Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

ikona tłumacz ikona flaga angielska ikona kontakt
Skargi
Inspektor Ochrony Danych
Wyznaczenie i status IOD
Zawiadomienia Prezesa UODO związane z IOD
Zadania IOD
Archiwum newslettera dla IOD
Administrator
Kodeksy i certyfikacja
Pozostałe formularze
Ikonka home dla okruszków  » Najważniejsze tematy  » Inspektor Ochrony Danych  » Zadania IOD

Czy IOD może nadawać upoważnienia?

Czy administrator danych osobowych może udzielić IOD upoważnienia do nadawania upoważnień do przetwarzania danych osobowych?

Jeżeli administrator, w wykonaniu obowiązków określonych w art. 29 i art. 32 ust. 1 i 4 RODO, decyduje się na skorzystanie ze środka, jakim jest nadawanie upoważnień do przetwarzania danych osobowych, to może upoważnić  inną osobę do nadawania upoważnień do przetwarzania danych w jego imieniu, ale osobą tą nie powinien być inspektor ochrony danych.

Przede wszystkim obowiązki określone w art. 29 i art. 32 ust. 1 i 4 RODO są obowiązkami administratora. Jest on zobowiązany do zapewnienia, aby dostęp do danych miały tylko osoby przez niego określone, działające na zasadach i  w sposób wskazany przez administratora. Dlatego wydawanie upoważnień osobiście przez osobę kierującą lub zarządzającą podmiotem będącym administratorem może istotnie przyczynić się do prawidłowego zapewnienia takiej kontroli. Takie osoby powinny bowiem najlepiej znać organizację pracy w swojej jednostce i dzięki temu w sposób najwłaściwszy określić, komu oraz w jakim zakresie powinno być nadane stosowne upoważnienie do przetwarzania danych.

Zatem dla zapewnienia właściwego systemu ochrony danych w jednostce najkorzystniejszym rozwiązaniem byłoby nadawanie upoważnienia do przetwarzania danych przez samego administratora (podmiot przetwarzający) lub - w zależności od wielkości podmiotu i jego struktury - przez np. kierownika działu kadr lub kierowników innych komórek organizacyjnych. Osoby te bowiem mogą najbardziej precyzyjnie określać, komu oraz w jakim zakresie upoważnienie powinno zostać nadane, i na bieżąco je aktualizować.

Natomiast rola inspektora ochrony danych koncentruje się na monitorowaniu przestrzegania przepisów o ochronie danych osobowych i wewnętrznych polityk oraz prawidłowego wykonywania wynikających z nich obowiązków, a także doradzaniu i podnoszeniu świadomości w zakresie tych obowiązków. Dlatego IOD nie powinien być osobą, która sama realizuje obowiązki określone w art. 29 i art. 32 ust. 1 i 4 RODO. Powodowałoby to konflikt interesów, którego występowania zakazuje w odniesieniu do inspektorów art. 38 ust. 6. RODO.

Rola IOD może natomiast polegać na doradzaniu czy konsultowaniu rozwiązań, jakie administrator (lub podmiot przetwarzający) zamierza przyjąć w zakresie realizacji obowiązków z art. 29 i 32 ust. 1 i 4 RODO, w tym np. procedur nadawania upoważnień czy treści upoważnień.

Rolą IOD jest zatem wspieranie administratora w przestrzeganiu i właściwym stosowaniu przepisów o ochronie danych osobowych, a nie wyręczanie go w realizacji jego zadań. Podmiotowi, który zobowiązał IOD do nadawania pracownikom upoważnień do przetwarzania danych osobowych, organ nadzorczy udzielił upomnienia (sygn. sprawy ZWAD.405.31.331.2019).

W wydanej w tej sprawie decyzji  wskazano, w szczególności że: „(…) administrator nie powinien przyznawać IOD uprawnień do nadawania w jego imieniu upoważnień do przetwarzania danych osobowych, pozostawiając IOD w procedurze wydawania upoważnień do przetwarzania danych osobowych sprawowanie funkcji doradczej i nadzorczej. Przyjęcie odmiennego założenia, w którym IOD byłby odpowiedzialny za przeprowadzenie tej procedury, a jednocześnie miałby monitorować jej zgodność z przepisami o ochronie danych osobowych, do czego zobowiązuje go unormowanie zawarte w art. 39 ust. 1 lit. b) RODO, doprowadziłoby w efekcie do sytuacji, gdzie IOD sprawowałby nadzór nad własną działalnością, a więc do konfliktu interesów (…). W tym kontekście za słuszny uznać należy pogląd, w którym nakładanie na IOD obowiązków prowadzących do powstania konfliktu interesów, stawia pod znakiem zapytania nie tylko możliwość efektywnego wypełniania przez niego zadań, do realizacji których zobowiązuje go dyspozycja normy art. 39 RODO, ale godzi w same fundamenty instytucji IOD, opartej w pierwszym rzędzie na niezależności jego funkcjonowania.”

I choć praktyka administratora w powyższym zakresie została zmieniona, to jednak ze względu na to, że trwała ponad półtora roku, organ nadzorczy uznał, że właściwym środkiem naprawczym będzie upomnienie. Jak wskazał w decyzji, „we wzmiankowanym, szerokim przedziale czasowym IOD zmuszony był do wykonywania obowiązków powodujących konflikt interesów, a zatem nie mógł należycie sprawować swojej funkcji, co w kontekście zadań IOD przewidzianych w art. 39 RODO sprawia, iż wagę tego naruszenia uznać należy za znaczną”.

Kształtując zatem zakres obowiązków IOD warto pamiętać, że inspektor nie powinien realizować zadań, które mogą stać się następnie przedmiotem dokonywania przez niego czynności monitorowania ani podejmować decyzji w zakresie celów i środków dotyczących przetwarzania i zabezpieczania danych.

2019-11-29 Metadane artykułu
Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację: Monika Młotkiewicz 2022-05-10
Wprowadził‚ informację: Edyta Madziar 2019-11-29 14:11:00
Ostatnio modyfikował: Ewelina Janczylik-Foryś 2022-05-10 14:58:43
Inne aktualności
  • Infolinia UODO
  • 606-950-000
  • czynna w dni robocze od: 10:00-14:00
Logo biura
  • Urząd Ochrony Danych Osobowych
  • ul. Stawki 2, 00-193 Warszawa
  • kancelaria@uodo.gov.pl
  • Godziny pracy: 8.00-16.00
© UODO 2018 - 2022 Wszelkie prawa zastrzeżone.
Polityka prywatności | Deklaracja dostępności | Strona główna | Kontakt
© UODO 2018 - 2022 Wszelkie prawa zastrzeżone.
Polityka prywatności | Deklaracja dostępności | Strona główna | Kontakt
© UODO 2018 - 2022 Wszelkie prawa zastrzeżone.
Polityka prywatności | Deklaracja dostępności | Strona główna | Kontakt