Prezes Urzędu Ochrony Danych Osobowych (PUODO)
Jest to organ nadzorczy, który przy pomocy obsługującego go Urzędu Ochrony Danych Osobowych pełni nadzór nad przestrzeganiem przepisów prawa w zakresie ochrony danych osobowych (stąd w praktyce terminów PUODO i UODO używa się zamiennie). Innymi słowy, PUODO dokonuje kontroli przestrzegania przepisów. Może przeprowadzać czynności wyjaśniające zarówno wskutek uzyskania informacji o nieprawidłowościach, np. w zgłoszeniu naruszenia, jak i z urzędu, kiedy np. jakiś wyciek zostanie opisany w mediach. To właśnie do PUODO zgłasza się naruszenia ochrony danych. Dodatkowo jest on organem właściwym do składania skarg na naruszenie praw osób fizycznych wynikających z RODO (np. jeśli sprzedawca nie udostępnił kopii danych, o którą prosił klient).
Najbardziej znanym uprawnieniem PUODO jest możliwość nakładania administracyjnych kar pieniężnych – nawet do 20 mln zł. PUODO posiada uprawnienia w zakresie egzekucji administracyjnej, stosowane w celu przymuszenia do wykonania decyzji administracyjnej. Niemniej jednak nie każde naruszenie przepisów musi skończyć się nałożeniem kary pieniężnej. PUODO ma szereg innych uprawnień, może np. poprzestać na upomnieniu, nakazać administratorowi dostosowanie operacji przetwarzania do przepisów (np. zaprzestanie zbierania nadmiarowych danych) czy też zakazać przetwarzania administratorowi danych osobowych lub nakazać ograniczenie przetwarzania (jak stało się w tym przypadku).
Decyzje PUODO są udostępniane na przeznaczonej do tego podstronie Urzędu. Można je przefiltrować według zagadnienia (np. pracownik, powierzenie przetwarzania, zgoda), według instytucji (np. ubezpieczyciele, sądy, telekomunikacja) oraz według daty wydania. Decyzje PUODO są pasjonującą lekturą dla każdej osoby interesującej się ochroną danych osobowych w Polsce, pozwalają bowiem zorientować się, jak przepisy „żyją”, jak w praktyce są interpretowane i stosowane oraz za jakie przewinienia można zostać ukaranym.
Administrator danych osobowych (ADO)
Administrator danych osobowych to osoba lub podmiot, które decydują o celach i sposobach przetwarzania danych osobowych. Najprościej rzecz ujmując: jest to właściciel danych osobowych. Może nim być zarówno osoba fizyczna (np. jednoosobowa działalność gospodarcza), jak i osoba prawna (np. spółka akcyjna). Administratorem danych osobowych stajemy się automatycznie w momencie, gdy zaczynamy przetwarzać dane osobowe w związku z wykonywaną działalnością zawodową lub zarobkową. Nie będziemy więc ADO, jeśli będziemy przetwarzać dane osobowe jedynie na użytek osobisty.
Większość wymogów RODO odnosi się właśnie do ADO – to on decyduje o kształcie wewnętrznego systemu ochrony danych osobowych. W związku z tym ewentualne kary są nakładane przede wszystkim na ADO, bardzo rzadko na podmioty przetwarzające. W praktyce jednak nie zawsze łatwe jest ustalenie, kto tak naprawdę jest administratorem określonego zestawu danych osobowych, administratorem określonej czynności przetwarzania. Znalezienie decydenta (decydującego o celach i sposobach przetwarzania) bywa kłopotliwe z uwagi na trudności z ustaleniem stanu faktycznego. Kto tak naprawdę o czym decyduje? – to pytanie często pojawia się np. w grupach kapitałowych. Z pomocą przychodzą wówczas wytyczne 07/2020 dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO. Również UODO publikuje na swojej stronie stanowiska co do określenia roli poszczególnych podmiotów w danym przetwarzaniu (np. biegłego rewidenta).
Podmiot przetwarzający (inaczej: procesor)
Procesor jest podmiotem, który przetwarza dane osobowe w imieniu administratora. Działa zatem nie po to, aby realizować jakieś własne cele, lecz po prostu wykonuje czynności na danych osobowych zlecone mu przez administratora. Ze stosunkiem powierzenia przetwarzania (między administratorem a procesorem) związany jest obowiązek zawarcia umowy powierzenia przetwarzania. Procesor z powierzonymi mu danymi nie może zrobić nic, czego nie zlecił mu administrator. W praktyce dość często – niewłaściwie – przyznaje się atrybut administratora każdemu podmiotowi, który fizycznie posiada jakieś dane osobowe. Nic bardziej mylnego: administrator nie musi nawet mieć wglądu do danych, żeby móc decydować o celach i sposobach ich przetwarzania. Można to porównać do Twoich pieniędzy na koncie bankowym – fizycznie posiada je bank, ale to Ty decydujesz, co z nimi zrobisz. Typowymi przykładami procesorów są np. zewnętrzne biura rachunkowe, agencje marketingowe, firmy ochroniarskie, firmy IT – wszystkie podmioty zewnętrzne mające dostęp do danych osobowych, których inna firma jest właścicielem. I to właściciel (administrator) decyduje o tym, co będzie się działo z danymi osobowymi. Przykładowo, zatrudniony do pilnowania budynku ochroniarz nie może wykorzystać nagrania z monitoringu do własnych celów, takich jak zamieszczenie go na swoim profilu na Facebooku.
Inspektor ochrony danych (IOD)
Przepisy prawa pozwalają na przekazanie nadzoru nad systemem ochrony danych osobowych osobie fizycznej pełniącej funkcję IOD, a nawet do tego zachęcają. Inspektorem ochrony danych może być osoba z wewnątrz organizacji (np. pracownik etatowy) lub spoza niej (tzw. outsourcing IOD). W praktyce IOD pilnuje, czy wszystkie obowiązki nałożone przez przepisy prawa na ADO są realizowane. Niemniej nie jest zadaniem IOD wykonywanie wszystkich zadań ADO (np. zapewnienie spełnienia obowiązku informacyjnego), gdyż to mogłoby prowadzić do konfliktu interesów. Konflikt ten polegałby na tym, że IOD audytowałby i weryfikował na bieżąco swoją własną pracę (więcej w wytycznych dotyczących inspektorów ochrony danych -> 3.5. Konflikt interesów).
W praktyce jednak, w szczególności w mniejszych firmach, do takich konfliktów interesów dochodzi dość często. Wynika to z tego, że IOD zwykle bywa jedyną osobą w organizacji, która posiada wiedzę na temat ochrony danych osobowych. Na przykład tylko on wie, że dostęp zewnętrznej firmy serwisującej systemy IT do danych wymaga zawarcia umowy powierzenia. Często też trudno mu jest wyjaśnić kadrze zarządzającej, że system ochrony danych będzie działał najlepiej wtedy, gdy jedna osoba będzie go wdrażać, a inna – sprawdzać. Niejednokrotnie zatem IOD wykonuje większą część obowiązków ADO, mimo że RODO tego nie przewiduje, a wręcz – zakazuje.
Administrator systemów informatycznych (ASI)
Migracje, chmury, systemy.
RODO w IT.
Zważywszy na to, że obecnie większość operacji przetwarzania danych osobowych odbywa się w środowisku cyfrowym, ASI to kluczowa funkcja w organizacji, pozwalająca na zapewnienie fizycznego bezpieczeństwa danych. Dobry ASI to dla organizacji skarb, bo dobra ochrona przed wyciekami lub zniszczeniem danych to też ochrona na przykład przed zablokowaniem działania firmy (ransomware) czy stratami wizerunkowymi związanymi z wyciekami danych klientów.
Osoba upoważniona do przetwarzania danych osobowych
Osobą upoważnioną będzie każdy, kto na polecenie i pod nadzorem ADO przetwarza dane osobowe. Jak ustalić, kto przetwarza dane osobowe? Metoda jest dość prosta. Jeżeli w zakresie obowiązków pracownika występuje jakiekolwiek działanie, które wymaga przetwarzania danych osobowych, to z pewnością mamy do czynienia z osobą, która musi zostać upoważniona. Tak samo jest w przypadku współpracy na podstawie umów cywilnoprawnych – jeżeli z umowy wynika konieczność przetwarzania danych osobowych, to taką osobę również należy upoważnić do ich przetwarzania. Oczywiście przed nadaniem upoważnień każda osoba musi zostać zapoznana z wewnętrzną dokumentacją ochrony danych osobowych, czyli procedurami przetwarzania danych obowiązującymi u konkretnego ADO – obejmującymi zarówno kwestie formalne, jak i kwestie bezpieczeństwa fizycznego i teleinformatycznego.
Właściciel procesu
Nie jest to termin wywodzący się z przepisów o ochronie danych, lecz pojęcie powszechnie stosowane w doktrynie. Właściciel procesu ma z założenia być osobą odpowiedzialną za zgodność przetwarzania w podlegającym mu procesie, np. rekrutacji czy organizacji konkursów. Nie każda organizacja decyduje się formalnie wyznaczyć właścicieli procesów, wychodzi bowiem z błędnego założenia, że za ochronę danych osobowych odpowiedzialny jest wyłącznie IOD. Jest to niewłaściwe podejście z dwóch istotnych powodów. Po pierwsze istnienie obok siebie właścicieli procesów oraz IOD znacznie zmniejsza ryzyko występowania konfliktu interesów (oczywiście pod warunkiem, że właścicielowi procesu będą właściwie przypisane zadania). Po drugie to właściciel procesu ma największą wiedzę o tym, jak funkcjonuje „jego” proces i jakie zmiany są w nim planowane (np. zmiana podmiotu przetwarzającego). Bez tej wiedzy IOD może nie być w stanie prawidłowo wykonywać swoich zadań przewidzianych w RODO.
Podsumowanie
Truizmem jest stwierdzenie, że tylko maksymalnie precyzyjny i przejrzysty podział kompetencji między poszczególne podmioty i dalej – między poszczególne osoby w tych podmiotach pozwoli sprawnie funkcjonować systemowi ochrony danych osobowych w organizacji. Nie wszystko jednak regulują wprost przepisy. Jeżeli chcesz się dowiedzieć, jakie zadania przydzielić kierownictwu firmy, IOD, ASI, właścicielom procesu oraz osobom upoważnionym, skontaktuj się z nami – mamy przygotowane gotowe procedury właściwie rozdzielające zadania między tych uczestników systemu ochrony danych.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Które z poniższych stwierdzeń na temat PUODO jest prawdziwe?