UODO weryfikuje jak pracują inspektorzy ochrony danych

RODO nakłada na administratora bardzo konkretne obowiązki dotyczące zapewnienia IOD warunków do prawidłowego funkcjonowania i wykonywania przez inspektora zadań. Obecnie – w związku z rozpoczętą przez Urząd Ochrony Danych Osobowych (UODO) akcją weryfikacji przestrzegania obowiązujących w tym zakresie przepisów – wezwane podmioty będą musiały wykazać się podjętymi w tym celu działaniami, przedstawiając odpowiednie dowody na ich poparcie.

Istotna rola inspektora ochrony danych

Organ nadzorczy od lat wskazuje, że inspektorzy ochrony danych (IOD), dysponujący odpowiednią wiedzą i umiejętnościami, a także mający odpowiednią pozycję w organizacji, w której funkcjonują, stanowią fundament skutecznego systemu ochrony danych osobowych. Dla administratora realizują bowiem istotne funkcje: weryfikacyjną i doradczą. Jednocześnie pełnią inną ważną rolę – punktu kontaktowego, czyli pośrednika między administratorem lub podmiotem przetwarzającym a osobami, których dane dotyczą, oraz między administratorem lub podmiotem przetwarzającym a organem nadzorczym.

Żeby zapewnić IOD właściwe funkcjonowanie, w RODO wprowadzono odpowiednie, mające to gwarantować przepisy. Za ich przestrzeganie i odpowiednie wdrożenie odpowiada administrator. To na niego (na kierownictwo podmiotu będącego administratorem) RODO nakłada bardzo konkretne obowiązki dotyczące nie tylko wyznaczania inspektora ochrony danych, posiadania przez niego właściwych kwalifikacji i gwarancji niezależności, ale też zapewnienia, aby wyznaczony inspektor mógł prawidłowo realizować swoje zadania. W tym kontekście ważne jest wykonanie starannych analiz, wypracowanie odpowiednich mechanizmów oraz skutecznych, poddawanych stałym przeglądom procedur działania.

Weryfikacja pracy administratorów i inspektorów przez UODO

Organ nadzorczy (UODO) od dawna z uwagą podchodził do realizacji przez administratorów ich obowiązków dotyczących funkcjonowania IOD (a wcześniej ABI). Identyfikował występujące w tym obszarze trudności i wątpliwości oraz udzielał co do nich wskazówek i wyjaśnień, m.in. publikując na stronie internetowej UODO w zakładce Inspektor Ochrony Danych odpowiedzi na pytania, jakie przedstawiali w tym zakresie inspektorzy oraz administratorzy. Zamieszczane wskazówki miały na celu ułatwienie im wywiązywania się z nałożonych przepisami RODO obowiązków i zadań oraz wypracowanie odpowiednich, dostosowanych do ich organizacji rozwiązań. Poza tym UODO weryfikował stosowanie przepisów RODO w toku czynności kontrolnych, wzywał do składania wyjaśnień, reagując w ten m.in. sposób na wpływające do Urzędu sygnały dotyczące nieprawidłowości w tym zakresie.

Lista zagadnień dla ADO i IOD

W ostatnim czasie zaś, bazując na tych doświadczeniach, UODO przygotował zestaw szczegółowych pytań, mających na celu wieloaspektową weryfikację przestrzegania przepisów dotyczących tej funkcji. Po niemalże 4-letnim już okresie stosowania RODO, każdy administrator powinien umieć wykazać się szczegółowymi, dostosowanymi do swojej działalności rozwiązaniami w zakresie poszczególnych obowiązków wynikających z przepisów o ochronie danych osobowych dotyczących inspektorów ochrony danych.

Poniżej przedstawiamy listę zagadnień, do których wraz z przedstawieniem odpowiednich dowodów będą musieli odnieść się wezwani do kontroli administratorzy i podmioty przetwarzające.

1. Czy u administratora został wyznaczony inspektor ochrony danych (IOD)?
2. Czy na administratorze ciąży obowiązek wyznaczenia IOD (jeżeli tak, to na jakiej podstawie prawnej), czy też IOD został wyznaczony mimo braku takiego obowiązku?
3. Czy administrator opublikował imię i nazwisko oraz kontakt do IOD na swojej stronie internetowej lub – jeżeli nie prowadzi swojej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności?
4. Czy ww. informacje znajdują się w ogólnie dostępnym miejscu (proszę wskazać to miejsce, w przypadku strony internetowej proszę wskazać jej adres oraz link do tej informacji)?
5. Czy Inspektor Ochrony Danych jest pracownikiem administratora, a jeśli nie, to na jakiej podstawie prawnej wykonuje swoje obowiązki?
6. Czy IOD został powołany na wyłączność u administratora, czy wykonuje swoje obowiązki również u innych administratorów?
7. Na podstawie jakich kwalifikacji administrator wyznaczył IOD (np. wykształcenie, doświadczenie, wiedza)?
8. Jakie niezbędne zasoby, o których mowa w art. 38 ust. 2 RODO administrator zapewnia IOD?
9. W jaki sposób administrator zapewnia zasoby na utrzymanie wiedzy fachowej IOD?
10. Jakie stanowisko zajmuje IOD i komu podlega w strukturze organizacyjnej administratora?
11. Czy administrator powołał zastępcę IOD, jeżeli tak, to kiedy?
12. Czy u administratora funkcjonuje zespół IOD lub inna forma stałego wsparcia IOD w zakresie wykonywania jego zadań?
13. W jaki sposób administrator zapewnia by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (np. czy zostały opracowane zasady dotyczące tego, jakie sprawy mają być konsultowane z IOD, kto i w jakich sytuacjach powinien zgłaszać się w celu uzyskania konsultacji IOD, czy i na jakich zasadach IOD bierze udział w naradach kierownictwa)
14. W jaki sposób administrator zapewnia IOD dostęp do danych osobowych i operacji przetwarzania?
15. Czy administrator przyjął jakiekolwiek regulacje wewnętrzne dotyczące funkcjonowania IOD (w szczególności w celu zapewnienia poszanowania gwarancji jego niezależności oraz jego uprawnień w zakresie dostępu do danych osobowych i operacji przetwarzania, włączania we wszystkie sprawy dotyczące ochrony danych osobowych, unikania konfliktu interesów), a jeżeli tak, to w jakim akcie wewnętrznym zostały one przewidziane?
16. W jaki sposób administrator zapewnia, aby IOD nie były wydawane instrukcje co do wykonywania zdań przez IOD?
17. W jaki sposób administrator zapewnia, aby IOD nie były karany i odwoływany za wykonywanie swoich zadań?
18. W jaki sposób ADO postępuje w przypadku, gdy nie uwzględnia wskazówek lub rekomendacji IOD, np. czy dokumentuje powody niezastosowania tych wskazówek?
19. W jaki sposób osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych zgodnie z art. 38 ust. 4 RODO ?
20. Czy inspektor ochrony danych wykonuje również inne obowiązki lub sprawuje inną funkcję poza obowiązkami związanymi z ochroną danych osobowych, jeżeli tak to:
    1. jakie oraz w jakim wymiarze czasu pełni funkcję IOD, a w jakim inne zadania,
    2. w jaki sposób administrator ocenił, że w przypadku każdego z tych zadań nie występuje konflikt interesów, o którym mowa w art. 38 ust 6 RODO ?
    3. Czy w zakresie wykonywania innych zadań IOD podlega innym osobom niż najwyższe kierownictwo administratora?
21. Czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów?
22. Czy IOD wykonuje swoje zadania jedynie w siedzibie administratora, a jeżeli nie, to w jakim miejscu i w jaki sposób zapewniona jest stała dostępność IOD dla kierownictwa i pracowników administratora?
23. Czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń, audytów?
24. Czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny, czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami?
25. Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?
26. Czy administrator występował do IOD o udzielenie zaleceń co do oceny skutków dla ochrony danych, a jeśli tak, to w jakich sytuacjach?
27. Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?

Szukasz Inspektora Ochrony Danych dla Twojej firmy? Skontaktuj się z nami. Tel. 68 411 40 46 lub 68 411 40 47.

Inspektor ochrony danych