Kim jest inspektor ochrony danych – powrót do podstaw

Mimo że RODO czyni z inspektora ochrony danych kluczowego gracza w systemie zarządzania danymi osobowymi, to w dalszym ciągu praktyczne aspekty związane ze sprawowaniem tej funkcji przysparzają wielu problemów. Dotyczy to zarówno samych inspektorów oraz wyznaczających ich administratorów danych, jak i organów nadzorczych mających czuwać nad przestrzeganiem RODO.

Aby wypracować jednolite standardy związane z wykonywaniem funkcji IOD, Europejska Rada Ochrony Danych (EROD) rozpoczęła tzw. skoordynowane działania egzekucyjne (CEF – The Coordinated Enforcement Framework). CEF to instrument stosunkowo rzadko stosowany przez EROD, w którym nadaje się priorytet określonemu tematowi, nad którym organy ochrony danych pracują na szczeblu krajowym. Trwający obecnie CEF dotyczący wyznaczenia i pozycji IOD to dopiero drugie takie działanie w historii EROD. Wyniki badania zostaną przeanalizowane w skoordynowany sposób, a organy ochrony danych zdecydują o ewentualnych dalszych krajowych działaniach nadzorczych i wykonawczych. Ponadto wyniki zostaną zagregowane, co zapewni głębszy wgląd w badany temat i umożliwi podjęcie ukierunkowanych działań następczych na poziomie całej UE.

Aby pomóc organizacjom w codziennej współpracy z IOD-emoraz w udzielaniu odpowiedzi na potencjalne pytania, które może skierować do nich Prezes UODO, postanowiliśmy zebrać w formie praktycznego artykułu najważniejsze informacje dotyczące sprawowania funkcji IOD.

Kto musi wyznaczyć inspektora ochrony danych

Zgodnie z art. 37 RODO inspektora ochrony danych musi wyznaczyć organizacja spełniająca którykolwiek ze wskazanych poniżej warunków:

1. jest podmiotem publicznym (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości),
2. jej podstawowa działalność jest oparta na regularnym i systematycznym monitorowaniu osób, których dane dotyczą, na dużą skalę,
3. jej podstawowa działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO (np. danych osobowych dotyczących zdrowia, identyfikacji biometrycznej, rasy, pochodzenia etnicznego itp.), lub danych wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO.

Brytyjski organ nadzorczy – ICO wyjaśnia, że „podstawowa działalność to istota działalności biznesowej organizacji (tj. przetwarzanie danych wymagane do osiągnięcia jej kluczowych celów) i różni się od działań związanych z przetwarzaniem wtórnym, czyli od takich działań, które mogą być czymś, co robisz przez cały czas (np. lista płac lub zarządzanie zasobami ludzkimi), ale które nie są częścią twoich głównych celów”. Grupa Robocza art. 29, poprzedniczka EROD, wydała w 2017 r. wytyczne, w których nakreśliła następujące czynniki konieczne do uwzględnienia przy określaniu „dużej skali”:

• liczba osób, których dane dotyczą, wyrażona jako liczba bezwzględna lub jako procent odpowiedniej populacji,
• zakres przetwarzanych danych,
• czas trwania lub ciągłość działalności związanej z przetwarzaniem danych,
• zasięg geograficzny działalności związanej z przetwarzaniem danych.

Grupa Robocza art. 29 wskazuje na motyw 24 RODO, który wyjaśnia, że „regularne i systematyczne monitorowanie” wiąże się z profilowaniem osoby fizycznej w celu przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw.

Co ważne, powyższe wymogi dotyczące powołania inspektora ochrony danych rozciągają się na organizacje mające siedzibę poza obszarem UE, gdzie organizacje są objęte unijnym zakresem eksterytorialnym.

Jakie kwalifikacje powinien posiadać inspektor ochrony danych

Inspektor ochrony danych musi być wyznaczony na podstawie „kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych” (art. 37 ust. 5 RODO). Organy regulacyjne, takie jak francuski organ ochrony danych – Commission Nationale de l'Informatique et des Libertés, wskazały konkretne umiejętności i obszary kompetencji, które ich zdaniem wchodzą w zakres krótkiego przepisu RODO dotyczącego wiedzy fachowej. Do obszarów tych należą:

• zrozumienie i stosowanie przepisów dotyczących podstawowych zasad ochrony prywatności danych, takich jak ograniczenie celu, minimalizacja danych, ograniczenie przechowywania, integralność i poufność danych,
• opracowanie i wdrożenie programów i polityki ochrony danych,
• organizowanie audytów ochrony danych i udział w takich audytach,
• identyfikacja i ocena ochrony prywatności w fazie projektowania w ramach operacji przetwarzania danych w organizacji,
• przeprowadzanie oceny ryzyka ochrony danych i oceny skutków,
• zrozumienie sposobu reagowania na incydenty naruszenia danych.

Organy te zwróciły również uwagę na certyfikację wiedzy fachowej, która jest wartością zarówno dla inspektora ochrony danych – jako sposób na „udowodnienie, że posiada umiejętności i wiedzę wymagane od inspektora ochrony danych”, jak i dla organizacji wyznaczających IOD – jako „wektor zaufania”, a także dla osób, których dane dotyczą, dostawców i pracowników. Wiele lat przed wejściem w życie RODO Europejski Inspektor Ochrony Danych zauważył, że certyfikację „należy traktować jako atut” przy wyznaczaniu inspektora ochrony danych.

Są też miękkie cechy, które warto brać pod uwagę. Dla przykładu, irlandzki organ nadzorczy zauważył, że w idealnej sytuacji inspektor ochrony danych to „silna, wpływowa osoba, która nie zmienia swojego przekonania niezależnie od tego, jak organizacja reaguje na kwestie przez nią poruszane”.

Kto może zostać inspektorem ochrony danych

Zgodnie z art. 37 ust. 6 RODO inspektor ochrony danych może być pracownikiem administratora, podmiotu przetwarzającego lub wykonawcą zewnętrznym. Toczy się ożywiona debata na temat tego, czy korzystniejsze dla organizacji jest powołanie wewnętrznego czy zewnętrznego inspektora oraz który model bardziej ułatwia efektywne wykonywanie zadań IOD i odpowiada na potrzeby firmy w zakresie tolerancji ryzyka. Do tej pory organy regulacyjne UE nie wskazywały przewagi jednego podejścia nad drugim. Decyzja o tym, czy IOD ma być osobą zatrudnioną w organizacji, czy też zewnętrznym wykonawcą, zależy od wielu czynników, w tym od wielkości i złożoności organizacji, budżetu, kultury organizacyjnej i tolerancji kierownictwa na ryzyko odpowiedzialności.

Warto w tym miejscu przywołać wyniki badań przeprowadzonych przez francuski organ nadzorczy, wskazujące, kogo firmy wyznaczają na IOD spośród członków swojego personelu:

Niezależnie od tego, czy IOD jest zatrudniony w organizacji, czy też jest wykonawcą zewnętrznym, art. 38 ust. 2 RODO stanowi, że organizacje muszą udostępnić swoim inspektorom zasoby niezbędne do wykonywania i utrzymywania wiedzy fachowej.

Kogo należy poinformować o wyznaczeniu inspektora ochrony danych

Zgodnie z art. 37 ust. 7 RODO każda organizacja, która wyznaczy inspektora ochrony danych, jest zobowiązana do opublikowania jego danych kontaktowych i zawiadomienia o fakcie jego wyznaczenia Prezesa Urzędu Ochrony Danych (lub innego właściwego organu nadzorczego). Organizacje, które nie zgłoszą swojego inspektora ochrony danych, podlegają karze, czego dowodem jest decyzja komisarza ds. ochrony danych i wolności informacji w Hamburgu z grudnia 2019 r. przeciwko niemieckiej filii Facebooka. Komisarz ten ukarał spółkę zależną grzywną w wysokości 51 000 euro za niepowiadomienie organu regulacyjnego, że Facebook wyznaczył swój zespół ochrony danych w Irlandii na inspektora ochrony danych we wszystkich europejskich spółkach zależnych.

Co oznacza niezależność inspektora ochrony danych

Przepis art. 38 RODO przewiduje, że inspektor ochrony danych działa niezależnie od administratora lub podmiotu przetwarzającego. Niezależność ta oznacza samodzielność i autonomiczność inspektora ochrony danych w dostarczaniu analiz i porad. Niezależność IOD wymaga przestrzegania dwóch rodzajów bezstronności:

• obiektywna bezstronność – IOD nie jest sędzią ani stroną, ponieważ nie jest powołany do weryfikowania decyzji, które osobiście lub wspólnie z innymi podjął administrator danych;
• subiektywna bezstronność – IOD jest odporny na wpływy osób kierujących się rozbieżnymi interesami, które mogłyby ograniczać jego swobodę w podejmowaniu decyzji na zajmowanym stanowisku.

Co oznacza konflikt interesów w kontekście inspektora ochrony danych

Konflikty interesów są bardziej prawdopodobne, gdy IOD jest pracownikiem organizacji, a nie zewnętrznym wykonawcą. Niedawne orzeczenie Trybunału Sprawiedliwości Unii Europejskiej potwierdziło, że pracownik, który jest wyznaczony w organizacji na inspektora ochrony danych, może zachować pewne inne obowiązki – pełnione poza funkcją IOD – jako pracownik tej organizacji, o ile role te są zgodne z zasadami RODO. Co ważne, art. 38 ust. 6 RODO stanowi, że inspektor ochrony danych nie powinien być zaangażowany w żadne obowiązki skutkujące konfliktem interesów, takie jak określanie celu i środków przetwarzania danych prowadzonego przez jego organizację. Przykładowo podczas postępowania egzekucyjnego belgijskiego organu ochrony danych w 2020 r. okazało się, że firma, która wyznaczyła dyrektora swojego działu zgodności, zarządzania ryzykiem i audytu na inspektora ochrony danych, naruszyła art. 38 ust. 6 RODO.

Komu podlega inspektor ochrony danych

Przepis art. 38 ust. 3 RODO stanowi, że inspektor ochrony danych bezpośrednio podlega „najwyższemu kierownictwu”, takiemu jak zarząd lub organ o podobnych uprawnieniach w zakresie zarządzania i podejmowania decyzji.

Inspektorzy ochrony danych znajdują się w wyjątkowej sytuacji, ponieważ muszą odpowiadać zarówno przed najwyższym kierownictwem, jak i przed osobami, których dane dotyczą. Aby zapewnić inspektorom ochrony danych możliwość skutecznego kontaktu z obydwoma rodzajami interesariuszy, art. 38 ust. 5 RODO nakłada na nich obowiązek zachowania tajemnicy i poufności co do wykonywania zadań. W trakcie wypełniania swoich obowiązków związanych ze szkoleniem w zakresie zgodności z RODO, badaniem praktyk i odpowiadaniem na zapytania zewnętrzne inspektorzy ochrony danych mogą zetknąć się z danymi osobowymi osób fizycznych i danymi wrażliwymi, takimi jak informacje zdrowotne lub finansowe. Wskazany przepis chroni osoby, których dane dotyczą, i uznaje wszelkie dodatkowe zabezpieczenia przyznawane przez poszczególne państwa członkowskie.

Jakie zadania wewnętrzne realizuje inspektor ochrony danych

Przepis art. 39 RODO wskazuje zadania, za które w organizacji odpowiedzialny jest inspektor ochrony danych. Jako doradca inspektor ochrony danych musi:

• informować organizację i pracowników w zakresie obowiązków związanych z ochroną danych,
• monitorować zgodność i szkolenia odpowiedniego personelu,
• doradzać w zakresie oceny skutków ochrony danych oraz monitorować wyniki względem tej oceny.

Wskazane zadania inspektora ochrony danych mają kluczowe znaczenie dla zapewnienia tego, że organizacja respektuje prawa i wolności osób, których dane dotyczą, i spełnia wymogi RODO. Może to zapobiec naruszeniom danych, grzywnom, uszczerbkowi na reputacji i odpowiedzialności prawnej organizacji. W trakcie wykonywania tych zadań inspektorzy ochrony danych mogą również pomóc we wspieraniu kultury ochrony danych i zaufania wśród klientów, partnerów biznesowych i interesariuszy.

Jakie zadania zewnętrzne realizuje inspektor ochrony danych

Inspektorzy ochrony danych służą również jako zewnętrzni przedstawiciele i punkty kontaktowe dla różnych interesariuszy. Podczas kontroli lub audytu organu ochrony danych IOD jest przede wszystkim odpowiedzialny za koordynację działań z organami regulacyjnymi. Innymi słowy, jest on odpowiedzialny za udzielanie informacji o przetwarzaniu danych osobowych i odpowiadanie na pytania dotyczące praktyk organizacji w zakresie ochrony danych. W przypadku pytań lub wątpliwości inspektorzy ochrony danych mogą konsultować się z organem ochrony danych również poza formalnymi kontrolami i audytami.

Wreszcie art. 39 ust. 2 RODO przestrzega, że inspektorzy ochrony danych muszą należycie uwzględniać ryzyko związane z przetwarzaniem danych, gdy wykonują zarówno wewnętrzne, jak i zewnętrzne zadania.

Jaka przyszłość czeka inspektorów ochrony danych

Funkcja inspektora ochrony danych ma coraz większe znaczenie w dobie rozwoju nowych technologii, szczególnie w kontekście ochrony prywatności i przetwarzania danych osobowych. Z tego względu można się spodziewać, że w przyszłości rola IOD będzie nadal rosła.

Z uwagi na zwiększające się znaczenie ochrony prywatności i przetwarzania danych osobowych można przypuszczać, że w przyszłości inspektorzy ochrony danych będą mieli jeszcze większe znaczenie, a ich rola będzie jeszcze bardziej kluczowa dla zapewnienia zgodności z przepisami i dla ochrony prywatności użytkowników. Jednocześnie, wraz z rozwojem sztucznej inteligencji i automatyzacji, niektóre zadania inspektora ochrony danych mogą być coraz częściej wykonywane przez specjalistyczne oprogramowanie.

W tym gęstym ekosystemie wymogi dotyczące inspektorów ochrony danych, przedstawione w RODO i innych dokumentach zawierających wytyczne, mogą wydawać się proste. Ale pozory mogą mylić. Rola inspektora ochrony danych może przybierać różne formy w zależności od wielu czynników, takich jak wielkość organizacji, dostępne zasoby i finansowanie, złożoność przetwarzania danych przez podmiot oraz dojrzałość programu ochrony prywatności organizacji.

Jeśli chcesz rozwiać wszelkie wątpliwości na ten temat, skontaktuj się z Marcinem Kuźniakiem. To doświadczony doradca ds. ochrony danych. Chętnie Ci pomoże teorię wcielić w praktykę.

Europejska Rada Ochrony Danych uznaje potrzebę zrozumienia, w jaki sposób rola inspektora ochrony danych była zależna od powyższych czynników i jak ewoluowała, czego wyrazem jest wybór tematu tegorocznego skoordynowanego działania.