Czy administrator może przerzucać swoje obowiązki na IOD?

Rolą IOD jest wspieranie administratora w przestrzeganiu i właściwym stosowaniu przepisów o ochronie danych osobowych. Czy administrator może przerzucać swoje obowiązki wynikające z RODO na IOD? Czy IOD może wyręczać administratora w realizacji jego zadań?

 Inspektor ochrony danych to funkcja szczególna. Znajduje to odzwierciedlenie w brzmieniu przepisów RODO, które określają zarówno status IOD (art. 38), jak i jego obowiązki (art. 39). UODO konsekwentnie wskazuje, że do zadań inspektora ochrony danych (IOD) należy m.in. monitorowanie przestrzegania przepisów o ochronie danych osobowych oraz wewnętrznych polityk danego administratora, a także nadzorowanie prawidłowego wykonywania wynikających z nich obowiązków, doradzanie i podnoszenie świadomości w tym zakresie. Dlatego IOD nie powinien być osobą, która wyręcza administratora w realizacji należących do niego zadań. Mogłoby to prowadzić do powstania konfliktu interesów, którego występowania zakazuje w odniesieniu do inspektorów art. 38 ust. 6 RODO.

 Potwierdzeniem powyższego jest jedna z decyzji, w której organ nadzorczy udzielił upomnienia podmiotowi, który zobowiązał IOD do nadawania pracownikom upoważnień do przetwarzania danych osobowych (sygn. sprawy ZWAD.405.31.331.2019).

 W decyzji tej wskazano, że: „Podstawowy zakres zadań IOD, wśród których na próżno szukać jednak tych związanych z nadawaniem pracownikom administratora upoważnień do przetwarzania danych osobowych, określony został przez unijnego ustawodawcę w art. 39 ust. 1 RODO, niemniej jednak zgodnie z art. 38 ust. 6 RODO IOD może wykonywać też inne zadania i obowiązki, o ile administrator lub podmiot przetwarzający zapewni, aby te zadania i obowiązki nie powodowały konfliktu interesów. Należy jednak przyjąć, że z uwagi na specyfikę zadań IOD ogniskujących się na doradzaniu oraz kontrolowaniu działalności administratora pod kątem zgodności operacji przetwarzania danych osobowych z przepisami o ochronie danych osobowych, administrator nie powinien przyznawać IOD uprawnień do nadawania w jego imieniu upoważnień do przetwarzania danych osobowych, pozostawiając IOD w procedurze wydawania upoważnień do przetwarzania danych osobowych sprawowanie funkcji doradczej i nadzorczej. Przyjęcie odmiennego założenia, w którym IOD byłby odpowiedzialny za przeprowadzenie tej procedury, a jednocześnie miałby monitorować jej zgodność z przepisami o ochronie danych osobowych, do czego zobowiązuje go unormowanie zawarte w art. 39 ust. 1 lit. b) RODO, doprowadziłoby w efekcie do sytuacji, gdzie IOD sprawowałby nadzór nad własną działalnością, a więc do konfliktu interesów, czego wprost zakazuje art. 38 ust. 6 RODO. Wyraźnego podkreślenia wymaga fakt, iż IOD, cechujący się szczególnym statusem w dziedzinie zapewniania właściwego przestrzegania przepisów o ochronie danych osobowych, musi mieć dla tego celu zagwarantowane odpowiednie warunki funkcjonowania, a więc takie, które pozwolą mu na efektywną, niezależną oraz prawidłową realizację obowiązków wynikających z przepisów prawa, co wynika z art. 38 ust. 2 i 3 RODO. W tym kontekście za słuszny uznać należy pogląd, w którym nakładanie na IOD obowiązków prowadzących do powstania konfliktu interesów, stawia pod znakiem zapytania nie tylko możliwość efektywnego wypełniania przez niego zadań, do realizacji których zobowiązuje go dyspozycja normy art. 39 RODO, ale godzi w same fundamenty instytucji IOD, opartej w pierwszym rzędzie na niezależności jego funkcjonowania. (…) IOD nie powinien być osobą, która realizuje obowiązki określone w art. 29 i art. 32 ust. 1 i 4 RODO, tym bardziej, że adresatem norm zawartych w przytoczonych przepisach jest administrator danych lub podmiot przetwarzający. Jak już wyżej wskazano, przyjęcie odmiennego poglądu powodowałoby konflikt interesów, którego występowania zakazuje w odniesieniu do IOD art. 38 ust. 6 RODO . Zatem uprawniony jest pogląd, zgodnie z którym dla celów zapewnienia właściwej skuteczności systemowi ochrony danych osobowych przyjętemu przez Szpital najkorzystniejszym rozwiązaniem jest to, w którym upoważnienia do przetwarzania danych osobowych wydawane są przez osobę pełniącą funkcję kierowniczą w ww. podmiocie, w tym np. kierownika działu kadr lub kierowników innych komórek organizacyjnych, a więc osoby będące w stanie w sposób najbardziej precyzyjny określać, komu oraz w jakim zakresie upoważnienie powinno zostać nadane oraz na bieżąco je aktualizować”.

 Na niewłaściwość takiej praktyki, jako powodującej konflikt interesów, zwracaliśmy uwagę również w zamieszczonej na stronie internetowej urzędu odpowiedzi na pytanie „Czy IOD może nadawać upoważnienia?”. Wskazujemy tam, że „Jeżeli administrator decyduje się na skorzystanie ze środka, jakim jest nadawanie upoważnień do przetwarzania danych (…), to może upoważnić inną osobę do nadawania upoważnień do przetwarzania danych w jego imieniu, ale osobą tą nie powinien być inspektor ochrony danych”.

Z konfliktem interesów mielibyśmy do czynienia również wówczas, gdyby IOD miał w imieniu administratora sporządzać projekty umów powierzenia przetwarzania danych osobowych. Najpierw bowiem określałby, w jaki sposób ukształtowane będą relacje między administratorem i podmiotem przetwarzającym oraz prawa i zobowiązania stron umowy, a następnie, realizując swoje obowiązki, zobowiązany byłby jednocześnie ocenić prawidłowość i zgodność z przepisami podjętych w tym zakresie decyzji.

 Na konieczność dokonywania oceny pod kątem występowania konfliktu interesów w związku z zawieraniem umów powierzenia przetwarzania danych Urząd wskazał m.in. udzielając odpowiedzi na jedno z pytań skierowanych do UODO przez IOD, która została zamieszczona również na stronie internetowej UODO („Czy IOD może w imieniu administratora zawierać umowy powierzenia?”). Wskazano w niej, że: „Konflikt interesów następuje m.in. wtedy, gdy nie można pogodzić prawidłowego wykonywania zadań inspektora, przypisanych mu w art. 38 ust. 4 oraz art. 39 RODO, z realizacją innych zadań, gdyż pomiędzy zadaniami występuje sprzeczność, uniemożliwiająca odpowiednią ich realizację. W przypadku inspektora sprzeczność taka może wynikać z występowania przez niego jednocześnie w dwóch rolach lub podejmowania przez niego działań lub decyzji, które następnie muszą podlegać jego ocenie w zakresie zgodnie z art. 39 ust. 1 lit. a RODO. Może się tak stać zwłaszcza w sytuacji, gdy inspektor jest obciążany obowiązkami, które przepisy nakładają na administratora".

 Kształtując zatem zakres obowiązków IOD warto pamiętać, że inspektor nie powinien realizować zadań, które mogą stać się następnie przedmiotem dokonywania przez niego czynności monitorowania ani podejmować decyzji w zakresie celów i środków dotyczących przetwarzania i zabezpieczania danych.

 Więcej wskazówek dotyczących zadań IOD znaleźć można ponadto w odpowiedziach na następujące pytania:

• Jakie zadania ma IOD?

• Kto powinien opracować wewnętrzną politykę ochrony danych osobowych? Administrator czy IOD?

• Czy prowadzenie rejestru czynności powinno być zaliczane do zadań IOD?

• Czy IOD powinien sporządzić plan audytów?

• Czy naruszenie przepisów odnoszących się do IOD może skutkować administracyjnymi karami pieniężnymi?

2022-05-10