10 paź

Konsekwencje wyznaczenia IOD z naruszeniem przepisów RODO

Dostaję naprawdę dużo pytań o to, kiedy dochodzi do konfliktu interesów w wyznaczeniu lub realizowaniu zadań przez IOD, a także czy za coś takiego można dostać karę.

Status inspektora określa art. 38 RODO, zgodnie z którym:

  • należy go wyznaczyć na podstawie wiedzy i kwalifikacji
  • musi podlegać tylko i wyłącznie pod najwyższe kierownictwo
  • musi być niezależny i swobodny w swoich działaniach, za które nie może być karany
  • dodatkowe obowiązki może wykonywać tylko wtedy, gdy nie powodują konfliktu interesów.

To są warunki konieczne, które muszą występować łącznie. Jednak w praktyce dostaję dużo sygnałów, że inspektorzy są wyznaczani z naruszeniem art. 38 RODO, zaczynając od „łapanki” wśród personelu (czyli braku odpowiednich kwalifikacji), poprzez wyznaczanie osoby, która ma pełne ręce swojej własnej roboty (konflikt interesów), kończąc na tym, że jest to często osoba, która ma nad sobą jakiegoś kierownika decydującego o sposobie wykonywania przez nią pracy (brak niezależności). Co więcej, często wskazane przeze mnie naruszenia występują łącznie.

I tak, administrator za którekolwiek z nich może otrzymać w najlepszym razie upomnienie, a w ostateczności pieniężną karę administracyjną. I takie działania są już podejmowane przez organy nadzorcze, nie tylko w Polsce. Zresztą o skali problemu niech świadczy to, że Prezes UODO postanowił przeprowadzić szeroką kontrolę sposobu funkcjonowania inspektorów i wykonywania przez nich obowiązków. I myślę, że można się spodziewać w niedalekiej przyszłości informacji o pierwszych karach, za wyznaczenie IOD z konfliktem interesów. We wrześniu 2022 r. niemiecki organ nadzorczy nałożył ponad 500 tys. euro na spółkę właśnie za takie działanie. Okazało się, że IOD był jednocześnie członkiem personelu administratora oraz członkiem najwyższego kierownictwa dwóch spółek, które pełniły funkcje podmiotów przetwarzających dla firmy, w której był inspektorem. W takim układzie nie mogło być mowy o obiektywnym i skutecznym kontrolowaniu podmiotów przetwarzających.

Kiedy administrator może dostać karę związaną z niewłaściwym funkcjonowaniem IOD w jego organizacji? Omówię to na przykładach, aby można było łatwiej zrozumieć:

  • Nie ma wiedzy w tym zakresie, ani kwalifikacji na to stanowisko w momencie wyznaczenia. Jest na przykład szeregowym pracownikiem, który dodatkowo został wyznaczony na IOD. Ale administrator obiecał, że wyśle go na jakiś kurs. Być może przeszedł już jakiś kurs/kursy, ale przepisy o ochronie danych osobowych są bardzo skomplikowane, więc umie tyle, ile go nauczyli, ale wykłada się przy pierwszym problemie, szczególnie naruszeniu.
  • Nie ma czasu na wykonywanie zadań IOD. Bardzo często jest tak, że zadania inspektora są dokładane jako dodatkowe, a inspektor ma swoje własne, standardowe obowiązki, w związku z czym nie jest w stanie zająć się zadaniami z art. 39 RODO. Jest to klasyczny konflikt interesów.
  • Nie ma zasobów do wykonywania zadań IOD. Spotkałam się wielokrotnie z tym, że w ogromnym zakładzie pracy jest jeden, pełnoetatowy inspektor. Czasami ma do pomocy iluzoryczny zespół RODO, jednak często w praktyce musi wszystko robić sam. Jeżeli inspektor nie jest w stanie skutecznie monitorować zgodności z RODO i wspierać administratora, oznacza że występuje konflikt interesów.
  • Brak zastępcy. Co prawda ustawa o ochronie danych osobowych nie narzuca obowiązku wyznaczenia zastępcy IOD, ale nie oznacza to, że nie powinien u administratora być ktoś kto „przejmie stery” na czas nieobecności inspektora. Wcale nie upieram się, że musi to być formalny zastępca, bo na przeszkodzie wyznaczeniu często stoją wymagania wobec takiej osoby. Jednak inspektor powinien mieć osoby lub osoby wspierające go w działaniu, które umożliwią mu spokojny sen podczas urlopu, czy chorobowego. Brak wsparcia jest konfliktem interesów.
  • Informatyk, kadrowiec, dyrektor jako inspektor. Zgodnie z przepisami RODO inspektor jest bezpośrednio pod najwyższym kierownictwem, natomiast nie może być to osoba, która działa w imieniu administratora. Zatem IOD nie mogą być członkowie zarządu lub właściciel JDG. Podobnie inspektorem nie może być osoba, która ma wpływ na sposób przetwarzania danych przez administratora, czyli należy do kadry kierowniczej lub odpowiada za tak ważne procesy jak bezpieczeństwo IT lub kadry. Zresztą trudno sobie wyobrazić, żeby któraś z tych osób mogła na 100% zaangażować się w ochronę danych osobowych. Wyznaczenie takiej osoby na IOD oznacza konflikt interesów.
  • Bezpośrednia podległość pod najwyższe kierownictwo jest tylko teorią. Często inspektorem w podmiotach publicznych jest osoba z jednej z komórek organizacyjnych, która podlega jednemu z kierowników. Nawet jeśli sztucznie, jako inspektor będzie w strukturze podlegać najwyższemu kierownictwu, to w praktyce fakt funkcjonowania w jakiejś komórce organizacyjnej podległej jednemu z kierowników prowadzi do konfliktu interesów. IOD powinien mieć samodzielne stanowisko.
  • Inspektor jest powiązany z podmiotem przetwarzającym dane. Jeśli IOD jest jednocześnie pracownikiem lub dyrektorem w podmiocie przetwarzającym dane na polecenie administratora, u którego go wyznaczono, nie będzie mógł obiektywnie kontrolować skuteczności wywiązywania się z obowiązków przez ten podmiot przetwarzający. Jest to wyraźny konflikt interesów.

Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie



Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.


Data aktualizacji: 10 października 2022