Przypomnijmy, opublikowany w lutym br. przez UODO poradnik dotyczący naruszeń ochrony danych osobowych opisał m.in. rolę inspektora ochrony danych w procesie obsługi naruszeń. W uproszczeniu, sprowadza się ona do „pomocy”, „udzielania wskazówek”, „doradztwa” i „przekazywania informacji”.

IOD nie powinien natomiast m.in.:

• zgłaszać naruszeń ochrony danych osobowych prezesowi UODO w imieniu administratorów ani podpisywać i wysyłać takich zgłoszeń;
• zawiadamiać w imieniu administratorów osób, których dane dotyczą, o naruszeniach ochrony danych osobowych;
• dokumentować naruszeń ochrony danych osobowych w imieniu administratorów.

Tak rygorystyczne stanowisko zaskoczyło ekspertów i wywołało pytania o potrzebę przeorganizowania pionów odpowiedzialnych za ochronę danych w organizacjach. Więcej na ten temat: Inspektor ochrony danych niewiele może. Nowe stanowisko UODO niepokoi prawników

W odpowiedzi na przesłane przez Prawo.pl pytania, Karol Witowski, rzecznik prasowy urzędu, przekazał obszerne stanowisko.

UODO odpowiada, co wolno IOD

Wynika z niego, że IOD „jak najbardziej ma wspierać administratora danych, ale podejmując określone działania należy w każdym przypadku ustalić czy nie będzie to prowadziło do konfliktu interesów i czy nadal będzie utrzymana niezależność inspektora, czego wymagają przepisy ogólnego rozporządzenia o ochronie danych osobowych (RODO)”.

- Należy mieć na uwadze, że poradnik przedstawia szereg czynności, których IOD rzeczywiście nie powinni wykonywać – ale nie w ogóle, a w imieniu administratorów – czytamy.

Rzecznik wyjaśnia, że prezes UODO chce w ten sposób przede wszystkim uwolnić IOD od odpowiedzialności (która powinna spoczywać ma na administratorach) oraz uniknąć konfliktu interesów, a nie całkowicie zakazać im wykonywania określonych czynności.

- A więc poradnik nie wyklucza wykonywania przez IOD np. czynności dokumentacyjnych (podejmowanych we własnym zakresie), dopóki nie stanowią one realizacji określonego zadania administratora, w jego imieniu. W praktyce IOD mogą i powinni być zaangażowani zarówno w realizację obowiązków dokumentacyjnych, jak i notyfikacyjnych, ale ich rola w tych procesach musi gwarantować im niezależność i uniknięcie konfliktu interesów. Istotą jest tu odpowiedni podział ról, z poszanowaniem wyjątkowego statusu inspektorów ochrony danych – w tym ich niezależnej pozycji, a nie skrajna zero-jedynkowa separacja funkcji związanych z ochroną danych osobowych – czytamy dalej.

Urząd zapewnia też, że celem poradnika jest przede wszystkim zwrócenie uwagi na poszanowanie niezależności IOD i konieczność uniknięcia przezeń konfliktu interesów. - Wskazane zaś niepożądane czynności IOD są pewną ilustracją, która nie tyle ma stanowić dekalog zakazanych czynności IOD, a raczej przykładowe sugestie, wskazujące w jaki sposób zapewnić realizację ww. celów – pisze dalej urząd.

Z pełnym stanowiskiem można zapoznać się w załączniku pod artykułem ("pliki do pobrania")

Zobacz w LEX: Odpowiedzialność karna za naruszenie ochrony danych osobowych > >

Przedsprzedaż

-15%

Przedsprzedaż

Przetwarzanie danych dotyczących zdrowia pracowników na podstawie art. 9 ust. 2 lit. h RODO [PRZEDSPRZEDAŻ]

Arkadiusz Sobczyk

Sprawdź  

Jaka w końcu jest rola IOD?

- Moim zdaniem UODO nie rozjaśnił, a jedynie jeszcze bardziej zaciemnił obraz tego, czym ma zajmować się IOD w ramach obsługi naruszeń – komentuje prof. Grzegorz Sibiga, adwokat, partner w kancelarii Traple, Konarski, Podrecki i Wspólnicy.

Odmiennego zdania jest Maciej Gawroński, radca prawny, partner zarządzający w GP Partners.

- Zgadzam się z tezami UODO. Moim zdaniem odpowiadają one tezom zawartym w RODO. Od lat powtarzam na szkoleniach dla zarządów, żeby administratorzy, poza IOD, powoływali także SOD (specjalistę od ochrony danych). Administrator może powierzyć odpowiedzialność za ochronę danych dowolnej osobie, byle nie był nią IOD – mówi Maciej Gawroński. - Cieszę się, że to stanowisko zostało wprost dostrzeżone w oficjalnym poradniku. Wyobraźmy sobie przykładowo, że to IOD zawiadamia organ o naruszeniu. Gdyby się spóźnił z takim zawiadomieniem, to popełniłby naruszenie RODO, które potem powinien sam ocenić. Zachodzi więc konflikt interesów - dodaje.

Czytaj także w LEX: Niedopuszczalne lub nieuprawnione przetwarzanie danych osobowych – aspekty prawnokarne > >

IOD robi notatki, administrator składa podpis

Według prof. Sibigi, odpowiedź urzędu na pytania Prawo.pl można odebrać jako generalną deklarację, że administrator i inspektor nie są od siebie odseparowani, ale bez wskazania jakie czynności może wykonywać ten drugi w realizacji zadań administratora dotyczących naruszenia. - Nadal nie wiemy, czym konkretnie miałby się zajmować inspektor w takim zarządzaniu naruszeniami danych. Jedyny skonkretyzowany przykład dotyczy kwestii dokumentacyjnej – mówi prof. Sibiga. - UODO tłumaczy, że poradnik nie zakazuje inspektorowi prowadzenia własnej, roboczej dokumentacji, ale jednak IOD nie może wykonywać zadań dokumentacyjnych administratora i czynić to w jego imieniu. Problem w tym, że wszystkie określone w RODO obowiązki związane z naruszeniami są nałożone na administratora, więc nadal niejasne pozostaje, jaka jest rola inspektora w tym procesie, poza zadaniami określonymi w art. 39 ust. 1 RODO (np. monitorowanie administratora, czy podnoszenie świadomości w organizacji) – dodaje.

- Urząd trafnie wskazuje, że IOD może robić notatki. Administrator też może robić własne notatki, nawet na podstawie notatek IOD. To jednak przedstawiciel administratora, a nie IOD, powinien podpisać protokół ustaleń naruszenia ochrony danych i wziąć odpowiedzialność za należytą staranność do działania i treści tego protokołu – ripostuje mec. Gawroński. - Innymi słowy: IOD pisze, ale kto inny podpisuje. Zdaję sobie sprawę, że zwłaszcza w mniejszych jednostkach IOD bywa jednoosobową armią. Nie będzie on jednak karany za niezrobienie tego, co zgodnie z RODO powinien zrobić administrator – podsumuje.

Mec. Gawroński zaznacza jednak, że nie zgadza się natomiast z podstawową tezą poradnika, że naruszenie ochrony danych to zakłócenie bezpieczeństwa danych, które może wpłynąć na ich poufność, integralność lub dostępność. - Według mnie nawet polska wersja i angielska RODO są wystarczająco jasne, żeby ustalić, że chodzi o sytuację, w której doszło do naruszenia poufności, integralności, dostępności. Czyli doszło do jakiegoś negatywnego skutku dla danych, a nie tylko mogło dojść – tłumaczy.

Sprawdź w LEX: Dostęp do informacji publicznej w praktyce funkcjonowania samorządu terytorialnego > >