Kim jest inspektor ochrony danych?
Funkcja inspektora ochrony danych (IOD) została uregulowana w art. 37 RODO, który wskazuje okoliczności, w których administrator zobowiązany jest do wyznaczenia osoby odpowiedzialnej za aspekty związane z ochroną danych, gdy:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Niezależność IOD
Należy wskazać, że IOD musi zachować niezależność, tj. zabronione jest wydawanie mu wiążących poleceń i instrukcji w zakresie wykonywania przez niego zadań. Aby było to możliwe, IOD musi podlegać najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Ponadto konieczne jest zasięganie jego opinii we wszystkich kwestiach i nowych przedsięwzięciach, które mogą, chociażby pośrednio, odnosić się do przetwarzania danych osobowych.
IOD a sygnaliści
Jedną z takich spraw, w którą powinien być w pewnym zakresie zaangażowany IOD jest ochrona sygnalistów. W ramach zapewnienia odpowiedniego stopnia bezpieczeństwa ich danych, a co za tym idzie zapobiegania działaniom odwetowym, niezbędnym jest aby IOD uczestniczył w proces wdrażania regulacji wewnętrznych dotyczących sygnalistów w organizacji administratora. Oznacza to, iż powinien zaopiniować pod kątem ochrony danych przedmiotowe polityki i procedury oraz mitygować ryzyko związane z przetwarzaniem danych osobowych osób zgłaszających nieprawidłowości. Ponadto powinien być zaangażowany do wyboru odpowiednich systemów informatycznych do obsługi zgłoszeń oraz wydać rekomendacje co do adekwatnego zabezpieczenia kanałów komunikacyjnych, rejestrów oraz sporządzić wytyczne w zakresie bezpiecznego przechowywania tych danych. W następnych etapach IOD pełni rolę punktu kontaktowego w zakresie obsługi wszelkiego rodzaju wątpliwości związanych z ochroną danych osobowych sygnalisty.
Ryzyko konfliktu interesów
Funkcję IOD można łączyć z innymi zadaniami, zatem IOD potencjalnie mógłby być również zaangażowany w proces przyjmowania zgłoszeń oraz prowadzenia postępowań wyjaśniających. Istotne jest jednak, że nie powinien rozpatrywać kwestii związanych ze zgłoszeniami sygnalistów obejmującymi naruszenia dotyczące prywatności i ochrony danych osobowych. W takim wypadku IOD niejako zostałby „sędzią we własnej sprawie”.
Aspekty związane z obsługą sygnalistów powinny być przekazywane osobom dedykowanym do spraw compliance celem uniknięcia konfliktu interesów z obowiązkami IOD. Rekomendowane jest zatem unikanie łączenia funkcji w ramach obu działów. W szczególności niezbędne jest rozdzielenie funkcji IOD oraz Compliance Officera, czyli osoby odpowiedzialnej za zapewnienie zgodności działania spółki z przyjętymi wewnątrzorganizacyjnie procedurami i politykami.
Na podobnym stanowisku stoi belgijski organ nadzorczy, który w 2020 roku nałożył karę w wysokości 50.000,00 EURO na podmiot, który zlecił pełnienie funkcji IOD i szefa ds. zgodności tej samej osobie.
Kancelaria Graś i Wspólnicy wspiera przedsiębiorców w zakresie wdrożenia przepisów ochrony danych osobowych oraz procedur dotyczących sygnalistów. Zachęcamy do kontaktu.
Niniejszy artykuł ma charakter informacyjny i nie jest to porada prawna.
Stan prawny na dzień 24 kwietnia 2024 r.
autor:
