BLOG

Dowiedz się co jest naprawdę ważne.

Miejsce Inspektora Ochrony Danych w strukturze organizacyjnej.

przez

Czy Inspektor Ochrony Danych powinien być niezależny od Pełnomocnika ds. systemu zarządzania ISO?

W wielu organizacjach funkcjonują wdrożone i certyfikowane systemy zarządzania, które zostały zbudowane w oparciu o normy wydane przez ISO (ang. International Organization for Standardization) czyli międzynarodowe standardy systemów zarządzania. Organizacje takie niejednokrotnie są zobowiązane do powołania Inspektora Ochrony Danych (IOD) stosowanie do wymagań przepisów Rozdziału 4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej RODO). Organizacje takie mogą stawać przed dylematem jak prawidłowo powinien być umiejscowiony IOD w strukturze organizacyjnej w związku z tym, że wyznaczony jest również Pełnomocnik ds. systemu zarządzania wg normy ISO. Wątpliwości mogą dotyczyć tego jak definiować niezależność IOD i jak ona powinna przejawiać się w praktyce. Problem jest dosyć złożony, jednakże w ramach określania statusu IOD należy przede wszystkim kierować się wymaganiami RODO.

Status Inspektora Ochrony Danych według RODO i odpowiedzialność administratora danych osobowych.

Jak wiadomo charakter stanowiska IOD regulowany jest przez przepisy RODO, w szczególności przez art. 38 rozporządzenia ogólnego o ochronie danych. Zgodnie z ust. 3 tego artykułu Inspektor Ochrony Danych nie może otrzymywać instrukcji, rozumianych jako polecenia odnośnie sposobu oraz zakresu wykonywania zadań. Przepis przywołanego artykułu wyraźnie i jednoznacznie wskazuje, że to administrator danych osobowych obowiązany jest zapewnić, aby IOD posiadał wymaganą niezależność. W przypadku spółek kapitałowych, gdzie administratorem danych osobowych jest spółka reprezentowana przez Zarząd, to właśnie Zarząd jest odpowiedzialny za to, żeby IOD miał możliwość sprawowania swojej funkcji we właściwy sposób, tj. w sposób niezależny, będąc włączanym w sprawy ochrony danych i posiadając niezbędne zasoby. Ma to także szczególne znaczenie w związku z tym, że w nieodległej przeszłości miał miejsce przypadek nałożenia przez belgijski organ nadzorczy kary finansowej za brak niezależności IOD. Belgijski regulator (Gegevensbeschermingsautoriteit) nałożył karę na operatora telekomunikacyjnego – Proximus SA., w kwocie 50 000 euro (około 220 000 zł). Organ zarzucił spółce nieprawidłowości w zakresie powołania inspektora ochrony danych oraz brak jego niezależności. Zdaniem organu ukarana spółka powołała na stanowisko IOD swojego pracownika, jednocześnie odpowiedzialnego za kierowanie trzema strategicznymi departamentami o charakterze doradczym – audytu wewnętrznego, zarządzania ryzykiem i zgodności. Według belgijskiego regulatora sytuacja taka spowodowała, że IOD nie miał możliwości sprawowania swojej funkcji w sposób niezależny i występował konflikt interesów. Jest to, jak do tej pory najwyższa kara, jaka została nałożona przez belgijski organ nadzorczy. Powinniśmy zatem spodziewać się, że polski organ nadzorczy jest także żywo zainteresowany tym, żeby niezależność inspektorów zatrudnianych przez organizacje nie było jedynie iluzoryczna. Należy pamiętać, że UODO stoi na straży przestrzegania wszystkich wymagań wynikających z RODO. Rola nadzorcza UODO w żadnym wypadku nie ma charakteru wybiórczego i nie dotyczy tylko wycinka przepisów RODO. Oprócz realizacji szeregu wymagań wynikających z RODO, konieczne jest także właściwe podejście do funkcji IOD.

Z przepisów art. 38 ust. 3 RODO wynika, że IOD nie może być karany, ani odwoływany za wykonywanie swoich zadań. Znaczy to, że IOD nie może być karany, ani odwoływany za prawidłowe wykonywanie swoich zadań, nawet w przypadku gdy wydane przez niego zalecenia lub rekomendacje okażą się w jakimś stopniu niepopularne w organizacji lub będą wymuszały jakiś rodzaj modyfikacji czynności przetwarzania lub nawet będą wymagały wstrzymania określonych procesów biznesowych. Nasuwa się więc wniosek, że do zapewnienia zgodności z art. 38 ust. 3 RODO, IOD powinien być organizacyjnie podległy jedynie najwyższemu kierownictwu. W przypadku spółki kapitałowej IOD powinien podlegać organizacyjnie wyłącznie Zarządowi. Oznacza to, że ciężar odpowiedzialności za prawidłowość funkcjonowania realizowanych procesów przetwarzania danych osobowych, poszczególnych czynności przetwarzania i odpowiedzialność za podejmowane decyzji spoczywa na administratorze danych osobowych. To najwyższe kierownictwo będąc odpowiedzialnym za kwestie organizacyjne i realizacje procesów biznesowych odpowiada za prawidłowe umieszczenie IOD w strukturze organizacji. Ze względu na to, że IOD jest odpowiedzialny za nadzór merytoryczny nad realizacją wymagań RODO i powinien posiadać w tym zakresie szeroką wiedzę, decyzja o wyznaczeniu konkretnej osoby do pełnienia funkcji IOD jest decyzją o znaczeniu strategicznym dla organizacji.

Jak właściwie wyznaczyć Inspektora Ochrony Danych?

Najwyższe kierownictwo podejmując decyzję o powołaniu Inspektora Ochrony Danych powinno przede wszystkim kierować się przesłankami odpowiedniego poziomu wiedzy i doświadczenia kandydata, ale także powinno brać pod uwagę to czy kandydat, ze względu na szereg czynników będzie w stanie prawidłowo i niezależnie pełnić swoją funkcję. Najwyższe kierownictwo powinno wziąć pod uwagę czy w przypadku wybranej osoby nie będzie zachodził konflikt interesów np. w związku z innymi pełnionymi już funkcjami, występującymi powiązaniami lub jakimś stosunkiem podległości. Ze względu na ww. czynniki i uwarunkowania, w jakich może znajdować się pracownik organizacji, dobrym rozwiązaniem może być powołanie do pełnienia funkcji IOD osoby spoza organizacji, np. w ramach outsourcingu realizowanego przez wyspecjalizowaną firmę doradczą. Taki IOD zwykle cechuje się większym poziomem niezależności niż pracownik organizacji i często posiada większe zaplecze w postaci sprawdzonych narzędzi i rozwiązań oraz doświadczenia.

Miejsce IOD w strukturze organizacyjnej. Z czego może wynikać brak niezależności IOD?

Z punktu widzenia przepisów RODO niedopuszczalna jest sytuacja, w której pracownik podległy kierownikowi komórki organizacyjnej, czy nawet dyrektorowi pionu zostaje niejako „obarczony” pełnieniem funkcji IOD. Niewłaściwa będzie również sytuacja, w której IOD jest organizacyjnie podległy, co prawda tylko najwyższemu kierownictwu lecz ze względu na sposób zaprojektowania funkcjonującego systemu zarządzania opartego o normę lSO, będzie w praktyce, choćby tylko częściowo w swych działaniach, zależny lub podległy pełnomocnikowi ds. systemu zarządzania (np. pełnomocnikowi ds. systemu zarządzania jakością, systemu zarządzania bezpieczeństwem informacji, czy pełnomocnikowi ds. zintegrowanego systemu zarządzania – kiedy będziemy mieli do czynienia ze zintegrowanym systemem opartym o wymagania kilku norm ISO odnoszących do różnych dziedzin).

Zasygnalizowana wyżej zależność IOD może wystąpić np. w sytuacji dokonania próby integracji „systemu ochrony danych” rozumianego jako zestaw działań w celu wypełnienia wymagań RODO z systemami zarządzania ISO. Lub też gdy wystąpi próba utworzenia z „systemu ochrony danych” komponentu zintegrowanego systemu zarządzania. Takie działanie może polegać na próbach integrowania występujących procesów przetwarzania danych osobowych (gdzie proces przetwarzania danych powinien być rozumiany jako zestaw wzajemnie ze sobą powiązanych czynności przetwarzania danych osobowych, realizowanych dla osiągnięcia wspólnego celu przetwarzania, od chwili pozyskania danych osobowych, poprzez ich przechowywanie i/lub modyfikowanie do momentu usunięcia danych) z procesami wyszczególnionymi na potrzeby systemu zarządzania opartego na normie ISO. W systemach zarządzania ISO, procesy jak wiadomo działają w oparciu o cykl PDCA (ang. Plan, Do, Check, Act) i skupiają się na osiąganiu określonych celów biznesowych. Widzimy więc, że czym innym jest proces przetwarzania danych osobowych, a czym innym proces w systemie zarządzania ISO. Zastosowanie nieprawidłowego podejścia polegającego na próbach integrowania „systemu ochrony danych” z systemami opartymi o zupełnie inne wymagania może prowadzić wyłącznie do utrudnienia lub uniemożliwienia prawidłowego działania wszystkich systemów. Takie utrudnienia i komplikacje wnikają np. z niemożliwości pogodzenia sprzecznych norm i przepisów. Może dochodzić m.in. do pomieszania pojęciowego, tj. znaczących różnic w rozumieniu przez członków organizacji jak i wszystkie strony zainteresowane czym w praktyce jest proces. W konsekwencji z takiego błędnego podejścia może wyniknąć poważny chaos organizacyjny.

Z sytuacją podporządkowania IOD pełnomocnikowi ds. systemu zarządzania ISO, będziemy mieli do czynienia, także gdy dokumentacja tworzona na potrzeby ochrony danych osobowych będzie stanowiła integralny składnik dokumentacji systemu zarządzania ISO. Zastosowanie takiego modelu będzie prowadzić do pewnej organizacyjnej i formalnej podległości IOD wyżej wskazanemu pełnomocnikowi, co w finale oznacza brak zgodności z art. 38 ust. 3 RODO.

Czy Inspektor Ochrony Danych może być audytowany?

Naturalną konsekwencją zastosowania wyżej opisanych modeli jest potrzeba poddawania IOD audytom wewnętrznym ISO oraz audytom zewnętrznym w ramach procesu certyfikacji i nadzoru takich systemów zarządzania przez niezależną, akredytowaną jednostkę certyfikującą. Zaznaczyć trzeba, że IOD jako członek, pracownik lub współpracownik organizacji, w której został wdrożony system zarządzania ISO, oczywiście może być poddawany audytom wewnętrznym jak i zewnętrznym, jednakże pod pewnymi warunkami. Podczas takich audytów musi być koniecznie zapewniona jego niezależność w zakresie zadań IOD. To znaczy, że przedmiotem takiego audytu nie może być sposób wykonywania zadań IOD przewidzianych w art. 39 RODO. Dodatkowo kryterium audytu nie mogą być przepisy RODO czy wymagania dokumentacji wewnętrznej tworzonej na potrzeby ochrony danych osobowych w celu wypełniania wymagań RODO. Audyt taki natomiast może dotyczyć np. realizacji wymagań tzw. procedur systemowych, które dotyczą właściwego postępowania m.in. odnośnie komunikacji wewnętrznej i zewnętrznej, nadzoru nad udokumentowanymi informacjami (np. zasady znakowania i ewidencjonowania pism oraz obiegu dokumentów itp.). Każdy z takich audytów kończy się zazwyczaj wydaniem wytycznych i nakazem realizacji działań korygujących lub doskonalących w związku ze stwierdzonymi niezgodnościami czy obserwacjami. Wydanie Inspektorowi Ochrony Danych nakazu realizacji działań korygujących, które nie dotyczą realizacji wymagań tzw. procedur systemowych lecz dotyczą pełnienia jego funkcji, będzie niczym innym jak wydawaniem instrukcji Inspektorowi Ochrony Danych czego wyraźnie zabrania art. 38 ust. 3 RODO.

Czy „system ochrony danych osobowych” należy integrować z systemami zarządzania na podstawie norm ISO?

Próba traktowania „systemu ochrony danych osobowych” jako jeden z procesów zidentyfikowanych na potrzeby systemu zarządzania opartego na normach ISO, również będzie prowadzić do sytuacji, w której IOD będzie tracił swoją niezależność. Brak niezależności będzie konsekwencją działań nadzorczych pełnomocnika systemu zarządzania ISO, które pełnomocnik ten musi prowadzić w celu monitorowania tegoż właśnie niewłaściwie pojętego procesu. Takie działania nadzorcze pełnomocnika mogą być prowadzone np. w związku z określaniem celów dla procesu wraz ustaleniem mierników ich realizacji, monitorowania osiągnięcia celów, prowadzenia analizy ryzyk i szans dla realizacji założonych celów. W takiej sytuacji, jak widać, IOD będzie musiał zostać poddany szerokiej kontroli pełnomocnika systemu zarządzania ISO, co oczywiście będzie prowadzić do utraty jego niezależności.

Zatem sprowadzenie „systemu ochrony danych” do zaledwie jednego z wielu procesów funkcjonujących w ramach systemu zarządzania opartego na normie ISO nie może być uznane za prawidłowe. Postawi to wymagania obowiązujących przepisów prawa, w tym konkretnym przypadku, przepisów rozporządzenia ogólnego o ochronie danych, jako norm o niższej randze niż wymagania standardów ISO. A jak wiadomo normy ISO nie maja rangi przepisów prawa. Przyjęcie modelu, w którym dokumentacja tworzona na potrzeby ochrony danych osobowych, w szczególności polityki czy procedury tworzone na podstawie art. 24 ust. 2 RODO, będzie stanowiła integralny składnik dokumentacji systemu zarządzania ISO w praktyce musi prowadzić do uzależnienia IOD od pełnomocnika ds. systemu zarządzania i sprawi, że będzie poddany on nadzorowi tego pełnomocnika. Model taki znowu stałby w rażącej sprzeczności z przepisem art. 38 ust. 3 RODO, prowadząc do realnego podporządkowania IOD poleceniom pełnomocnika ds. systemu zarządzania ISO.

Czy dopuszczalne jest łączenie pełnienia funkcji IOD z funkcją pełnomocnika ds. systemu zarządzania ISO?

Trzeba także zwrócić uwagę na to, że próba połączenia funkcji pełnomocnika ds. systemu zarządzania ISO z funkcją IOD, w celu uniknięcia wyżej opisanych podległości, również jest niewłaściwa. Taka kumulacja obowiązków skutkowałaby konfliktem interesów i oznaczała by brak możliwości niezależnego sprawowania funkcji Inspektora Ochrony Danych. Pracownik, który jest odpowiedzialny za kierowanie, niewątpliwie strategicznym obszarem, jakim jest utrzymywanie i doskonalenie systemu zarządzania ISO i jest jednocześnie współodpowiedzialny za kształtowanie procesów biznesowych organizacji, ponadto odpowiada za audyt wewnętrzny, nigdy nie będzie mógł w sposób obiektywny i niezależny sprawować funkcji IOD.

Warty podkreślenia jest także aspekt, że zadanie IOD określone w art. 38 ust. 1 lit. b) RODO polegające na monitorowaniu przestrzegania wymagań tego rozporządzenia, które to monitorowania odbywają się w formie kontroli lub sprawdzeń i często bywają także nazywane audytem, wręcz powinno odbywać się przez tegoż właśnie powołanego Inspektora. Audyty czy sprawdzenia te mogą również być prowadzone przez osobę przez niego wyznaczoną, osobę ściśle z nim współpracującą, zastępującą go lub wspierającą IOD w wykonywaniu jego zadań. W żaden sposób nie zachodzi w takim przypadku ryzyko braku obiektywności, ani nie mamy do czynienia z audytowaniem własnego obszaru działania. Jednak, aby taką obiektywność zapewnić niezbędna jest właśnie prawidłowo rozumiana niezależność IOD w wykonywaniu jego zadań.

Zapewnijmy niezależność IOD i unikajmy nieprawidłowości.

Sytuacja gdy Inspektor Ochrony Danych podlega bezpośrednio w sposób formalny lub organizacyjny, bądź też zostanie nieformalnie podporządkowany innej osobie niż przedstawiciel najwyższego kierownictwa, jest głęboko nieprawidłowa i prowadzić będzie do poważnego zakłócenia właściwej realizacji zadań Inspektora Ochrony Danych. Funkcjonowanie „systemu ochrony danych” rozumianego jako zestaw działań w celu realizacji obowiązków wynikających z RODO, powinno być niezależne od wszelkich innych systemów istniejących w organizacji. Koegzystencja systemów zarządzania ISO oraz „systemu ochrony danych” powinna być niezależna i niepowiązana pod względem organizacyjnym i faktycznym. Są to czynniki niezbędne z punktu widzenia poprawności i zgodności z wymaganiami obydwu systemów, tak z punktu widzenia przepisów RODO jak i międzynarodowych standardów ISO. Najwłaściwsze jest więc prowadzenie odrębnej dokumentacji dla „systemu ochrony danych” i systemów ISO oraz rozdzielenie kompetencji i uprawnień do kierowania obydwoma obszarami. Niezbędne jest dodatkowo uniezależnienie Inspektora Ochrony Danych od decyzji pełnomocnika ds. systemu zarządzania ISO. Konieczne jest także uniezależnienie IOD od wszelkich poleceń i wytycznych jakie mógłby otrzymywać od takiego pełnomocnika czy innych przedstawicieli kadry kierowniczej. Z powyższych rozważań wynika zatem jednoznacznie, że Inspektor Ochrony Danych powinien być całkowicie niezależny od pełnomocnika ds. systemu zarządzania ISO, a funkcje te nie mogą być łączone.