Obowiązki Administratora danych osobowych nie mogą spoczywać na IOD
Administratorzy danych osobowych nie mogą przenosić swoich obowiązków i zadań na Inspektorów ochrony danych
Główną rolą Inspektorów ochrony danych jest wspieranie Administratorów danych osobowych w przestrzeganiu, a także we właściwym stosowaniu przepisów o ochronie danych osobowych. Powszechnym zjawiskiem jest sytuacja, w której to Administratorzy przerzucają swoje obowiązki na IOD.
Inspektor danych osobowych – kim jest
Inspektor ochrony danych (IOD) pełni szczególną funkcję. Jego rola opiera się na trzech głównych zadaniach, jakie realizuje, pełni rolę konsultanta ds. prawnych, konsultanta ds. bezpieczeństwa, a także jego zadaniem jest zapewnienie ochrony praw i wolności podmiotów danych. Najczęstszą definicją Inspektora ochrony danych jest określenie go jako podmiotu, którego celem jest wspieranie Administratora danych osobowych.
Co należy do zadań Inspektorów ochrony danych?
Prezes UODO wskazuje kluczowe zadania, jakie leżą po stronie IOD. Należą do nich m.in. monitorowanie przestrzegania przepisów o ochronie danych osobowych oraz wewnętrznych polityk danego administratora, a także nadzorowanie prawidłowego wykonywania wynikających z nich obowiązków. Rolą Inspektora ochrony danych jest wspieranie Administratorów Ochrony danych, lecz nie wykonywanie ich obowiązków. IOD nie powinien realizować zadań należących do Administratorów danych. Mogłoby to prowadzić do konfliktu interesu, którego występowanie jest zakazane w odniesieniu do IOD art. 38 ust. 6 RODO.
Zbyt niska świadomość czy celowe działanie?
Coraz częstszym zjawiskiem jest praktyka, w której to Administratorzy danych, zawierając umowy lub świadczenia usług z IOD przydzielają im swoje obowiązki. Sytuacje te mogą wynikać z dwóch powodów, ze zbyt niskiej świadomości zadań należących do IOD lub celowego działania. Jest to nieprawidłowe i naraża Administratorów danych na odpowiedzialność związaną z niezapewnieniem zgodności z przepisami RODO.
Prezes UODO udzielił upomnienia
Sytuacje, w których Administratorzy danych osobowych przenoszą swoje zadania na IOD zdarzają się coraz częściej. W ostatnim okresie takiego niedopatrzenia dopuścił się szpital, który nałożył na swojego Inspektora ochrony danych zadanie nadawania pracownikom upoważnień do przetwarzania danych osobowych. Prezes UODO zareagował i zastosował środek naprawczy w postaci upomnienia.
„Podstawowy zakres zadań IOD, wśród których na próżno szukać jednak tych związanych z nadawaniem pracownikom administratora upoważnień do przetwarzania danych osobowych, określony został przez unijnego ustawodawcę w art. 39 ust. 1 rozporządzenia 2016/679, niemniej jednak zgodnie z art. 38 ust. 6 ww. rozporządzenia IOD może wykonywać też inne zadania i obowiązki, o ile administrator lub podmiot przetwarzający zapewni, aby te zadania i obowiązki nie powodowały konfliktu interesów. W tym kontekście za słuszny uznać należy pogląd,
w którym nakładanie na IOD obowiązków prowadzących do powstania konfliktu interesów stawia pod znakiem zapytania nie tylko możliwość efektywnego wypełniania przez niego zadań, do realizacji których zobowiązuje go dyspozycja normy art. 39 rozporządzenia 2016/679, ale godzi w same fundamenty instytucji IOD, opartej w pierwszym rzędzie na niezależności jego funkcjonowania”.
Jan Nowak, Prezes Urzędu Danych Osobowych
Konflikt interesów
W przypadku nakładania przez Administratorów danych osobowych swoich zadań na IOD może dojść do konfliktu interesów. Konflikt pojawia się wtedy, gdy nie można pogodzić prawidłowego wykonywania zadań IOD z realizacją innych zadań z powodu występowania sprzeczności tych działań. W przypadku Inspektora ochrony danych sprzeczność może wynikać z podejmowania przez niego dwóch działań lub decyzji jednocześnie. Do sprzeczności może dojść również w sytuacji, gdy IOD jest obciążony zadaniami, które według przepisów leżą po stronie Administratora danych osobowych. Warto pamiętać, że IOD nie powinien realizować działań, które mogą stać się przedmiotem dokonywania przez niego czynności monitorowania ani podejmować decyzji w zakresie celów i środków dotyczących przetwarzania i zabezpieczania danych.
Źródło: Newsletter UODO dla Inspektorów ochrony danych nr 2/2021(23) Luty 2021