Ocena niezależności Inspektora Ochrony Danych

Ocena niezależności IOD

Analiza służy sprawdzeniu, czy dochodzi do konfliktu interesów przy wykonywaniu zadań przez inspektora ochrony danych¹

Jeżeli realizowanie zadań przez osobę wyznaczoną na stanowisko IOD, będzie prowadziło do konfliktu interesów, takie działanie należy uznać za naruszenie przepisów RODO. Poniższa analiza służy ocenie, czy zostały zapewnione odpowiednie warunki do realizowania zadań przez IOD. Poniższa analiza powinna być także wykonywana za każdym razem, gdy administrator planuje powierzyć IOD dodatkowe obowiązki, w celu zweryfikowania, czy takie działanie jest możliwe.

Warunek nr 1: Bezpośrednia podległość IOD najwyższemu kierownictwu Bezpośrednia podległość oznacza, że w ramach wszystkich, także dodatkowych, podejmowanych przez siebie czynności IOD nie może podlegać jakimkolwiek innym osobom lub jednostkom organizacyjnym wchodzącym w skład struktury administratora danych (art. 38 ust. 3 RODO). Zasada powinna mieć odwzorowanie także w strukturze organizacyjnej administratora, jeżeli IOD jest jego pracownikiem. Jeżeli w jakimkolwiek zakresie, w szczególności w związku z dodatkowymi obowiązkami, IOD podlega innym osobom, niż te z najwyższego kierownictwa, dochodzi do konfliktu interesów i naruszenia przepisów RODO. W takim wypadku niezbędne jest niezwłoczne podjęcie działań naprawczych, w celu przywrócenia stanu zgodnego z przepisami prawa.

Ocena, czy warunek jest spełniony wraz z uzasadnieniem: IOD podlega bezpośrednio Prezesowi Zarządu. W strukturze organizacyjnej firmy wyraźnie zaznaczona jest linia raportowania IOD do Prezesa. IOD nie podlega żadnym innym osobom w firmie. Zasada ta jest przestrzegana we wszystkich podejmowanych czynnościach.

Warunek 2: Administrator wspieranie IOD w wypełnianiu jego zadań Administrator danych i podmiot przetwarzający są zobowiązani do wspierania inspektora ochrony danych poprzez m.in. zapewnienie mu zasobów niezbędnych do wykonania tych zadań. Szczególnie ważnym warunkiem jest zapewnienie odpowiednich zasobów organizacyjnych oraz czasu na skuteczne realizowanie zadań. Jeżeli wsparcie nie jest zapewniane lub jest zapewniane w niewytaczającym stopniu (przynajmniej jeden z warunków nie jest spełniony), dochodzi do konfliktu interesów:

Ocena, czy warunek jest spełniony wraz z uzasadnieniem:

1. Administrator zapewnia wsparcie IOD ze strony kadry kierowniczej (np. na poziomie zarządu): Prezes Zarządu regularnie spotyka się z IOD, omawiając bieżące kwestie związane z ochroną danych osobowych. Prezes zapewnia IOD pełne wsparcie w realizacji jego zadań.

2. Wymiar czasu umożliwia IOD wykonywanie zadań: IOD dysponuje odpowiednim wymiarem czasu na realizację swoich zadań. Wymiar ten wynosi 20 godzin tygodniowo.

¹ Analizę opracowano w oparciu o opinię Kancelarii Prawnej Kowalski i Wspólnicy (ul. Kwiatowa 1, 00-001 Warszawa, dostęp 20.03.2024).

3. IOD otrzymuje odpowiednie wsparcie finansowe, infrastrukturalne (pomieszczenia, sprzęt, wyposażenie) i kadrowe, do realizowania swoich zadań: IOD dysponuje dedykowanym biurem, komputerem, telefonem oraz dostępem do niezbędnego oprogramowania. Dodatkowo, IOD ma zapewniony budżet na szkolenia i literaturę fachową.

4. Administrator oficjalnie zakomunikował wszystkim pracownikom wyznaczenie IOD, jego zadaniach i obowiązek włączania IOD we wszystkie sprawy dotyczące ochrony danych: Informacja o wyznaczeniu IOD została przekazana wszystkim pracownikom drogą mailową oraz poprzez umieszczenie informacji na intranecie firmy.

5. Administrator umożliwił IOD dostęp do wszystkich działów organizacji: IOD ma zapewniony dostęp do wszystkich działów organizacji oraz do wszystkich informacji niezbędnych do realizacji jego zadań.

6. Administrator zapewnić IOD możliwość podnoszenia kwalifikacji, poprzez szkolenia, literaturę fachową, konsultacje ze specjalistami, itp.: IOD uczestniczy w szkoleniach z zakresu ochrony danych osobowych. Ma również dostęp do biblioteki prawniczej oraz może korzystać z konsultacji zewnętrznych ekspertów.

7. IOD otrzymał wsparcie kadrowe, np. Został powołany zespół ds. RODO: W firmie powołano zespół ds. RODO, który wspiera IOD w realizacji jego zadań.

Warunek 3: Zapewnienie udziału IOD we wszystkich zagadnieniach związanych z ochroną danych osobowych IOD jest zaangażowany od najwcześniejszego etapu we wszystkie kwestie związane z przetwarzaniem danych osobowych. Angażowanie inspektora ochrony danych we wszelkie kwestie związane z przetwarzaniem jest standardową procedurą w organizacji. Opinia IOD jest warunkiem niezbędnym, przed rozpoczęciem przetwarzania danych. Administrator zapewnia, że IOD jest włączany w procesy na tyle wcześnie, aby miał możliwość dokonania rzetelnej analizy przed rozpoczęciem przetwarzania, a także by była możliwość zmiany założeń związanych z tym przetwarzaniem, przed jego rozpoczęciem.

Ocena, czy warunek jest spełniony wraz z uzasadnieniem: IOD jest angażowany we wszystkie projekty związane z przetwarzaniem danych osobowych od momentu ich planowania. Jego opinia jest niezbędna przed rozpoczęciem przetwarzania.

Warunek 4: Zakaz wydawania instrukcji IOD co do wykonywania przez niego zadań W ramach wypełniania swoich zadań IOD, nie może otrzymywać poleceń dotyczących sposobu załatwienia sprawy, środków jakie mają zostać podjęte, czy też celu jaki powinien zostać osiągnięty. IOD nie może być zmuszany lub obligowany do przyjęcia określonego stanowiska w sprawie z zakresu prawa ochrony danych, w tym określonej wykładni przepisów. W sytuacji podjęcia przez administratora decyzji niezgodnej z przepisami o ochronie danych osobowych, IOD powinien mieć możliwość jasnego przedstawienia swojego stanowiska osobom podejmującym decyzję. W związku z zasadą niezależności IOD, nie może on także otrzymywać nakazu działania w odniesieniu do dodatkowych zadań, które zostaną mu zapewnione przez administratora.

Ocena, czy warunek jest spełniony wraz z uzasadnieniem: IOD działa niezależnie i nie otrzymuje instrukcji co do sposobu wykonywania swoich zadań. Może swobodnie wyrażać swoje opinie i rekomendacje.

Warunek 5: Unikanie konfliktu interesów IOD IOD nie zajmuje stanowiska związanego z określaniem sposobów i celów przetwarzania danych. W szczególności IOD nie zajmuje stanowiska kierowniczego lub niższego stanowiska, mającego istotny wpływ na sposób przetwarzania danych, np. w Dziale Marketingu czy Dziale Sprzedaży. Dodatkowe obowiązki nałożone na IOD nie wiążą się z decydowaniem o celach i sposobach przetwarzania danych, w szczególności są to obowiązki, które w ogóle nie wiążą się z przetwarzaniem danych lub przetwarzanie jest ograniczone do prostych czynności, jak wgląd do danych, czy kopiowanie; których efekty nie mają istotnego wpływu na ochronę danych osobowych lub osoby, których dane są przetwarzane.

Ocena, czy warunek jest spełniony wraz z uzasadnieniem: Stanowisko IOD jest niezależne od innych stanowisk w firmie, które mają wpływ na przetwarzanie danych osobowych. IOD nie podejmuje decyzji dotyczących celów i sposobów przetwarzania danych.

Warunek 6: Zakaz odwoływania i karania IOD Inspektor nie może zostać odwołany ani ukarany za udzielenie określonego zalecenia lub zajęcie stanowiska niezgodnego ze stanowiskiem administratora lub jego pracowników. Przepis obejmuje kary w różnych formach, bezpośrednie albo pośrednie, np. brak albo opóźnienie premii, utrudnienie awansu, ograniczenie dostępu do szkoleń oferowanych pozostałym pracownikom. Zakaz odwoływania IOD, nie wyłącza możliwości odwołania IOD w uzasadnionych sytuacjach z przyczyn innych niż wykonywanie swoich obowiązków.

Ocena, czy warunek jest spełniony wraz z uzasadnieniem: Firma gwarantuje, że IOD nie będzie karany za swoje opinie i rekomendacje. Przestrzegane są zasady dotyczące odwoływania IOD.

Warunek 7: Obowiązek zachowania tajemnicy lub poufności co do wykonywania zadań przez IOD IOD posiada odpowiednie kompetencję i wiedzę w zakresie zobowiązania do poufności. Zobowiązanie do poufności nie ogranicza możliwości wykonywania zadań przez IOD, nie jest też rozszerzone w sposób, który mógłby utrudniać mu realizowanie jego zadań, np. Zakazując kontaktu z PUODO.

Ocena, czy warunek jest spełniony wraz z uzasadnieniem: IOD jest zobowiązany do zachowania poufności. Zobowiązanie to nie utrudnia mu wykonywania jego obowiązków.