danych Osobowych przez ponad 4 lata od rozpoczęcia stosowania przepisów RODO, nie przygotował kompleksowych wytycznych na temat pełnienia funkcji IOD.

W marcu 2022 r. Urząd Ochrony Danych Osobowych pochylił się nad zagadnieniem pełnienia funkcji inspektora ochrony danych rozpoczynając weryfikację przestrzegania przepisów poprzez wysyłkę listy 27 pytań do wybranej grupy kilkudziesięciu podmiotów[3]. Do przedstawienia odpowiedzi zostali wezwani administratorzy i podmioty przetwarzające pod rygorem kary za brak współpracy z organem nadzorczym. W tym miejscu należy podkreślić, iż podmioty, do których skierowano zapytania były pierwszą grupą adresatów, a urząd nie wyklucza dalszego kierowania zapytań do pozostałych podmiotów z rynku. Interesującym może być również fakt, iż przedsięwzięcie to jest oddolną inicjatywą urzędu, której nie było w planie kontroli na rok 2022, jak również to, że nieznany jest klucz doboru organizacji, do których zostały skierowane wezwania z listą 27 pytań. Wiadomym zaś jest, iż adresaci korespondencji o jednakowej treści wezwania, to podmioty zarówno z sektora prywatnego, jak i publicznego oraz że krajowy organ nie poprzestał na zadaniu jedynie wyjściowej listy zagadnień dotyczących inspektora ochrony danych w dalszej korespondencji z organizacjami.

Publikacja pytań przez UODO wskazuje zagadnienia, które mogą być przedmiotem kontroli również u innych organizacji. Z uwagi na publiczne udostępnienie zagadnień będących w centrum zainteresowania urzędu nadzorczego, jest to właściwy czas dla administratorów i podmiotów przetwarzających, aby dokonać wewnętrznej weryfikacji w zakresie nie tylko powołania IOD, ale również spełniania wymagań rozporządzenia.

Niewątpliwie, tę oddolną inicjatywę UODO należy ocenić pozytywnie. W szczególności, iż w dotychczas wydanych decyzjach administracyjnych jedynie jednokrotnie organ pochylił się nad zagadnieniem inspektora ochrony danych. W przedmiotowej decyzji[4], organ nadzorczy udzielił upomnienia szpitalowi za zobowiązanie inspektora ochrony danych do nadawania upoważnień personelowi w zakresie przetwarzania danych osobowych. Biorąc pod uwagę jednakże obecne działania organu, zasadnym jest pokładanie nadziei, iż wkrótce zostaną wydane kolejne decyzje administracyjne lub wytyczne w zakresie pełnienia funkcji IOD. Nieprawidłowości w tym przedmiocie są bowiem zagrożone sankcjami.

IOD w oczach luksemburskiego CNPD

Luksemburski organ nadzorczy wydał tylko w 2021 r. aż 5 kar o łącznej wysokości blisko 80.000 euro za nieprawidłowości związane z powołaniem inspektora ochrony danych. W swych decyzjach, urząd zwrócił uwagę na nieprawidłowości związane m.in. z brakiem angażowania IOD we wszystkie sprawy dotyczące ochrony danych osobowych (naruszenie art. 38 ust. 1 RODO), czy również brak podległości bezpośrednio pod zarząd organizacji (naruszenie art. 38 ust. 3 RODO). Luksemburskiemu organowi nie umknęło również zwrócenie uwagi podmiotowi z sektora publicznego, iż dane kontaktowe inspektora powinny znajdować się w łatwo dostępnym miejscu na stronie internetowej (naruszenie art. 37 ust. 7 RODO), jak również, iż administrator nie zapewniał IOD niezbędnych zasobów do pełnienia funkcji (naruszenie art. 38 ust. 2 RODO). Wyciągając wnioski z decyzji, administratorzy powinni również pamiętać o powoływaniu na funkcję inspektora ochrony danych osobę o odpowiednich kwalifikacjach. Według luksemburskiego CNPD, osoba pełniąca tę funkcję powinna dysponować minimum 3-letnim doświadczeniem związanym z ochroną prywatności.

Niewątpliwie, dopiero kompleksowa analiza wytycznych francuskiego CNIL dotycząca IOD w powiązaniu z decyzjami luksemburskiego CNPD, jak i ostatnich podjętych działaniach przez krajowy organ nadzorczy UODO, pozwala na uzyskanie szerszej perspektywy i oczekiwań europejskich urzędów do spraw ochrony danych osobowych dotyczącej materii IOD. To co różni wskazane powyżej trzy organy, to podejście do współpracy z administratorami i podmiotami przetwarzającymi. Każdy z nich zdecydował się na inną formę współpracy i komunikację swych oczekiwań wobec podmiotów zobowiązanych do stosowania przepisów RODO. Francuski organ nadzorczy skupił się na podejściu mającym na celu wyspecjalizowanie IOD oraz ich certyfikację, dając inspektorom i organizacjom możliwość zdobywania wiedzy na temat ciążących na nich obowiązków. Polski urząd podjął działania mające na celu weryfikację działań w ramach oddolnej inicjatywy, gdy zaś luksemburski organ nadzorczy zdecydował się sankcje. Mimo wyboru różnych dróg, cel europejskich organów nadzorczych jest wspólny tj. zapewnienie odpowiedniego stosowania przepisów dotyczących inspektora ochrony danych w każdej organizacji.

Webinar dotyczący IOD

Po większą dawkę wiedzy zapraszamy na nasz darmowy webinar dt. funkcji Inspektora Ochrony Danych na przestrzeni ostatnich kilku miesięcy, które są istotnym tematem w świecie ochrony prywatności. 

Data: 30.08.22, godz. 11:00 – 12:00.

Link do rejestracji.

Zapraszamy!

 

[1] https://www.cnil.fr/sites/default/files/atoms/files/cnil-gdpr_practical_guide_data-protection-officers.pdf

[2] Wytyczne dotyczące inspektorów ochrony danych opracowane przez Grupę Roboczą Art. 29

[3] https://uodo.gov.pl/pl/138/2336

[4] https://uodo.gov.pl/pl/354/1872

Autor

Klaudia Dryja

Prawniczka, absolwentka prawa na Uniwersytecie Warszawskim.
Specjalizuje się w prawie nowych technologii i ochronie danych osobowych.
Doświadczenie zdobywała w renomowanych kancelariach prawnych.