RODO nie chroni niekompetentnych IOD

„Podejmę współpracę, wdrożę zapisy dyrektywy w organizacji, będę reprezentantem organizacji przed generalnym inspektorem ochrony danych osobowych do czasu wygaśnięcia umowy cywilnoprawnej między stronami” – w taki nieporadny sposób, nie bacząc na merytoryczne błędy, reklamuje swoje usługi kandydat na inspektora ochrony danych (IOD). Bardzo możliwe, że podobnych fachowców jest na rynku bardzo wielu. A na problem deficytu ekspertów kompetentnych do pełnienia funkcji IOD wskazuje nawet Urząd Ochrony Danych Osobowych.

Nie zmienia to faktu, że wielu administratorów jest zobowiązanych przez RODO do posiadania IOD. [ramka 1] I jak podkreśla Monika Młotkiewicz, dyrektor zespołu współpracy z administratorami danych w UODO, nie może to być osoba z łapanki.

Ramka 1

Kiedy trzeba powołać

Artykuł 37 ust. 1 RODO wskazuje, że obowiązek powołania IOD – oprócz organów lub podmiotów publicznych – dotyczy m.in. podmiotów, których główna działalność opiera się na regularnym i systematycznym monitorowaniu osób fizycznych na dużą skalę (np. przedsiębiorcy prowadzącego sieć handlową posiadającą monitoring), a także podmiotów, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych. Przedsiębiorca może również sam uznać, że potrzebuje IOD, nawet jeżeli nie ma obowiązku jego powołania. Podmioty powołujące IOD muszą dokonać jego zgłoszenia przez formularz elektroniczny dostępny na stronie UODO. Zgłoszenie musi zostać dokonane w ciągu 14 dni od wyznaczenia IOD. Artykuł 92 ustawy o ochronie danych osobowych przewiduje jednak pewien okres przejściowy. Mianowicie podmioty, które przed 25 maja br. miały powołanego administratora bezpieczeństwa informacji (ABI), muszą zgłosić powołanie IOD do 1 września 2018 r. Podmioty zaś, które nie miały ABI – do 31 lipca 2018 r. ©℗

– Tylko osoba merytorycznie i praktycznie przygotowana do wykonywania swoich zadań zapewni administratorowi faktyczne wsparcie w procesie stosowania postanowień RODO i pomoże rozwikłać wiele kwestii spornych, jakie pojawiają się chociażby przy dokonywaniu oceny skutków dla ochrony danych osobowych – mówi Monika Młotkiewicz.

(Nie)tykalny

Co jednak, jeśli administrator popełni błąd przy wyborze administratora i zechce go zwolnić? Problem może stwarzać art. 38 ust. 3 RODO, który o statusie inspektora mówi m.in.: „Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań”. Niektórzy czytający literalnie przepis obawiają się, że raz powołany IOD jest już nie do ruszenia.

Monika Młotkiewicz uspokaja i wskazuje, że niezależność inspektora jest bardzo ważna, ale nie oznacza, że jest on nietykalny. – Jeżeli IOD nie wykonuje swoich zadań lub wykonuje je w sposób nieprawidłowy, co można ocenić np. przy pomocy audytów zewnętrznych i wewnętrznych, to istnieje podstawa do jego zwolnienia. Zakaz z RODO wówczas nie obowiązuje – mówi przedstawicielka organu nadzorczego.

Jak dodaje, taka interpretacja wynika z wyjaśnienia Grupy Roboczej Art. 29 zawartej w wytycznych nr 243 dotyczących inspektorów ochrony danych. Grupa Robocza Art. 29 wyjaśnia bowiem, że przepis ma chronić inspektora w sytuacjach, gdy może narazić się on administratorowi, np. uzna określone przetwarzanie danych osobowych za ryzykowne i zaleci administratorowi lub podmiotowi przetwarzającemu przeprowadzenie oceny skutków dla ochrony danych osobowych.

Grupa wyjaśnia przy tym, jak rozumieć pojęcie kar, których nie można stosować. „Kary mogą przybrać szereg form i mogą być bezpośrednie albo pośrednie. Mogą polegać na braku albo opóźnieniu awansu, utrudnieniu rozwoju zawodowego, ograniczeniu dostępu do korzyści oferowanych pozostałym pracownikom. Nieistotny jest przy tym fakt nałożenia kary, gdyż sama możliwość jej wykonania i obawa z tym związana może być wystarczająca do utrudnienia wykonywania zadań” – czytamy w wytycznych.

Monika Młotkiewicz wyjaśnia, że taka interpretacja tego zakazu nie tylko chroni administratorów bezpośrednio odpowiedzialnych za przestrzeganie przepisów o ochronie danych osobowych, lecz także służy osobom, których dane są przetwarzane. Wszystkie one powinny mieć pewność, że IOD rzetelnie pełni nadzór nad przetwarzaniem danych osobowych i wskazuje ewentualne ryzyka oraz naruszenia.

Ponadto Grupa Robocza Art. 29 zaznacza jednak wyraźnie, że IOD będący pracownikiem w firmie administratora może być zwolniony zgodnie z normalnymi regułami, przepisami karnymi i prawa pracy, jak w przypadku każdego innego pracownika czy zleceniobiorcy. Może to więc dotyczyć np. przypadków kradzieży, nękania fizycznego i psychicznego, molestowania seksualnego czy ciężkiego naruszenia obowiązków pracowniczych.

Ale uwaga! Nawet niekompetentny IOD (jak i ten niesłusznie zwolniony) ma szansę na obronę. Może bowiem złożyć skargę do UODO na złamanie zakazu karania za wykonywanie obowiązków IOD. A także, jeżeli jest pracownikiem w firmie administratora, może poskarżyć się do sądu pracy. Gdy zaś sprawa dotyczy podmiotu związanego z administratorem umową cywilnoprawną, może znaleźć swój finał w sądzie cywilnym.

Sankcje finansowe

To, kto zostanie powołany na IOD, ma niebagatelne znaczenie dla administratora. Zgodnie z art. 83 ust. 4 RODO za powołanie na stanowisko inspektora osoby niekompetentnej na przedsiębiorcę może zostać nałożona kara finansowa w wysokości nawet do 10 mln euro lub 2 proc. jego całkowitego rocznego światowego obrotu z roku poprzedzającego naruszenie.

Taka sama kara grozi za niewyznaczenie IOD przez podmioty do tego zobowiązane, za niezapewnienie mu prawidłowych warunków do wykonywania zadań (np. nieudzielanie wsparcia przy wykonywaniu zadań określonych w art. 39 RODO) lub nieszanowanie jego niezależności.

Kryteria oceny

Jak jednak ocenić, czy administrator rzeczywiście zatrudnia osobę kompetentną na stanowisko IOD? Monika Młotkiewicz radzi, aby decyzję o zatrudnieniu opierać na weryfikacji dokumentów poświadczających kwalifikacje kandydata na IOD, np. certyfikatów, dyplomów oraz innych dokumentów poświadczających wiedzę, umiejętności i dotychczasowe doświadczenie w pracy jako ABI.

– Poziom kompetencji zatrudnionego IOD musi być współmierny do skali i rodzaju prowadzonego przetwarzania danych przez administratora danych osobowych i związanego z nim ryzyka – podkreśla Monika Młotkiewicz.

Są też sposoby na to, aby zabezpieczyć się na wypadek, gdy się okaże, że IOD wypełnia swoje obowiązki nieprawidłowo. [ramka 2] ©℗

Ramka 2

Warto zapisać kary umowne

Wielu administratorów, nie chcąc wyznaczać IOD w ramach struktur swojej firmy, decyduje się na zawarcie umowy z podmiotem zewnętrznym. Często są to podmioty świadczące usługi IOD dla wielu przedsiębiorstw. Bywa, że podejmują jednocześnie współpracę z tak dużą liczbą klientów, iż nie są w stanie zapewnić odpowiedniej jakości usług. Chciwość takich podmiotów lub złe ocenienie przez nie swoich kompetencji i mocy przerobowych może doprowadzić do sytuacji, gdy nie będą one w stanie prowadzić rzetelnego nadzoru nad przetwarzaniem danych osobowych u każdego z przedsiębiorców, z którymi zawarły kontrakt. To problem dla administratora, bo to jemu grozi kara za brak realnej ochrony nad przetwarzaniem danych osobowych.

Warto więc zabezpieczyć się przed taką sytuacją. Jak? Eksperci proponują, by np. wpisać do umowy z IOD klauzulę nakładającą na IOD karę umowną w przypadku stwierdzenia przez organ nadzorczy, że podmiot zewnętrzny nie był w stanie podołać obowiązkom nadzoru. Nie uchroni to oczywiście przed ewentualną karą od UODO, ale może pokryć przynajmniej część powstałej straty finansowej. ©℗

Podstawa prawna

Art. 37 ust. 1, art. 38 ust. 3, art. 83 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, RODO (Dz.Urz. UE z 2016 r. L 119, s. 1).

Art. 92 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000).