Kara za nieprawidłowość w powołaniu Inspektora Ochrony Danych

Belgijski organ właściwy do spraw ochrony danych osobowych nałożył najwyższą w swojej historii karę pieniężną za naruszenie przepisów RODO – w wysokości 50 000 EURO – za niezgodne z przepisami powołanie Inspektora Ochrony Danych (IOD). Zarzut dotyczył braku zapewnienia jego niezależności. Kara stanowi wyraźny sygnał, że organy nadzorcze poważnie podchodzą do prawidłowego określenia statusu Inspektora Ochrony Danych, a administratorzy powinni z ostrożnością wybierać pracowników na to stanowisko.

Ukarana organizacja powołała na Inspektora Ochrony Danych swojego pracownika wysokiego szczebla, który jednocześnie kierował działami compliance, zarządzania ryzykiem oraz audytów.  Organ nadzorczy uznał za niedopuszczalne takie umiejscowienie IOD w organizacji. Jako kierownik aż trzech komórek organizacyjnych, IOD brał udział w określaniu celów i sposobów przetwarzania danych w tych działach, czego, zdaniem organu nadzorczego, nie można pogodzić z doradczą funkcją IOD.

Urząd uznał, że w przedmiotowej sprawie wystąpił konflikt interesów między sprawowaniem  funkcji  Inspektora Ochrony Danych a innymi pełnionymi stanowiskami w spółce, co stanowi naruszenie art. 38 ust. 6 RODO. IOD nie może z jednej strony doradzać w zakresie ochrony danych osobowych a jednocześnie być odpowiedzialny za procesy przetwarzania danych wchodzące w zakres audytu, ryzyka i zgodności. Co więcej, organ uznał, że w związku z pełnieniem tak złożonej roli w organizacji w tym obejmującej uprawnienia decyzyjne – pracownika wysokiego szczebla oraz inspektora ochrony danych, osoba ta nie dawała wystarczających gwarancji poufności i bezpieczeństwa względem innych pracowników, którzy mogli obawiać się negatywnych konsekwencji zgłaszania ewentualnych nieprawidłowości np. zwolnienia z pracy. Organ nadzorczy zauważył także, że w organizacji zabrakło polityki zapobiegającej konfliktom interesów.

Powołując pracownika na Inspektora Ochrony Danych należy zwracać szczególną uwagę na właściwe umiejscowienie IOD w strukturze organizacyjnej firmy, ponieważ jego niezależność jest wymogiem wynikającym wprost z unijnego rozporządzenia. Zgodnie z art. 38 ust. 3 RODO inspektor nie może otrzymywać instrukcji dotyczących wykonywania swoich zadań, nie może być odwoływany ani karany przez administratora za ich wykonywanie oraz powinien podlegać bezpośrednio najwyższemu kierownictwu. W decyzji organ zwrócił również uwagę na treść Wytycznych Grupy Roboczej art. 29 dotyczących inspektorów ochrony danych (‘DPO’), zgodnie z którymi „niezwykle istotne jest, by DPO, lub jego zespół, był zaangażowany od najwcześniejszego etapu we wszystkie kwestie związane z ochroną danych”, co również w ocenie organu nadzorczego nie było należycie zapewnione w kontrolowanej spółce.

Takie określenie statusu administratora może być trudne do realizacji zwłaszcza dla niezbyt dużych podmiotów. W ich przypadku korzystniejsze może być skorzystanie z outsourcingu usług IOD niż tworzenie odrębnego, gwarantującego niezależność stanowiska wewnątrz organizacji.

Źródła:

  1. Decyzja organu: https://www.gegevensbeschermingsautoriteit.be/
  2. https://www.huntonprivacyblog.com/
  3. https://www.huntonprivacyblog.com/
  4. https://uodo.gov.pl/pl/10/7

Autor

Michał Madecki

Doświadczenie zawodowe zdobywał podczas pracy w Urzędzie Ochronie Danych Osobowych oraz kancelariach prawnych specjalizujących się w prawie ochrony danych osobowych, e-privacy, prawie własności intelektualnej, e-commerce, prawie pracy oraz obsłudze prawnej spółek handlowych. Brał udział w opiniowaniu projektów aktów prawnych z punktu widzenia przepisów dotyczących ochrony danych osobowych.