Inspektor Ochrony Danych (IOD) i Administrator (ADO) – jak pies z kotem?
W sierpniu bieżącego roku przedłożone zostało odpowiednim organom oraz podane do wiadomości publicznej sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Sprawozdanie przedstawia najważniejsze informacje dotyczące zrealizowanych przez PUODO ustawowych zadań. W sprawozdaniu opisane zostały wyniki przeprowadzonych w poprzednim roku kontroli realizacji zadań przez Inspektorów Ochrony Danych Osobowych (IOD). Kontrolami objęte zostały 4 podmioty.
Z pierwszymi wnioskami z przeprowadzanych w 2022 kontroli pełnienia funkcji IOD można było się już zapoznać w marcu zeszłego roku, kiedy UODO opublikowało na swojej stronie informacje w tym zakresie. Wydaje się, że ocena PUODO zastanych u administratorów statusów realizacji zadań IOD uległa od tego czasu znaczącej zmianie. O ile informacje przekazywane w marcu posiadały pozytywne wybrzmienie, szczególności ze względu na podsumowanie kontroli słowami „w większości sytuacji weryfikacja ta wypadała pozytywnie i nie dawała podstaw do zastosowania uprawnień naprawczych”. Tak w tegorocznym raporcie możemy wyczytać, że „w trakcie postępowań stwierdzono szereg nieprawidłowości dotyczących powołania i funkcjonowania inspektorów ochrony danych u administratorów, wobec których były prowadzone czynności kontrolne.”
Jednym z zarzutów jest realizacja obowiązków administratora przez inspektorów ochrony danych, takich np. jak prowadzenie rejestru czynności przetwarzania. Nie jest wiadome jakiego rodzaju podmioty podlegały kontroli oraz w jaki sposób funkcja IOD została w nich obsadzona. Nie jest bowiem tajemnicą, że w przypadku IODów zewnętrznych, umowy zawierane pomiędzy podmiotami na obsługę w zakresie ochrony danych często obejmują również zadania, które leżą poza kompetencjami IOD, a pełnienie funkcji IOD jest tylko jednym z elementów umowy. Faktem jest, że RODO wyraźnie rozdziela obowiązki i kompetencje poszczególnych uczestników systemu ochrony danych. Nie otwiera również żadnej „furtki” aby móc przerzucić odpowiedzialność z tytułu realizacji poszczególnych obowiązków z administratora na IOD.
Wina leży po obu stronach (ADO & IOD).
Problemy z „wyręczaniem” administratora danych z jego obowiązków przez IOD jest w istocie kwestią podejścia reprezentowanego przez obie strony. Administrator zatrudniając osobę, która ma pełnić funkcję IOD chętnie korzystają z jej wiedzy i doświadczenia. Prowadzenie właściwej dokumentacji za administratora wpisuje się w doktrynę polecenia realizacji obowiązków zaufanemu profesjonaliście z danej dziedziny. Jednocześnie jest to rozwiązanie wygodniejsze, ponieważ nie trzeba angażować całej organizacji w realizację obowiązków wynikających z RODO. Z drugiej strony sami inspektorzy mogą chętnie przyjmować nowe obowiązki z obawy, że personel administratora nie podoła zadaniu prawidłowej realizacji wspomnianych obowiązków, a konsultacje i weryfikacja dokumentacji okażą się bardziej czasochłonne i mniej ergonomiczne niż samodzielne jej prowadzenie. Jest to kwestia odpowiedniego dostosowania systemu ochrony danych w organizacji tak aby personel, który posiada najlepszą wiedzę na teamach procesów zachodzących w organizacji był zaangażowany w formowanie dokumentacji ochrony danych. Zaangażowanie to powinno funkcjonować na dwóch poziomach, poza formalnym zaangażowaniem fizycznym w realizowanie czynności, istotne jest również zaangażowanie mentalne, a zatem świadome podchodzenie do problematyki ochrony danych.
Niewłaściwa komunikacja i brak wsparcia (ADO & IOD).
Kolejnym z wykrytych uchybień było niewłaściwe włączanie IOD w sprawy dotyczące ochrony danych osobowych, niepodejmowanie działań mających na celu zapewnienie inspektorowi ochrony danych zasobów niezbędnych do utrzymania jego wiedzy fachowej. Obowiązkiem administratorów jest zapewnić, by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych oraz wspierać go w realizacji zadań. Niezwłoczność jest niezbędna dla zapewnienia inspektorowi odpowiedniego czasu na reakcję oraz obniżenie ryzyka działania pod presją czasu (niezapewnienie inspektorowi wystarczającej ilości czasu było również jednym z uchybień wykazanych przez UODO w marcu 2022 roku). Z drugiej strony jest to element, który gwarantuje prawidłową realizację zasady privacy by design, pozwala na budowanie procesów w uwzględnieniem ochrony danych, niestety w praktyce nadal zdarzają się sytuacje, w których konsultacja z IOD następuje w końcowej fazie projektu, kiedy zmiany gwarantujące poufność danych są już często niemożliwe do wdrożenia. Realizacja powyższych obowiązków jest silnie powiązania z poziomem świadomości organizacji i istniejącym systemem ochrony danych, organizacją przepływu informacji oraz konsultacji wdrażanych czynności. W związku z tym IOD powinien wykazywać postawę proaktywną, interesować bieżącymi zmianami w organizacji, w końcu to na nim spoczywa obowiązek informowania organizacji i jej personelu, który przetwarza dane osobowe, o obowiązkach spoczywających na niej z tytułu realizacji przepisów RODO. Jednakże, co należy pokreślić – aby zaangażowanie IOD przynosiło efekty, niezbędne jest wsparcie kierownictwa organizacji. Inspektor nie jest w stanie prawidłowo realizować swoich zadań bez pomocy ze strony organizacji. Dlatego tak istotne jest uświadamianie administratorów, budowanie nawyków u personelu konsultacji z IOD wszelkich zagadnień, które mogą mieć wpływa na przetwarzanie i ochronę danych. Z byciem inspektorem jest trochę jak z byciem nauczycielem. Dobry będzie inspirował i zachęcał do kontaktu.
Jakie są wnioski?
Kluczem dla efektywnej realizacji obowiązków istniejących w związku z przetwarzaniem danych jest jasno określona współpraca między IOD a organizacją. Pomimo upłynięcia 5 lat od wejścia w życie RODO, nadal relacje między wskazanymi podmiotami mogą przybierać formy niezgodne z ideami rozporządzenia o ochronie danych. W interesie organizacji leży, aby współpraca z IOD przebiegała pomyślnie. Jest to dla niego gwarancja prawidłowej realizacji obowiązków oraz zabezpieczenie przed ewentualnym otrzymaniem administracyjnej kary pieniężnej.
Źródło: https://uodo.gov.pl/pl/487/2279 – „Sprawozdanie z działalności Prezesa UODO w roku 2022”