UODO weryfikuje jak pracują inspektorzy ochrony danych
RODO nakłada na administratora bardzo konkretne obowiązki dotyczące zapewnienia IOD warunków do prawidłowego funkcjonowania i wykonywania przez inspektora zadań. Obecnie – w związku z rozpoczętą przez Urząd Ochrony Danych Osobowych (UODO) akcją weryfikacji przestrzegania obowiązujących w tym zakresie przepisów – wezwane podmioty będą musiały wykazać się podjętymi w tym celu działaniami, przedstawiając odpowiednie dowody na ich poparcie.
Istotna rola inspektora ochrony danych
Organ nadzorczy od lat wskazuje, że inspektorzy ochrony danych (IOD), dysponujący odpowiednią wiedzą i umiejętnościami, a także mający odpowiednią pozycję w organizacji, w której funkcjonują, stanowią fundament skutecznego systemu ochrony danych osobowych. Dla administratora realizują bowiem istotne funkcje: weryfikacyjną i doradczą. Jednocześnie pełnią inną ważną rolę – punktu kontaktowego, czyli pośrednika między administratorem lub podmiotem przetwarzającym a osobami, których dane dotyczą, oraz między administratorem lub podmiotem przetwarzającym a organem nadzorczym.
Żeby zapewnić IOD właściwe funkcjonowanie, w RODO wprowadzono odpowiednie, mające to gwarantować przepisy. Za ich przestrzeganie i odpowiednie wdrożenie odpowiada administrator. To na niego (na kierownictwo podmiotu będącego administratorem) RODO nakłada bardzo konkretne obowiązki dotyczące nie tylko wyznaczania inspektora ochrony danych, posiadania przez niego właściwych kwalifikacji i gwarancji niezależności, ale też zapewnienia, aby wyznaczony inspektor mógł prawidłowo realizować swoje zadania. W tym kontekście ważne jest wykonanie starannych analiz, wypracowanie odpowiednich mechanizmów oraz skutecznych, poddawanych stałym przeglądom procedur działania.
Weryfikacja pracy administratorów i inspektorów przez UODO
Organ nadzorczy (UODO) od dawna z uwagą podchodził do realizacji przez administratorów ich obowiązków dotyczących funkcjonowania IOD (a wcześniej ABI). Identyfikował występujące w tym obszarze trudności i wątpliwości oraz udzielał co do nich wskazówek i wyjaśnień, m.in. publikując na stronie internetowej UODO w zakładce Inspektor Ochrony Danych odpowiedzi na pytania, jakie przedstawiali w tym zakresie inspektorzy oraz administratorzy. Zamieszczane wskazówki miały na celu ułatwienie im wywiązywania się z nałożonych przepisami RODO obowiązków i zadań oraz wypracowanie odpowiednich, dostosowanych do ich organizacji rozwiązań. Poza tym UODO weryfikował stosowanie przepisów RODO w toku czynności kontrolnych, wzywał do składania wyjaśnień, reagując w ten m.in. sposób na wpływające do Urzędu sygnały dotyczące nieprawidłowości w tym zakresie.
Lista zagadnień dla ADO i IOD
W ostatnim czasie zaś, bazując na tych doświadczeniach, UODO przygotował zestaw szczegółowych pytań, mających na celu wieloaspektową weryfikację przestrzegania przepisów dotyczących tej funkcji. Po niemalże 4-letnim już okresie stosowania RODO, każdy administrator powinien umieć wykazać się szczegółowymi, dostosowanymi do swojej działalności rozwiązaniami w zakresie poszczególnych obowiązków wynikających z przepisów o ochronie danych osobowych dotyczących inspektorów ochrony danych.
Poniżej przedstawiamy listę zagadnień, do których wraz z przedstawieniem odpowiednich dowodów będą musieli odnieść się wezwani do kontroli administratorzy i podmioty przetwarzające.
- Czy u administratora został wyznaczony inspektor ochrony danych (IOD)?
- Czy na administratorze ciąży obowiązek wyznaczenia IOD (jeżeli tak, to na jakiej podstawie prawnej), czy też IOD został wyznaczony mimo braku takiego obowiązku?
- Czy administrator opublikował imię i nazwisko oraz kontakt do IOD na swojej stronie internetowej lub – jeżeli nie prowadzi swojej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności?
- Czy ww. informacje znajdują się w ogólnie dostępnym miejscu (proszę wskazać to miejsce, w przypadku strony internetowej proszę wskazać jej adres oraz link do tej informacji)?
- Czy Inspektor Ochrony Danych jest pracownikiem administratora, a jeśli nie, to na jakiej podstawie prawnej wykonuje swoje obowiązki?
- Czy IOD został powołany na wyłączność u administratora, czy wykonuje swoje obowiązki również u innych administratorów?
- Na podstawie jakich kwalifikacji administrator wyznaczył IOD (np. wykształcenie, doświadczenie, wiedza)?
- Jakie niezbędne zasoby, o których mowa w art. 38 ust. 2 RODO administrator zapewnia IOD?
- W jaki sposób administrator zapewnia zasoby na utrzymanie wiedzy fachowej IOD?
- Jakie stanowisko zajmuje IOD i komu podlega w strukturze organizacyjnej administratora?
- Czy administrator powołał zastępcę IOD, jeżeli tak, to kiedy?
- Czy u administratora funkcjonuje zespół IOD lub inna forma stałego wsparcia IOD w zakresie wykonywania jego zadań?
- W jaki sposób administrator zapewnia by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (np. czy zostały opracowane zasady dotyczące tego, jakie sprawy mają być konsultowane z IOD, kto i w jakich sytuacjach powinien zgłaszać się w celu uzyskania konsultacji IOD, czy i na jakich zasadach IOD bierze udział w naradach kierownictwa)
- W jaki sposób administrator zapewnia IOD dostęp do danych osobowych i operacji przetwarzania?
- Czy administrator przyjął jakiekolwiek regulacje wewnętrzne dotyczące funkcjonowania IOD (w szczególności w celu zapewnienia poszanowania gwarancji jego niezależności oraz jego uprawnień w zakresie dostępu do danych osobowych i operacji przetwarzania, włączania we wszystkie sprawy dotyczące ochrony danych osobowych, unikania konfliktu interesów), a jeżeli tak, to w jakim akcie wewnętrznym zostały one przewidziane?
- W jaki sposób administrator zapewnia, aby IOD nie były wydawane instrukcje co do wykonywania zdań przez IOD?
- W jaki sposób administrator zapewnia, aby IOD nie były karany i odwoływany za wykonywanie swoich zadań?
- W jaki sposób ADO postępuje w przypadku, gdy nie uwzględnia wskazówek lub rekomendacji IOD, np. czy dokumentuje powody niezastosowania tych wskazówek?
- W jaki sposób osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych zgodnie z art. 38 ust. 4 RODO ?
- Czy inspektor ochrony danych wykonuje również inne obowiązki lub sprawuje inną funkcję poza obowiązkami związanymi z ochroną danych osobowych, jeżeli tak to:
- jakie oraz w jakim wymiarze czasu pełni funkcję IOD, a w jakim inne zadania,
- w jaki sposób administrator ocenił, że w przypadku każdego z tych zadań nie występuje konflikt interesów, o którym mowa w art. 38 ust 6 RODO ?
- Czy w zakresie wykonywania innych zadań IOD podlega innym osobom niż najwyższe kierownictwo administratora?
- Czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów?
- Czy IOD wykonuje swoje zadania jedynie w siedzibie administratora, a jeżeli nie, to w jakim miejscu i w jaki sposób zapewniona jest stała dostępność IOD dla kierownictwa i pracowników administratora?
- Czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń, audytów?
- Czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny, czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami?
- Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?
- Czy administrator występował do IOD o udzielenie zaleceń co do oceny skutków dla ochrony danych, a jeśli tak, to w jakich sytuacjach?
- Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?
Szukasz Inspektora Ochrony Danych dla Twojej firmy? Skontaktuj się z nami. Tel. 68 411 40 46 lub 68 411 40 47.
Komentarze (0)