Wśród praktyków ochrony danych nie milkną dyskusje dotyczące nowej edycji poradnika prezesa UODO  „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”. Prawo.pl w artykule „Nowe podejście do naruszenia danych. Będzie więcej zgłoszeń do UODO” opisało m.in. konsekwencje zmiany podejścia do samej istoty naruszenia ochrony danych oraz do oceny ryzyka. Kolejną kwestią, która wzbudza spore kontrowersje jest rola, jaką zgodnie ze wskazaniami UODO w procesie obsługi naruszeń powinni pełnić inspektorzy ochrony danych (dalej: IOD).

Poradnik posługuje się definicją, według której IOD to „profesjonalni doradcy wspierający administratorów i podmioty przetwarzające w zapewnieniu zgodności z przepisami RODO”.

Autorzy poradnika przypominają, że niektóre podmioty mają obowiązek wyznaczenia IOD w swojej organizacji, zaś osoba pełniąca tę funkcję powinna być niezależna i wolna od konfliktu interesów.

Czego nie może IOD

- IOD powinni być włączani we wszystkie sprawy dotyczące ochrony danych osobowych, w tym w sprawy dotyczące naruszeń ochrony danych osobowych. O zaistnieniu naruszenia IOD powinien być niezwłocznie informowany, aby umożliwić mu monitorowanie procesu jego obsługi od najwcześniejszego etapu – czytamy w poradniku.

Dalej jednak autorzy zaznaczają, że IOD nie mogą wykonywać zadań, za które odpowiadają wyłącznie administratorzy lub podmioty przetwarzające.

Z publikacji wynika, że w trosce o swoją niezależność i unikanie konfliktu interesów, IOD nie powinni:  

1. zgłaszać naruszeń ochrony danych osobowych prezesowi UODO w imieniu administratorów ani podpisywać i wysyłać takich zgłoszeń;
2. zawiadamiać w imieniu administratorów osób, których dane dotyczą, o naruszeniach ochrony danych osobowych;
3. dokumentować naruszeń ochrony danych osobowych w imieniu administratorów (w szczególności jeśli wiązałoby się to z ustalaniem celów i sposobów przetwarzania danych osobowych albo określaniem działań zaradczych);
4. podejmować zobowiązań dotyczących bezpieczeństwa przetwarzania w imieniu administratorów lub podmiotów przetwarzających;
5. działać na podstawie pełnomocnictwa w sprawach dotyczących ochrony danych osobowych.

Punkty te przeanalizował w świeżo wydanym komentarzu praktycznym do poradnika dr Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński, członek Grupy Ekspertów Europejskiej Rady Ochrony Danych (P. Litwiński, Poradnik dotyczący naruszeń ochrony danych osobowych. Komentarz, LEX/el. 2025). Autor komentarza podziela stanowisko UODO w przedmiocie działań opisanych w punkcie 4., uznając, że w swej istocie są to działania zastrzeżone dla administratora, związane z podejmowaniem decyzji o sposobach przetwarzania danych osobowych. Zgadza się również co do punktu 5., przypominając m.in., że pełnomocnik w postępowaniu sądowym lub administracyjnym powinien działać na korzyść swojego mocodawcy.  

- Co do pozostałych zadań, których zdaniem autorów poradnika IOD nie może wykonywać w kontekście naruszeń ochrony danych, to tak kategoryczne ujęcie wydaje się co najmniej dyskusyjne. W szczególności, dokumentowanie naruszeń to działania o charakterze czysto dokumentacyjnym, nie związane z podejmowaniem decyzji zastrzeżonych dla administratora danych – pisze dr Litwiński.

- Pod względem prawnym stanowisko zaprezentowane w poradniku ogranicza rolę IOD w zarządzaniu naruszeniami ochrony danych. Wynika z niego, że w procesie naruszeń ochrony danych osobowych IOD nie podejmuje prawie żadnych czynności wykonawczych. Tak więc nie może on zawiadamiać organu, nie może ewidencjonować naruszeń, nie może być pełnomocnikiem administratora, ale też wydaje się, że nie może szacować samego ryzyka wynikającego z naruszenia dla osób, których dane dotyczą - mówi w rozmowie z Prawo.pl prof. Grzegorz Sibiga, adwokat, partner w kancelarii Traple, Konarski, Podrecki i Wspólnicy.

Czytaj w LEX: Dostęp do informacji publicznej zawierającej dane osobowe > >

Co może IOD

Poradnik UODO zawiera też przykładowy katalog działań, które IOD w sprawie naruszeń ochrony danych podejmować powinien. Sprowadzają się one jednak do „pomocy”, „udzielania wskazówek” i „doradztwa”.

I tak, cytując dosłowne brzmienie poradnika, działania IOD w sprawie naruszeń ochrony danych osobowych to m.in.:

1. pomoc w zapobieganiu naruszeniom, np. poprzez promowanie w organizacji wiedzy o ochronie danych osobowych, organizowanie szkoleń oraz formułowanie zaleceń dotyczących bezpieczeństwa przetwarzania danych;
2. udzielanie wskazówek dotyczących odpowiedniego reagowania na naruszenia ochrony danych osobowych, w tym zaradzania im, zgłaszania ich prezesowi UODO oraz zawiadamiania osób, których dane dotyczą;
3. doradztwo w zakresie dokumentowania naruszeń i zarządzania dokumentacją;
4. przekazywanie dodatkowych informacji o naruszeniach organowi nadzorczemu i osobom, których dane dotyczą.

Zdaniem prof. Sibigi, takie podejście wpisuje się w szersze stanowisko prezesa UODO, według którego IOD powinien pełnić jedynie funkcję doradcy, obserwującego, przedstawiającego kierunkowe rekomendacje, ale nie biorącego bezpośrednio udział w realizacji obowiązków określonych w RODO, choćby poprzez proponowanie konkretnych rozwiązań.

- W żadnym kraju nie spotkałem się z tak rygorystycznym podejściem - komentuje profesor. 

Jego zdaniem przyczyną jest niezwykle restrykcyjna wykładnia obowiązku unikania przez IOD konfliktu interesów. UODO w poradniku wprost wyraża zresztą pogląd, że „gdy IOD wykonują obowiązki spoczywające na administratorach lub podmiotach przetwarzających mogą tracić obiektywizm i popadać w konflikt interesów”.

- Upraszczając, zdaniem prezesa UODO udział IOD w realizacji jakiegokolwiek obowiązku nałożonego w RODO na administratora prowadzi do takiego konfliktu, ponieważ ma on jednocześnie monitorować przestrzeganie obowiązków ochrony danych osobowych - dodaje prof. Sibiga.

Zobacz w LEX: Ochrona wizerunku a ochrona danych osobowych > >

Nowość

-10%

Nowość

Przetwarzanie danych dotyczących zdrowia pracowników na podstawie art. 9 ust. 2 lit. h RODO

Arkadiusz Sobczyk

Sprawdź  

Wskazówki UODO trudnie do realizacji

Jakie mogą być skutki nowego podejścia UODO? Wśród inspektorów ochrony danych słychać, że niektóre organizacje będą musiały dostosować do niego swoje wewnętrzne procedury. Poradnik, chociaż nie jest źródłem prawa, wskazuje jaką wykładnię może zastosować organ, rozpatrując indywidualne sprawy. Urząd wprost przypomina, że naruszenie zasad dotyczących statusu IOD może skutkować sankcjami, w tym karami pieniężnymi. Warto przypomnieć, że niedawno organ ukarał Toyota Bank m.in. za niewłaściwe usytuowanie służbowe IOD.

Dr Paweł Litwiński w cytowanym wyżej komentarzu napisał, że przyjęcie w praktyce wyrażonego w poradniku poglądu doprowadzi do wyeliminowania IOD z procesu naruszeń ochrony danych. - Ograniczenie bowiem ich roli wyłącznie do „monitorowania” będzie w praktyce skutkowało tym, że wszelkie czynności związane z obsługą naruszenia będzie musiał wykonywać inny podmiot, niż IOD – podkreśla.

Prof. Sibiga uważa natomiast, że wdrożenie stanowiska prezesa UODO w organizacji wymaga, aby naruszeniem ochrony danych zajmowały się co najmniej dwa piony: jeden wykonawczy, a drugi to IOD. - W praktyce w niewielkich jednostkach z przyczyn ekonomicznych, w których dotychczas IOD był jedyną osobą specjalizującą się w przedmiocie danych osobowych, staje się trudne do realizacji lub nawet niemożliwe do wykonania - mówi profesor. -Już teraz skutkuje to podwójnym standardem działania IOD: jednym formalnym, przeznaczonym dla organu nadzorczego, w którym ogranicza swoją rolę wykonawczą i drugim faktycznym, w którym podejmuje wewnątrz organizacji wszelkie działania związane z naruszeniem, ale czyni to nieformalnie, ewentualnie dopisuje do niektórych dokumentów, że tylko „rekomenduje” określone działanie. Ja oceniam to zjawisko negatywnie, ale prezes UODO powinien mieć świadomość, że jego stanowisko prowadzi właśnie do takich konsekwencji.

Prawo.pl poprosiło UODO o ustosunkowanie się do wątpliwości. Do tematu wrócimy po otrzymaniu odpowiedzi.