Przeanalizujmy kluczowe dla poradnika stwierdzenie, zgodnie z którym „Inspektorzy ochrony danych” (IOD) to profesjonalni doradcy wspierający administratorów i podmioty przetwarzające w zapewnieniu zgodności z przepisami RODO”. Wskażmy na liczne zawarte w tej wypowiedzi nieporozumienia, a wręcz błędy.

Czytaj również: UODO upomina za złą regulację IOD. I zaprasza na webinarium o poradniku>>

Prawne obowiązki IOD – pięć błędów poradnika

Po pierwsze, jeśli już, to IOD doradza także pracownikom administratorów lub procesorów, co wynika wprost z treści art. 39 lit. a) RODO. To ważne, albowiem oznacza, że IOD wchodzi w bezpośrednie relacje prawne z pracownikami, a nie tylko administratorami, a raczej organami jednostek organizacyjnych administratorów.

Po drugie, „informowanie i doradzanie” jest obowiązkiem prawnym IOD. Obowiązek ten wynika ze źródła prawa obowiązującego powszechnie (RODO) i leży w interesie publicznym. Tym samym informowanie i doradzanie przez IOD jest wykonywaniem zadania publicznego, czyli zadania państwa. Wniosek ten ma wielkie znaczenie praktyczne, co czego jeszcze wrócimy.

Po trzecie, RODO przyznaje IOD kompetencje władcze w postaci uprawnienia do monitorowania, czyli kontrolowania. Nie wchodząc w szczegóły, uprawnienie do przeprowadzania kontroli przyznane aktem powszechnie obowiązującym jest postacią władztwa administracyjnego, czyli innymi słowy publicznego. Z tego powodu prawnym obowiązkiem administratora jest zapewnienie IOD-owi „dostępu do danych osobowych i operacji przetwarzania” pod rygorem odpowiedzialności z art. 83 ust. 1 RODO. Ujmując rzecz jeszcze bardziej kategorycznie – organy administratora podlegają władztwu administracyjnemu IOD-a. A jeszcze inaczej, IOD jest organem nadrzędnym w stosunku do organów administratora w tym zakresie, w jakim prowadzi kontrolę. Nie ma to nic wspólnego z doradztwem.

Po czwarte, wbrew treści poradnika - nie jest zadaniem IOD – „podnoszenie świadomości personelu na temat ochrony danych osobowych”. Z treści art. 39 lit b), zwłaszcza w wersji angielskiej wynika bowiem jasno, że IOD kontroluje (audytuje), czy administrator podejmuje „działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania”. Inną rzeczą jest to, że skoro prawnym obowiązkiem IOD jest „doradzanie”, to przeprowadzenie szkolenia nie stoi z tym zadaniem w sprzeczności, choć sprawa nie jest jednak jednoznaczna.

Po piąte, uznanie IOD za doradcę znajduje się w całkowitej sprzeczności z jego prawnym obowiązkiem współpracy z organem nadzorczym i bycie jego punktem kontaktowym, do czego jeszcze wrócę.

Nowość

-10%

Nowość

Przetwarzanie danych dotyczących zdrowia pracowników na podstawie art. 9 ust. 2 lit. h RODO

Arkadiusz Sobczyk

Sprawdź  

Kim jest IOD i jaka jest jego rola

Nie wchodząc w dalsze rozważania, IOD nie jest doradcą, ale tzw. organem administrującym wykonującym zadania określone w prawie i mające na celu interes publiczny (tak zresztą jak całe RODO). W zakresie uprawnienia a zarazem obowiązku prowadzenia monitoringu (audytu) IOD jest organem kontrolnym i przynależy do kategorii tzw. organów ochrony prawnej. Takie instytucje są dobrze znane prawu polskiemu. Wspomnijmy np. służbę BHP czy też społeczną inspekcję pracy. Natomiast w zakresie, w jakim IOD nie prowadzi kontroli, jest „organem doradczym”. Organ doradczy to podmiot zupełnie inny niż doradca, nawet profesjonalny.  

Zatrzymajmy się więc na roli „organu doradczego”. Ma bowiem rację UODO, twierdząc, że IOD nie zajmuje się stosowaniem RODO, choć administrator danych osobowych ma obowiązek włączyć IOD w procesy decyzyjne i organizacyjne dotyczące przetwarzania danych osobowych. Ów obowiązek nie służy jednak temu, aby IOD podejmował decyzje lub wykonywał czynności techniczno-organizacyjne, ale temu, aby te procesy monitorował, doradzał, w tym opiniował. Zadaniem IOD nie jest więc zgłaszanie incydentów w imieniu administratora, ale prowadzenie monitoringu m.in. po to, aby incydenty wykrywać.

Nadto, prawny obowiązek „doradzania”, o którym mowa w art. 39 lit a), to także obowiązek oceny wszelkich działań podejmowanych przez administratora. Dodajmy od razu, że taka regulacja jest znana w prawie polskim od kilkudziesięciu lat i dotyczy służby BHP. Służba ta z mocy prawa musi być angażowana do każdego procesu, który dotyczy bezpieczeństwa dla życia i zdrowia, jednak jedynie z głosem opiniodawczym.

Czytaj w LEX: Udostępnienie stronie akt sprawy poza siedzibą organu > >

Opinia doradcy a opinia IOD jako organu doradczego

Przejdźmy jednak do korzyści, jaką uzyskuje administrator z faktu posiadania IOD-a. Rzecz w tym, że opinia organu, jakim jest IOD ma zupełnie inny walor niż opinia „doradcy”. Opinia organu korzysta bowiem z domniemania jej poprawności, której to cechy nie ma opinia doradcy. Dlatego należy przyjąć, że administrator, który naruszy RODO na skutek błędnej opinii IOD, nie ponosi odpowiedzialności z art. 83 RODO z powodu braku winy. Z kolei zapewniona przez prawo niezależność IOD służy temu, aby nie ponosił on ujemnych konsekwencji wydania opinii dla administratora lub procesora niekorzystnej. Z drugiej strony IOD będzie odpowiadał karnie za wydawanie korzystnych opinii w zamian za korzyści majątkowe. Dodajmy zarazem, że opinia IOD nie jest oczywiście dla administratora wiążąca. Jeśli uzna, że ten ostatni nie ma racji, to może podejmować działania według własnego uznania, tyle że na własne ryzyko.

To jednak nie wszystko. Administrator nie poniesie odpowiedzialności z art. 83 lub poniesie ją w mniejszym wymiarze, jeśli IOD nie „poinformował administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych”.  

Powyższe rozumowanie nie jest oparte jedynie na analizie prawa i nauki prawoznawstwa, ale także argumencie z zakresu racjonalności prawa. Państwo nie można oczekiwać, aby przedsiębiorca miał  prawny obowiązek znać się na wszystkich dziedzinach prawa. Skoro więc państwo nakłada na przedsiębiorstwa coraz to nowe zadania publiczne, żeby tylko wspomnieć o RODO, to państwo powinno zapewnić rozwiązania, które chronią przedsiębiorcę przynajmniej przed sankcjami karnymi i administracyjnymi. I taką instytucją jest właśnie IOD. Ujmując prościej, jeśli zatrudnisz IOD-a i poddasz się jego władztwu, oraz jeśli będziesz się stosował do jego opinii i wniosków pokontrolnych, jeśli zapewnisz mu warunki pracy i uszanujesz niezależność, to nie poniesiesz odpowiedzialności karnej i administracyjnej, nawet jeśli IOD się myli. Dodajmy ponownie, że to nic nowego w systemie prawnym. Dokładnie tak samo jest w przypadku BHP. Pracodawca, który dostosuje się do błędnej rekomendacji służby BHP nie poniesie odpowiedzialności karnej.

Osobną kwestią jest odpowiedzialność cywilna. Z tego zresztą powodu, IOD-owie powinni podlegać prawnemu obowiązkowi ubezpieczenia od odpowiedzialności cywilnej. Powinni także podlegać obowiązkowi zrzeszenia i odpowiedzialności dyscyplinarnej, z możliwością wydawania  zakazu wykonywania zawodu włącznie. Ale to już osobna kwestia.

Czytaj również: Inspektor pisze, administrator podpisuje. UODO tłumaczy swój poradnik>>

Sprawdź w LEX: Dostęp do informacji publicznej zawierającej dane osobowe > >

Podsumowanie

Podsumowując, IOD nie jest doradcą, ale organem kontrolnym i doradczym. Z tego powodu, gdy RODO nakłada na niego obowiązek „współpracy z organem nadzorczym”, to chodzi tu o współdziałanie dwóch organów.

Niestety mam dla czytelników złą wiadomość. Jak widać z treści poradnika, przeprowadzony wyżej wywód nie znajduje odzwierciedlenia w wypowiedzi UODO, dodatkowo wspartej opinią członków Społecznego Zespołu Ekspertów przy PUODO.

W moim przekonaniu UODO całkowicie deformuje instytucję IOD i działa na szkodę administratorów danych osobowych oraz podmiotów danych. IOD jako „doradca” jest dla ochrony praw człowieka całkowicie zbędny. IOD jako zakładowy organ kontrolny i doradczy, współpracujący z państwowym organem nadzorczym wnosi realną jakość do systemu prawa. PUODO i IOD-owie  tworzą bowiem krajowy system organów ochrony prawnej w przedmiocie ochrony danych osobowych. 

Jak wspomniałem na początku, poglądy można mieć oczywiście różne, ale narzędzia analizy prawnej są jednak wspólne i zapisane w podręcznikach prawa publicznego. Z zainteresowaniem przyjmę inną wykładnię RODO pod warunkiem jednak, że będzie się posługiwała argumentami z owych podręczników. Niestety wypowiedzi UODO, ale też liczne inne wypowiedzi publiczne na temat IOD są – ujmując rzecz dyplomatycznie - bardzo ogólne. Efekt jest taki, że Polsce IOD-a mieć nie warto, choć czasem nie ma wyboru.

prof. dr hab. Arkadiusz Sobczyk, radca prawny, partner zarządzający w kancelarii Sobczyk & Współpracownicy, wykładowca w Katedrze Prawa Pracy i Polityki Społecznej Uniwersytetu Jagiellońskiego

Sprawdź w LEX: Niezależność organów ochrony danych osobowych w ogólnym rozporządzeniu o ochronie danych > >