W Biuletynie UODO Nr 2/04/23 można znaleźć następującą wypowiedź organu: „Wiele z naszych zastrzeżeń związanych też było z nałożeniem na inspektorów ochrony danych zadań, które należą do obowiązków administratorów, jak np. prowadzenie rejestru czynności przetwarzania, rejestru naruszeń ochrony danych osobowych czy tworzenia wewnętrznych polityk. Inspektor nie może bowiem być obciążony działaniami, które ma oceniać pod kątem ich zgodności z przepisami prawa i regulacjami wewnętrznymi administratora.”
Zaprezentowana wypowiedź wymaga namysłu nad rolą inspektora w organizacji. Zwykle przyjmuje się, że IOD jest doradcą administratora lub procesora, wyspecjalizowanym w prawie ochrony danych osobowych. Jako doradca projektuje lub aktualizuje dokumentację odo, odpowiada na pytania personelu organizacji, szkoli pracowników, uczestniczy w analizie ryzyka, odpowiada na pytania osób, których dane dotyczą itd. Może mieć do tego powołany zespół, korzystać z wiedzy działu IT, zwłaszcza jeśli sam nie jest informatykiem, ale ogólnie zajmuje się całością problematyki odo.
Zadania IOD
Takie przekonanie płynie z lektury art. 37-39 rodo. IOD ma:
- być włączany we wszystkie sprawy dotyczące odo
- być wspierany przez kierownictwo organizacji, co obejmuje również zapewnienie dostępu do operacji przetwarzania
- poniekąd być jak sąd, co się o instrukcje nie zwraca ani ich nie przyjmuje
- być punktem kontaktowym dla podmiotów danych
- informować organizację o obowiązkach wynikających z rodo i doradzać przy ich spełnianiu
- monitorować przestrzeganie rodo i dokumentacji wewnętrznej, szkolić i audytować
- na żądanie udzielać zaleceń co do oceny skutków dla ochrony danych
- współpracować z UODO
- być punktem kontaktowym dla UODO
Z przedstawionej listy wyłania się obraz IOD, którego głównym zadaniem nie jest ocenianie organizacji jak audytor, czy kontroler ale ciągłe wspomaganie (tak też motyw 97) jej w wypełnianiu obowiązków wynikających z rodo. Wbrew nazwie, nie jest to osoba, która na poszczególnych etapach, np. procesu budowlanego, czy w konkretnych okolicznościach, np. zgłoszenia zagrożenia, dokonuje inspekcji (sprawdzenia, oceny), ale stały doradca. Można powiedzieć, że IOD stale doradza, a okresowo dokonuje inspekcji.
(97) Jeżeli przetwarzania dokonuje organ publiczny z wyjątkiem sądów lub niezależnych organów wymiaru sprawiedliwości w ramach sprawowania wymiaru sprawiedliwości lub jeżeli w sektorze prywatnym przetwarzania dokonuje administrator, którego główna działalność polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub jeżeli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, to w monitorowaniu wewnętrznego przestrzegania niniejszego rozporządzenia administrator lub podmiot przetwarzający powinni być wspomagani przez osobę dysponującą wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych. (…)
Wydaje się, że najlepiej i w najbardziej naturalny sposób IOD może wypełniać swoje zadania właśnie przez tworzenie i prowadzenie (aktualizację) dokumentacji. W szczególności prowadzenie rejestru czynności przetwarzania (rcpd), który to dokument wręcz służy do monitorowania przestrzegania rodo, wpisuje się w zadania IOD. Rcpd jest dokumentem, który daje obraz całości problematyki odo w organizacji, zwłaszcza jeśli jest wzbogacony o dodatkowe parametry procesu, ponad minimum wynikające z art. 30 ust. 1 rodo. Zwykle tak właśnie jest, rcpd ma nie 8 kolumn tylko ponad 20. To IOD powinien mieć stały dostęp do rcpd i wprowadzać tam nowy proces, również dlatego że scharakteryzowanie procesu w kolejnych kolumnach wzbogaconego ponad minimum rcpd, stanowi wypełnienie wymogu privacy by design z art. 25 ust. 1 rodo.
Nie ma bardziej efektywnej formy informowania o obowiązkach wynikających z rodo i doradztwa niż przygotowanie i prowadzenie dokumentacji. To samo rodo nakłada na IOD obowiązek tworzenia (przez doradztwo) i audytowania systemu ochrony danych osobowych.
Stąd dziwi stanowisko wyrażone w Biuletynie, które kładzie nacisk na funkcję kontrolną IOD, wynika z niego, że inny pracownik powinien tworzyć i prowadzić dokumentację. Ale przecież przy tworzeniu i prowadzeniu tej dokumentacji powinien być konsultowany IOD, ponieważ ma informować i doradzać, a nie tylko oceniać. Dlaczego więc nie miałby jej od razu sam napisać? W ten sposób poinformuje organizację jak mają być przetwarzane dane osobowe.
W Statucie UODO par. 29 trafnie określa zadania IOD w Urzędzie i w pkt 1 wskazuje: „prowadzenie i aktualizacja dokumentacji przetwarzania danych osobowych zgodnej z wymaganiami rozporządzenia 2016/679, w tym wewnętrznej polityki ochrony danych oraz rejestru czynności przetwarzania danych przez Urząd i Prezesa Urzędu, jako administratora danych”. Oznacza to, że albo doszło do zmiany zdania organu co do zadań IOD albo w Biuletynie doszło do pomyłki.
Konflikt interesów
Art. 38 ust. 6 rodo wprowadza zakaz nałożenia na IOD zadań, które prowadziłyby do konfliktu interesów, czyli sytuacji kiedy dwa interesy idą w przeciwnych kierunkach. Jednak konfliktem interesów nie jest wypełnianie zadań doradztwa i oceny (audytu), które wprost nakłada na IOD rodo. O konflikcie interesów można by mówić, jeśli by osoba pełniąca funkcję IOD miała zadania dotyczące gospodarczego funkcjonowania organizacji, np. kierownik działu marketingu (interes: zdobyć jak najwięcej leadów) i jednocześnie jako IOD miałaby doradzać, jak marketing prowadzić zgodnie z rodo (interes: przetwarzać dane zgodnie z rodo). Efekt jest taki, że im bardziej lekceważy rodo jako IOD, tym lepsze wyniki osiągnie jako kierownik marketingu. Zwykle nie będzie konfliktu interesów między kierownikiem działu IT i IOD, mają bowiem wspólny interes: zapewnić bezpieczeństwo cybernetyczne w organizacji w tym bezpieczeństwo danych osobowych. W tym wypadku im bardziej przestrzega rodo jako IOD, tym lepsze ma wyniki jako kierownik IT. Funkcja IOD nie powinna być łączona z tzw. właścicielem biznesowym procesu, którym jest zwykle kierownik komórki organizacyjnej. Proces jest ewidencjonowany w rcpd, np. sprzedaż, marketing, rekrutacja itd. Przetwarzanie danych osobowych na potrzeby (przy okazji) zapewnienia bezpieczeństwa IT, też jest procesem ale ma on inny charakter. Charakter ten sprawia, że nie pozostaje na kursie kolizyjnym z zadaniami IOD. Podobnie należy ocenić zadania kierownika działu prawnego i IOD, mają wspólny interes: zapewnienie zgodności z prawem przedsiębiorcy. Im bardziej osoba przestrzega rodo jako IOD, tym lepsze ma wyniki jako kierownik działu prawnego, obydwa te interesy patrzą w jedną stronę, jest to przeciwieństwo konfliktu interesów. Choć należy odnotować, że UODO wyraża wątpliwość co do możliwości pełnienia funkcji ASI i IOD przez jedną osobę:
Z tego powodu, łączenie funkcji IOD i ASI w konkretnych przypadkach może być uznane za niezgodne z RODO. Oceny w tym zakresie należy dokonywać z punktu widzenia spełnienia wymogów, jakie w RODO wskazano w odniesieniu do IOD, w tym w szczególności jego niezależności, właściwego umiejscowienia w strukturze organizacyjnej administratora oraz realnej możliwości prawidłowego wykonywania wyznaczonych mu zadań. Z tej perspektywy konsolidacja funkcji IOD z funkcją ASI może powodować zagrożenia dla bezpieczeństwa przetwarzania danych osobowych. Osoba odpowiadająca za bieżące prowadzenie przetwarzania danych osobowych i bezpieczeństwo danych w systemach informatycznych będzie bowiem sprawować jednocześnie nadzór nad zgodnością z prawem wykonywanych przez siebie działań. Sytuacja taka powoduje zatem faktyczny brak nadzoru nad zgodnością przetwarzania danych z przepisami prawa, w tym przepisami określającymi wymogi co do bezpieczeństwa danych osobowych.
Należy jednak zauważyć, że już samo rodo przewiduje podwójną rolę IOD: projektanta i audytora systemu odo. IOD ma doradzać każdej komórce organizacyjnej, w tym również działowi IT (ASI), a następnie ma audytować zaprojektowany przez siebie system ochrony danych. Rodo nie przewiduje dwóch funkcji (stanowisk), gdzie jedna polegałaby na doradzaniu (DOD) a druga na inspekcji tego doradztwa (IOD). Rodo zakłada autorefleksję IOD nad swoją działalnością, przez połączenie zadań doradztwa i inspekcji tego doradztwa. Stąd też nawet jeśli IOD będzie inną osobą niż ASI, to i tak będzie oceniał działanie co do którego doradzał.
Zespół IOD
Dodatkowo należy zauważyć, że często IOD będzie potrzebował zespołu pomocniczego. W skład takiego zespołu mogą wchodzi inni pracownicy ado. Jeśli IOD jest prawnikiem potrzebni będą mu informatycy, jeśli jest informatykiem prawnicy. Jeśli w zespole IOD będzie ASI czy ktoś z działu IT, to i tak dojdzie do nadzoru przez zespół IOD działań jednego ze swoich członków, którym będzie pracownik działu IT.
Patrząc praktycznie, jeśli ado planuje powołać na funkcję IOD kogoś z aktualnego personelu, naturalnym kandydatem jest prawnik albo informatyk, odpowiadający bezpośrednio przed kierownictwem, czyli kierownicy działów. IOD ma mieć kompetencje prawnika i informatyka, choć nie musi mieć formalnego wykształcenia. Jeśli jest prawnikiem, ado ma obowiązek (art. 38 ust. 2 rodo) uzupełnić te kompetencje przez zapewnienie wsparcia informatyka, i odwrotnie. To wsparcie może pochodzić z aktualnego personelu albo z zewnątrz.
Na temat zespołu złożonego z pracowników ado można przeczytać na stronie UODO:
Warto również odnotować pogląd zawarty w Podręczniku Inspektora Ochrony Danych Wytyczne dla inspektorów ochrony danych w sektorze publicznym i quasipublicznym dotyczące sposobu zapewnienia zgodności z europejskim ogólnym, str. 123, dotyczący powołania zespołu IOD w podmiotach publicznych:
„W organach publicznych faktycznie zalecane byłoby stworzenie zespołu. W małych podmiotach publicznych w skład takiego zespołu mogą wchodzić po prostu obecni pracownicy regularnie spotykający się z inspektorem ochrony danych w celu omówienia istotnych spraw i opracowania polityki. W większych – część pracowników może zostać formalnie przypisana do pełnienia funkcji wspierających inspektora ochrony danych na część etatu. W innych konieczne może okazać się mianowanie pełnoetatowych pracowników wspierających inspektora ochrony danych. Jak jasno wynika z wszystkich wytycznych, decyzje w tych sprawach należy podejmować, biorąc pod uwagę (i) złożoność lub wrażliwość operacji przetwarzania danych osobowych oraz (ii) rozmiar i zasoby danego podmiotu. Jednak w końcu zgodnie z RODO zasoby przydzielone inspektorowi ochrony danych (i zespołowi) muszą być odpowiednie do wykonywanych obowiązków.”
Także obowiązek oceny (audytu) własnych działań (doradztwa) wynika wprost z art. 39 ust. 1 lit. b rodo.
Outsourcing funkcji IOD
Jak podaje art. 37 ust. 6 rodo IOD nie musi być członkiem personelu organizacji. Czyli nie musi działać na infrastrukturze i pod kontrolą organizacji, jako osoba zatrudniona pracowniczo bądź niepracowniczo. Organizacja może podpisać umowę o pełnienie funkcji IOD z inną organizacją albo z osobą fizyczną (specjalistą). W takim wypadku dochodzi do ujawnienia danych na zewnątrz. Operacja ujawnienia danych może przybrać różne postacie w tym dwie związane ze statusem odbiorcy i tytułem pod jakim otrzymuje dane: udostępnienie albo powierzenie danych osobowych. Odbiorca nie może być podmiotem bez statusu, musi być albo administratorem albo procesorem ewentualnie stroną trzecią. Powstaje więc dylemat kim jest zewnętrzny IOD. Trafnie stwierdził UODO, że z zewnętrznym IOD nie trzeba podpisywać um powierzenia. Cele przetwarzania IOD są określone w prawie Unii (art. 39 ust. 1 w zw. z art. 4 pkt 7 zd. 2 rodo) – z tego powodu ma status administratora.