Wyznaczanie i pozycja inspektorów ochrony danych - sprawozdanie EROD z badań CEF

Sprawozdanie EROD podsumowujące badanie dotyczące wyznaczania i pozycji inspektorów ochrony danych zawiera rekomendacje, które mogą być pomocne we właściwym kształtowaniu zadań, roli i pozycji inspektora ochrony danych (IOD) w powołującej go organizacji.

Co roku organy nadzorcze wchodzące w skład EROD w ramach skoordynowanego egzekwowania prawa (Coordinated Enforcement Framework - CEF) przeprowadzają badanie poświęcone ustalonemu wcześniej tematowi. W 2023 r. 25 organów ochrony danych w całym Europejskim Obszarze Gospodarczym (EOG) (w tym EIOD) rozpoczęło skoordynowane działania dot. pozycji i wyznaczania inspektorów ochrony danych (CEF DPO). Skontaktowano się z różnymi organizacjami, a także inspektorami ochrony danych w całym EOG, z różnych sektorów (zarówno podmioty publiczne, jak i prywatne), i otrzymano ponad 17 000 odpowiedzi.

Teraz przygotowano podsumowujące je sprawozdanie. Składa się ono ze sprawozdania ogólnego oraz sprawozdań krajowych poszczególnych organów nadzorczych, w tym Urzędu Ochrony Danych Osobowych (UODO). Pomimo pewnych nieprawidłowości i obaw zidentyfikowanych w sprawozdaniu (takich jak ryzyko konfliktu interesów lub brak raportowania przez inspektora ochrony danych na najwyższym szczeblu zarządzania), wyniki badania są – zdaniem EROD - pozytywne.

Na czym polega mechanizm CEF

Ramy skoordynowanego egzekwowania prawa to mechanizm umożliwiający prowadzenie corocznych, skoordynowanych działań organów nadzorczych wchodzących w skład EROD. Są one poświęcone określonemu przez nie tematowi i realizowane według wspólnie uzgodnionej metodyki. Działania EROD w ramach CEF mogą przybierać różne formy, w tym związane z korzystaniem przez organy z uprawnień nadzorczych.

Udział UODO

UODO podjął działania w zakresie egzekwowania przepisów dotyczących inspektorów ochrony danych przed zainicjowaniem działania CEF DPO, kierując na podstawie art. 58 ust. 1 lit. a i e RODO wezwania dotyczące określonych w RODO obowiązków administratorów i podmiotów przetwarzających związanych z wyznaczaniem i funkcjonowaniem IOD. Działania UODO bazowały na zestawie 27 pytań opublikowanych na stronie internetowej UODO w marcu 2022 r. (https://archiwum.uodo.gov.pl/pl/138/2336).

Podmioty, do których polski organ nadzorczy skierował pytania zostały wezwane do przedstawienia szczegółowych wyjaśnień dotyczących przyjętych rozwiązań w zakresie obowiązków wynikających z art. 37-39 RODO i wykazania tego zgodnie z zasadą rozliczalności. Podjęte przez UODO działania miały na celu weryfikację przestrzegania przepisów dotyczących IOD jako niezwykle ważnych dla prawidłowego funkcjonowania systemu ochrony danych osobowych w każdej organizacji, która inspektora wyznaczyła. Lista 27 pytań wskazywała, w jakich obszarach i z jakich działań muszą się one rozliczyć oraz była jasnym sygnałem, że organ nadzorczy ma obowiązek egzekwować standardy wynikające wprost z przepisów RODO i będzie wymagał od administratorów, aby w tym zakresie wykazali się starannie przemyślanymi i sprawdzonymi pod względem skuteczności rozwiązaniami.

Ze względu na powyższe podjęte wcześniej działania oraz rozpoczęcie – w następstwie otrzymanych odpowiedzi - krajowych postępowań, UODO nie uczestniczył w dystrybucji formularza opracowanego na potrzeby działania CEF DPO, aby podmiotów, których badanie to dotyczyło, nie wprowadzać w błąd co do celu działań krajowych. Należy przy tym podkreślić, że UODO uczestniczył czynnie, jako jeden z ww. 25 organów, w podjętym przez EROD działaniu, a wyniki analizy z prowadzonych przez organ działań zostały uwzględnione w opublikowanym przez EROD sprawozdaniu.

Wnioski i rekomendacje

Zarówno w sprawozdaniach krajowych, jak i sprawozdaniu ogólnym zostały zaprezentowane wyniki z przeprowadzonych badań, a także płynące z nich wnioski i rekomendacje dla organów nadzorczych, administratorów, podmiotów przetwarzających i inspektorów ochrony danych. Z jednej strony mają one na celu przyczynienie się do właściwego przestrzegania obowiązków administratorów i podmiotów przetwarzających oraz prawidłowego wykonywania zadań przez inspektorów, z drugiej - usprawnienie i ujednolicenie sposobu egzekwowania przepisów z zakresu ochrony danych osobowych przez organy nadzorcze.

Sprawozdania krajowe przygotowane przez poszczególne organy nadzorcze zawierają szczegółowe informacje m.in. w zakresie stwierdzonych przez nie problemów z przestrzeganiem przepisów dotyczących inspektora ochrony danych. W sprawozdaniu polskiego organu nadzorczego zasygnalizowane zostały w szczególności zidentyfikowane problemy w zakresie praktyk mogących powodować naruszenie przepisów RODO, takie jak np.:

- obciążanie IOD obowiązkami administratora, np. prowadzeniem rejestru czynności przetwarzania,

- zawieranie umowy powierzenia przetwarzania danych osobowych pomiędzy administratorem a IOD,

- udzielanie IOD pełnomocnictwa do reprezentowania administratora w sprawach z zakresu ochrony danych osobowych,

- świadczenia przez firmy zatrudniające inspektorów ochrony danych usług outsourcingu funkcji IOD i jednocześnie usług polegających na wykonywaniu za administratora tzw. „wdrożenia RODO” oraz innych działań związanych z analizą i oceną ryzyka, zapewnianiem bezpieczeństwa danych osobowych czy obsługą żądań i praw osób, których dane dotyczą, oraz szeroko rozumianym bezpieczeństwem informacji.

W jednym z rozdziałów sprawozdania ogólnego zostały przedstawione działania edukacyjne podejmowane przez organy nadzorcze na rzecz upowszechniania − wśród inspektorów, administratorów i podmiotów przetwarzających − zagadnień dotyczących ochrony danych osobowych, w tym tych odnoszących się do pełnienia funkcji przez IOD. UODO jako przykłady swoich działań edukacyjnych mających na celu podnoszenie wiedzy fachowej IOD, ale również wzmocnienie jego statusu, wskazał wytyczne i wskazówki zamieszczane na stronie internetowej UODO (Zawiadomienia Prezesa UODO związane z IOD, Zadania IOD, Wyznaczenie i status IOD), bądź w Newsletterze UODO dla IOD (Biuletynie UODO), np. w Wydaniu 4 (kwiecień 2022).

Poniżej zamieszczamy treść sprawozdania krajowego UODO.

Link do komunikatu EROD.