Jak to jest z odpowiedzialnością IOD? Mam drobny incydent związany z ochroną danych osobowych, tzn. z kalkulatora wagi naruszeń wynika, Brak obowiązku zgłaszania naruszenia - i taką rekomendację przekazałem administratorowi. Jak rozumiem, to on podejmuje
ODPOWIEDŹ
Za naruszenie ochrony danych osobowych zewnętrznie tzn. względem osób, których dane dotyczą oraz względem PUODO odpowiada administrator danych (nie IOD). Ostateczną decyzję zatem czy dane naruszenie należy zgłosić do PUODO czy też nie podejmuje administrator danych. Na nim ciąży obowiązek podjęcia właściwej decyzji. Art. 38 ust. 3 RODO wskazuje, że IOD nie jest odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Nie oznacza to jednak, że IOD jest bezkarny.
W literaturze przyjmuje się, że IOD nie może być karany za wykonanie swoich zadań - chodzi tu o wykonanie prawidłowe, zgodne z przepisami RODO. Za niewykonanie zaś zadań będzie on ponosił odpowiedzialność bądź to wynikającą z przepisów Kodeksu pracy, jeśli jest zatrudniony w oparciu o umowę o pracę lub odpowiedzialność na zasadach ogólnych, jeśli świadczy swoją pracę w oparciu o umowę o świadczenie usług.
Poniżej fragment komentarza, red. Litwiński 2021r. odnoszącego się do tej kwestii: "Jak wskazuje się w literaturze w odniesieniu do drugiej ze wskazanych zasad składających się na gwarancję niezależności IOD, sposób sformułowania tej gwarancji niezależności może budzić wątpliwości, ponieważ 'sugeruje, że wobec inspektora nie mogą być wyciągane konsekwencje za jakiekolwiek działania, które stanowią realizację jego zadań'. Taka wykładnia nie wydaje się jednak prawidłowa, ponieważ mogłaby prowadzić do bezkarności inspektora ochrony danych w przypadku nienależytego wykonywania jego zadań. Dlatego też sformułowanie 'wypełnianie zadań' należy odczytywać jako działanie prawidłowe, zgodne z przepisami, natomiast uchybienia, błędy czy też niepodjęcie wymaganych działań powinny być traktowane jako niewypełnienie zadań, co może prowadzić do pociągnięcia inspektora ochrony danych do odpowiedzialności (P. Fajgielski, Ogólne rozporządzenie o ochronie danych, s. 432). Jak podkreśla E. Bielak-Jomaa, administrator lub podmiot przetwarzający mogą rozwiązać umowę o pracę z osobą pełniącą funkcję IOD, jeśli nie realizuje ona zadań określonych w umowie o pracę, dokumencie określającym zakres obowiązków lub czynności, do których zobowiązała się w umowie cywilnoprawnej (E. Bielak-Jomaa, w: RODO, s. 793)"