Przejdź do treści
Strona główna » Blog » Prezes UODO pyta o IOD

Prezes UODO pyta o IOD

Pojawiła się w ostatnim czasie informacja o pytaniach kierowanych do administratorów. Prezes UODO pyta o inspektorów ochrony danych. Z uwagi na to, że zapowiadana jest kontynuacja akcji u kolejnych administratorów, warto poświęcić chwilę na zapoznanie się z pytaniami, co czynię w tym wpisie.

1) Czy u administratora został wyznaczony inspektor ochrony danych (IOD)?

Pytanie na rozgrzewkę z prostą odpowiedzią, tak lub nie.

Jeżeli nie wyznaczyłeś IOD, możesz skończyć lekturę, chyba że jesteś ciekawy co dalej.

Jeżeli wyznaczyłeś IOD, idź dalej.

2) Czy na administratorze ciąży obowiązek wyznaczenia IOD (jeżeli tak, to na jakiej podstawie prawnej), czy też IOD został wyznaczony mimo braku takiego obowiązku?

Przypomnijmy, że nie każdy administrator musi wyznaczyć IOD. Na podstawie RODO są do tego zobowiązane:

  • organy lub podmioty publiczne, za wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości,
  • podmioty przetwarzające dane na dużą skalę, jeżeli przetwarzanie to wymaga regularnego i systematycznego monitorowania osób, których dane dotyczą,
  • podmioty przetwarzające na dużą skalę szczególne kategorie danych osobowych (art. 9 ust. 1 RODO) lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych (art. 10 RODO).

Jeżeli nie spełniasz któregoś z warunków i nie wyznaczyłeś IOD z własnej inicjatywy, nie musisz przejmować się dalszymi pytaniami.

Jeżeli jest inaczej, czytaj dalej.

3) Czy administrator opublikował imię i nazwisko oraz kontakt do IOD na swojej stronie internetowej lub – jeżeli nie prowadzi swojej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności?

Sprawdź, czy imię i nazwisko IOD jest opublikowane na Twojej stronie internetowej, w Biuletynie Informacji Publicznej lub w innym ogólnodostępnym miejscu. Pamiętaj, że powinieneś udostępnić również dane kontaktowe IOD, z których będą mogły skorzystać osoby zainteresowane.

Pamiętaj też, że samo wskazanie danych kontaktowych inspektora w informacji o przetwarzaniu danych, jakkolwiek zgodne z przepisami art. 13 i 14 RODO, nie wystarczy w przypadku, którego dotyczy pytanie.

4) Czy ww. informacje znajdują się w ogólnie dostępnym miejscu (proszę wskazać to miejsce, w przypadku strony internetowej proszę wskazać jej adres oraz link do tej informacji) ?

Krótki komentarz dotyczący informacji na stronie internetowej. Warto zadbać o to, aby informacje o IOD, jak również sama treść informacji dotyczących przetwarzania danych osobowych nie wymagały klikania w kolejne odnośniki. Informacje te powinny być łatwo dostępne, a więc znajdować się na pierwszej linii dostępu użytkownika.

5) Czy Inspektor Ochrony Danych jest pracownikiem administratora, a jeśli nie, to na jakiej podstawie prawnej wykonuje swoje obowiązki?

Inspektor Ochrony Danych może być Twoim pracownikiem, ale może również działać poza Twoją organizacją w ramach tzw. outsourcingu. Pamiętaj, że IOD powinien być niezależny i podlegać w swoich działaniach tylko najwyższemu kierownictwu. Nie można więc dopuścić do konfliktu interesów, np. sytuacji, w której IOD ocenia swoje własne działania, czy też takiej w których podwładny ma oceniać swojego przełożonego. W takiej sytuacji ciężko zagwarantować pełną niezależność.

Odpowiadając na pytanie wskaż podstawę, na jakiej IOD wykonuje swoje obowiązki. Może to być umowa lub akt wyznaczenia IOD, jeżeli taki został przyjęty

6) Czy IOD został powołany na wyłączność u administratora, czy wykonuje swoje obowiązki również u innych administratorów?

Sprawowanie funkcji IOD nie musi ograniczać się do jednego administratora. Napisz jak to wygląda u Ciebie. Jeżeli Twój inspektor pełni funkcję również u innych administratorów, zadbaj o to, aby pozostałe obowiązki nie kolidowały z tymi względem Ciebie.

7) Na podstawie jakich kwalifikacji administrator wyznaczył IOD (np. wykształcenie, doświadczenie, wiedza)?

Inspektor ochrony danych powinien cechować się fachową wiedzą z zakresu ochrony danych osobowych, jak również znajomością branży administratora, u którego pełni tę funkcję. Przede wszystkim więc znaczenie mieć będzie doświadczenie praktyczne IOD. Poza doświadczeniem warto zwrócić uwagę na wykształcenie kandydata na IOD. Pozytywną przesłanką mogą być odbyte studia podyplomowe z zakresu ochrony danych osobowych, czy inne kursy kierunkowe lub studia prawnicze.

8) Jakie niezbędne zasoby, o których mowa w art. 38 ust. 2 rozporządzenia 2016/679 administrator zapewnia IOD?

Wskaż jaką pomoc zapewniłeś IOD w sprawowaniu jego funkcji. Chodzi tu o wsparcie udzielone przez pozostałych pracowników, niezbędny do podejmowania działań sprzęt, umożliwienie uzyskania dostępu do danych. Nie zapominaj o podnoszeniu kwalifikacji inspektora, które jako administrator możesz (a nawet powinieneś) przynajmniej w części finansować.

9) W jaki sposób administrator zapewnia zasoby na utrzymanie wiedzy fachowej IOD?

Jak już napisałem wyżej, zapewnienie zasobów na utrzymanie wiedzy fachowej IOD może polegać na przeznaczeniu pewnej sumy pieniędzy na jego szkolenia i poszerzanie wiedzy w obszarach związanych z ochroną danych osobowych i rodzajem Twojej działalności. Możesz również zapewnić dostęp do różnego rodzaju programów lub prenumerat. IOD powinien szkolić nie tylko Twój personel, ale również siebie samego!

10) Jakie stanowisko zajmuje IOD i komu podlega w strukturze organizacyjnej administratora?

Pytanie szczególnie istotne w przypadku inspektorów, którzy są również pracownikami administratora, w związku z czym pełnią dwie funkcje. Ponownie należy wskazać na ewentualny konflikt interesów i potencjalne problemy z zapewnieniem niezależności. Inspektor nie może otrzymywać instrukcji, być karany, a odpowiedzialność ponosi jedynie przed najwyższym kierownictwem.

11) Czy administrator powołał zastępcę IOD, jeżeli tak, to kiedy?

Zastępca IOD to osoba pełniąca funkcję inspektora głównie pod jego nieobecność, w celu zapewnienia ciągłości ochrony danych osobowych. Może to być jednak również osoba, która wspiera inspektora w jego działaniach, a nawet cały zespół osób, specjalizujących się w różnych dziedzinach.

Pamiętaj, że powołanie zastępcy podlega zgłoszeniu Prezesowi UODO.

12) Czy u administratora funkcjonuje zespół IOD lub inna forma stałego wsparcia IOD w zakresie wykonywania jego zadań?

Jak wspomniałem przy poprzednim pytaniu, możliwe jest powołanie zespołu IOD lub innej formy stałego wsparcia. Przede wszystkim chodzi więc tu z jednej strony o zapewnienie wsparcia technicznego, aby inspektor nie był pozostawiony samemu sobie, z drugiej zaś o wsparcie merytoryczne. To drugie może być realizowane przez zespół specjalistów z różnych dziedzin, np. prawa i IT.

13) W jaki sposób administrator zapewnia by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (np. czy zostały opracowane zasady dotyczące tego, jakie sprawy mają być konsultowane z IOD, kto i w jakich sytuacjach powinien zgłaszać się w celu uzyskania konsultacji IOD, czy i na jakich zasadach IOD bierze udział w naradach kierownictwa)

To z pewnością jeden z trudniejszych elementów współpracy administratora z inspektorem ochrony danych. Wynika to w mojej ocenie z wciąż niewystarczającej świadomości, kiedy należy uruchomić tryby machiny ochrony danych osobowych. Pomocne może być w tym ustalenie zasad, o których wspomina Prezes UODO w pytaniu.

Udzielenie odpowiedzi może więc polegać na opisaniu, w jaki sposób IOD jest włączany w sprawy dotyczące ochrony danych osobowych. Inną metodą może być przekazanie procedury postępowania, jeżeli taką dysponujesz.

14) W jaki sposób administrator zapewnia IOD dostęp do danych osobowych i operacji przetwarzania?

Również tutaj powinieneś opisać, w jaki sposób umożliwiasz IOD dostęp do danych osobowych i operacji przetwarzania. Zależeć to będzie od tego, w jaki sposób działa inspektor. Może mieć on dostęp do danych na miejscu lub zdalnie, samodzielnie lub przy asyście innych osób. Nie zapominajmy, że spora część czynności inspektora może być wykonywana bez dostępu do danych.

15) Czy administrator przyjął jakiekolwiek regulacje wewnętrzne dotyczące funkcjonowania IOD (w szczególności w celu zapewnienia poszanowania gwarancji jego niezależności oraz jego uprawnień w zakresie dostępu do danych osobowych i operacji przetwarzania, włączania we wszystkie sprawy dotyczące ochrony danych osobowych, unikania konfliktu interesów), a jeżeli tak, to w jakim akcie wewnętrznym zostały one przewidziane?

Pytanie dotyczy procedur i innych regulacji, które opisywałyby sposób działania IOD. Jeżeli więc dysponujesz takimi dokumentami, powinieneś wskazać je w odpowiedzi.

16) W jaki sposób administrator zapewnia, aby IOD nie były wydawane instrukcje co do wykonywania zdań przez IOD?

Również ta kwestia może być przedmiotem procedury, w szczególności chodzi jednak o praktykę. Opisz w jaki sposób gwarantujesz inspektorowi, aby nie były wydawane instrukcje co do wykonywania jego zadań. IOD powinien działać niezależnie, a więc administrator nie może mu narzucić sposobu działania, czy też kierunku decyzji lub oceny.

17) W jaki sposób administrator zapewnia, aby IOD nie były karany i odwoływany za wykonywanie swoich zadań?

Ponownie, obszar ten może być przedmiotem procedury. Jeżeli natomiast chodzi o karanie, IOD nie może ponosić konsekwencji związanych z wykonywaniem swoich zadań. Niezależnie od tego, czy opinie inspektora wydają Ci się niewygodne, nie powinien on być z tytułu karany, w sposób oficjalny, czy też dorozumiany (np. przez odcięcie środków na szkolenie).

18) W jaki sposób ADO postępuje w przypadku, gdy nie uwzględnia wskazówek lub rekomendacji IOD, np. czy dokumentuje powody niezastosowania tych wskazówek?

Pamiętaj, że podjęcie ostatecznej decyzji spoczywa na administratorze, a IOD pełni funkcję doradczą. Opisz w jaki sposób działasz, kiedy wybierasz rozwiązanie sprzeczne z rekomendacjami inspektora.

19) W jaki sposób osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych zgodnie z art. 38 ust. 4 rozporządzenia 2016/679 ?

Opisz w jaki sposób możliwy jest kontakt z IOD. Jest on dostępny na dyżurach, mailowo, czy może prowadzić infolinię?

20) Czy inspektor ochrony danych wykonuje również inne obowiązki lub sprawuje inną funkcję poza obowiązkami związanymi z ochroną danych osobowych, jeżeli tak to:

a) jakie oraz w jakim wymiarze czasu pełni funkcję IOD, a w jakim inne zadania,

b) w jaki sposób administrator ocenił, że w przypadku każdego z tych zadań nie występuje konflikt interesów, o którym mowa w art. 38 ust 6 rozporządzenia   2016/679 ?

c) Czy w zakresie wykonywania innych zadań IOD podlega innym osobom niż najwyższe kierownictwo administratora?

Pytanie, na które odpowiedź teoretycznie wydaje się prosta, ale… w pierwszej kolejności napisz, czy IOD pełni również inne funkcje. Jak już wskazałem wyżej, nie powinny one powodować konfliktu interesów. Odpowiadając powinieneś wskazać również, w jaki sposób oceniłeś, że taki konflikt nie występuje. Wskaż kryteria, a najlepiej wykaż w jaki sposób przebiegała analiza.

Działanie na kilku polach nie powinno również uniemożliwiać lub utrudniać działań związanych z ochroną danych osobowych. Może się bowiem zdarzyć, że w nawale obowiązków, któreś z nich ucierpią. Z całą pewnością nie powinna ucierpieć ochrona danych osobowych.

I wreszcie, po raz kolejny wracamy do podlegania IOD pod inne osoby niż najwyższe kierownictwo. Jeżeli funkcję IOD pełni u Ciebie pracownik, który podlega pod kierownika działu, który z kolei odpowiada przed Tobą, prawdopodobnie powinieneś ponownie rozważyć zasadność wyznaczenia IOD. Dla wielu trudnym zadaniem będzie niezależne sprawowanie funkcji w odniesieniu do swojego przełożonego, który z kolei może potencjalnie nadużyć swoich uprawnień w ramach swoistej zemsty za wytknięcie mu błędów.

21) Czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów?

Czy jesteś w stanie wykazać, w jaki sposób zapewniłeś brak konfliktu interesów? Jeżeli opracowałeś politykę, procedurę lub inny mechanizm postępowania, napisz o nim. W jaki sposób działasz, kiedy taki konflikt wystąpi?

22) Czy IOD wykonuje swoje zadania jedynie w siedzibie administratora, a jeżeli nie, to w jakim miejscu i w jaki sposób zapewniona jest stała dostępność IOD dla kierownictwa i pracowników administratora?

Jeżeli funkcję IOD pełni Twój pracownik, prawdopodobnie będzie działał w Twojej siedzibie. Jeżeli jednak jest inaczej lub korzystasz ze wsparcia zewnętrznego inspektora ochrony danych, napisz skąd działa i w jaki sposób można się z nim kontaktować.

Ważne jest, aby IOD był stale dostępny dla administratora, stąd warto rozważyć wyznaczenie jego zastępcy lub powołanie zespołu IOD. Oceniając, czy IOD jest dostępny stale, weź pod uwagę sposób działania swojej organizacji. Jeżeli np. działasz w różnych strefach czasowych, konieczne może być działanie w trybie zmianowym, co pozwoli np. na sprawną obsługę incydentów i naruszeń.

23) Czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń, audytów?

Co najmniej dobrą praktyką inspektora ochrony danych jest opracowanie planu pracy, w szczególności szkoleń i audytów. Plan taki powinien zostać udostępniony administratorowi, który będzie mógł dowiedzieć się z niego, kiedy IOD planuje przeprowadzić szkolenia i audyty, jak również jakiego obszaru będą one dotyczyć.

24) Czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny, czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami?

Po przedstawieniu planu administratorowi może się okazać, że w jego ocenie IOD wymaga wsparcia. W takiej sytuacji powinieneś rozważyć różne możliwości zapewnienia prawidłowego wykonywania planowanych zadań, np. wyznaczenie dodatkowej osoby do pomocy lub zagwarantowanie wsparcia specjalisty z obszaru objętego planem.

25) Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?

Chodzi tu o częstotliwość przeprowadzanych audytów i tego, w jaki sposób są Ci przekazywane ich wyniki. Czy są one przekazywane ustnie, w formie konsultacji, czy też przedstawiane w formie raportu? Z punktu widzenia rozliczalności korzystniejsze jest dokumentowanie tych kwestii. Spisanie czynności audytowych razem z ich oceną i rekomendacjami może też być przydatne w przyszłości, kiedy pamięć o przeprowadzonym audycie nieco już wyblaknie.

26) Czy administrator występował do IOD o udzielenie zaleceń co do oceny skutków dla ochrony danych, a jeśli tak, to w jakich sytuacjach?

Czy występowałeś o udzielenie zaleceń co do oceny skutków? Często sytuacja wygląda odwrotnie i to IOD wskazuje, że taką ocenę skutków należy przeprowadzić i formułuje swoje rekomendacje w tym zakresie. Pamiętaj jednak, że nie ma takiego obowiązku i to Ty jako administrator powinieneś przejąć inicjatywę. Chodzi głównie o sytuacje, w których przetwarzanie danych może z dużym prawdopodobieństwem powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

27) Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?

Kontrolowanie pracy IOD przez administratora może mieć wymiar czysto porządkowy, a więc czy realizuje planowane przez siebie działania, czy jak wiele poświęca na nie czasu. Jeżeli natomiast chodzi o kontrolę merytoryczną, możesz skorzystać ze wsparcia niezależnego audytora zewnętrznego.

Kilka słów na zakończenie

I to by było na tyle z pytań kierowanych do administratorów. Pamiętaj, że w razie wątpliwości co do sformułowania odpowiedzi zawsze możesz skorzystać ze wsparcia, w tym również swojego IOD. Pytania te mogą stanowić również cenną wskazówkę, które obszary wymagają u Ciebie poprawy, w szczególności jeżeli chodzi o zasady pełnienia funkcji IOD, ale również dotyczących całego systemu ochrony danych osobowych w Twojej organizacji.

Ostatecznie, nie powinno chodzić o odhaczenie kolejnego nałożonego na Ciebie obowiązku, a rzeczywiste i praktyczne podejście do tematu, na którym skorzystasz i Ty, i osoby, które zaufały Ci powierzając swoje dane.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *