50 tys. euro za niewłaściwy wybór inspektora ochrony danych

Po raz kolejny działania europejskiego organu nadzorczego potwierdzają, że do spełnienia obowiązku prawnego powołania inspektora ochrony danych (IOD) w sytuacji, gdy przetwarzania dokonuje podmiot publiczny lub podmiot, który przetwarza dane w dużej skali (art. 37 ust. 1 RODO[1]) kluczowym jest nie tylko sam fakt powołania inspektora ochrony danych, ale także wybranie właściwej osoby, która cechuje się odpowiednią wiedzą, jest niezależna w swoich działaniach oraz nie wykonuje innych zadań, które mogą powodować konflikt interesów. Taką konkluzję można wysnuć z uzasadnienia Komisji Ochrony Życia Prywatnego Królestwa Belgii – belgijskiego odpowiednika Urzędu Ochrony Danych Osobowych, który 28 kwietnia 2020 r. wydał decyzję nakładającą karę w wysokości 50 tys. euro[2] na spółkę za niewłaściwy wybór inspektora ochrony danych.

Kulisy sprawy

Decyzja belgijskiego organu jest pokłosiem postępowania, które zostało wszczęte po wycieku danych z ukaranej spółki. Ujawniono wówczas, że osoba, która pełni funkcję inspektora ochrony danych równocześnie przewodzi jednemu z działów przedsiębiorstwa. W uzasadnieniu wskazano, że prowadzi to do konfliktu interesów, o którym mowa w art. 38 ust. 6 RODO. Wymieniono również szereg nieprawidłowości, które świadczą o tym, że inspektor nie był niezwłocznie i właściwie włączany do wszystkich spraw związanych z ochroną danych, co jest obowiązkiem administratora danych osobowych wynikającym z art. 38 ust. 1 RODO, m.in. inspektor nie był włączany w proces analizy ryzyka przetwarzania danych ani w podejmowanie decyzji mających wpływ na przetwarzanie danych osobowych. Analiza ryzyka oraz decyzje były podejmowane przez kierowników poszczególnych działów, a IOD był wyłącznie informowany o końcowym rezultacie.

Ukarana spółka broniła słuszności swojego stanowiska wskazując, że z treści art. 38 ust. 1 RODO wprost nie wynika, iż obowiązek włączenia inspektora nie może zostać spełniony poprzez poinformowanie go o decyzji lub wyniku analizy ryzyka. Wskazywała również, iż niezależność została zagwarantowana poprzez przyjęte procedury, które regulowały także sposób postępowania w przypadku wystąpienia konfliktu interesów. Komisja Ochrony Życia Prywatnego Królestwa Belgii nie zgodziła się jednak z interpretacją przekazaną przez stronę powołując się na wytyczne Grupy Roboczej art. 29 dotyczące inspektorów ochrony danych[3], które podkreślają konieczność włączenia inspektora w jak najwcześniejszym etapie procesu przetwarzania. Organ wskazał także, iż samo pełnienie funkcji IOD oraz piastowanie kierowniczego stanowiska prowadzi do wystąpienia konfliktu interesów, którego nie da się zniwelować poprzez wprowadzenie procedur.

Na precedensową w skali UE decyzję o nałożeniu kary w związku z art. 38 RODO niewątpliwie wpłynęły trzy okoliczności: wcześniejsze naruszenie bezpieczeństwa danych, obroty wygenerowane przez spółkę, które przekraczały rokrocznie 4 miliardy euro oraz duża skala przetwarzania danych.

Praktyka polskiego organu

Prezes Urzędu Ochrony Danych Osobowych nie wydał jeszcze żadnej decyzji w związku z art. 38 RODO czyli statusem inspektora. Z publikacji dostępnych na stronie urzędu można jednak wywnioskować, iż stanowisko UODO pokrywa się ze zdaniem belgijskiego organu. Odpowiadając na pytanie „Czy IOD może być osoba pełniąca funkcję kierownika komórki w organizacji?”[4] Urząd jednoznacznie wskazał, że „IOD nie może zajmować w organizacji stanowiska, na którym określa się sposoby i cele przetwarzania danych.” Zgodnie ze stanowiskiem Urzędu ma to na celu wyeliminowanie sytuacji, w których projektowanie sposobu przetwarzania danych oraz jego kontrola będą zależeć od tych samych osób. Powoduje to bowiem konflikt interesów polegający na tym, że osoba będąca jednocześnie inspektorem i kierownikiem jednostki nie może się kierować wyłącznie bezpieczeństwem i legalnością procesu przetwarzania, a musi brać również pod uwagę biznesowe cele, które często stawiane są wyżej w hierarchii.

Europejskie wytyczne

Przy rozpatrywaniu sprawy należy pochylić się również nad wspominanym wcześniej wytycznymi Grupy Roboczej art. 29 RODO stanowiącymi podstawę stanowisk organu belgijskiego i polskiego. Można w nich odnaleźć zakres funkcji, które zdaniem Grupy nie powinny być łączone z pełnieniem zadań inspektora ochrony danych. Należą do nich co do zasady stanowiska kierownicze oraz niższe, jeżeli biorą udział w określaniu celu i sposobu przetwarzania danych. Mogą być to więc dyrektorzy operacyjni, finansowy, kierownicy działu IT lub HR. Trzeba jednak pamiętać, iż nie jest to uniwersalne zestawienie. Każdy z administratorów sam powinien dokonać oceny, czy wyznaczony przez niego IOD spełnia wymóg niezależności oraz czy nie zachodzi konflikt interesów. Grupa rekomenduje zatem dokonanie oceny, której podstawą jest identyfikacja niekompatybilnych stanowisk oraz opracowanie procedur uniemożliwiających wykonywanie funkcji prowadzących do konfliktu interesów. Ma to szczególnie ważne znaczenie w przypadku jednostek, które nie są wstanie pozwolić sobie na wyodrębnienie oddzielnego etatu wyłącznie dla inspektora ochrony danych zgodnie z art. 38 ust. 6 RODO, muszą więc przydzielić inspektorowi także inne zadania.

Na koniec warto zwrócić uwagę, iż belgijski organ wydał decyzję w omawianej sprawie z uwagi na nieprawidłowości, które zostały wykryte w postępowaniu kontrolnym dotyczącym zgoła odmiennej materii – naruszenia bezpieczeństwa danych. Świadczy to o tym, że organy przeprowadzające kontrolę patrzą całościowo na proces przetwarzania danych w kontrolowanym podmiocie, nie poprzestając wyłącznie na pierwotnym zakresie kontroli.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);

[2] Decyzja Komisji Ochrony Życia Prywatnego Królestwa Belgii https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Beslissing_GK_18-2020_NL_.pdf (dostęp 7.05.2020);

[3] Wytyczne Grupy Roboczej art. 29 dotyczące inspektorów ochrony danych https://uodo.gov.pl/pl/file/2615 (dostęp 7.05.2020);

[4] Oficjalna strona Urzędu Ochrony Danych Osobowych https://uodo.gov.pl/pl/223/616 (dostęp: 7.05.2020).