Czy administrator jest zobowiązany na podstawie RODO do zapewnienia inspektorowi zespołu IOD?
Jestem inspektorem ochrony danych w dużym szpitalu o bardzo złożonej strukturze organizacyjnej zatrudniającej personel liczący ponad 2000 pracowników. W mojej codziennej pracy w związku z wykonywaniem zadań IOD spotykam się z ogromną ilością zagadnień dotyczących ochrony danych osobowych wymagających mojej analizy i udzielenia wsparcia administratorowi, bądź jego pracownikom. Istotnym wsparciem w wykonywaniu przeze mnie zadań IOD byłoby wyznaczenie przez administratora zespołu IOD. Czy przepisy RODO nakazują administratorowi wyznaczenie zespołu?
RODO nakłada na administratora (kierownictwo podmiotu będącego administratorem) określone, bardzo konkretne obowiązki wobec funkcjonującego w jego organizacji inspektora ochrony danych, a sposób ich realizacji zależy od specyfiki danego administratora (m.in. jego wielkości, struktury, rodzaju działalności) i prowadzonego przez niego przetwarzania danych (m.in. charakter, zakres, kontekst i cele przetwarzania). W zależności od tych czynników administrator musi zapewnić IOD właściwe warunki funkcjonowania i to administrator odpowiedzialny jest za skuteczne i prawidłowe wykonywanie przez inspektora jego zadań.
Takim konkretnym obowiązkiem nałożonym na administratora, jest udzielanie IOD wsparcia w wypełnianiu przez niego zadań (o których mowa w art. 39 RODO), zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej zgodnie z art. 38 ust. 2 RODO.
Grupa Robocza art. 29 w Wytycznych dotyczących inspektora ochrony danych WP243 rev.01 opowiada się za szerokim rozumieniem zasobów, do których zalicza m.in.: wsparcie kadrowe, np. powołanie zespołu inspektora ochrony danych. Dodać należy, że przez zasoby, które powinien zapewnić administrator można rozumieć również:
- wsparcie IOD ze strony kadry kierowniczej (np. na poziomie zarządu),
- wymiar czasu umożliwiający IOD wykonywanie zadań,
- odpowiednie wsparcie finansowe, infrastrukturalne (pomieszczenia, sprzęt, wyposażenie)
- oficjalne zakomunikowanie wszystkim pracownikom faktu wyznaczenia IOD i jego zadaniach,
- umożliwienie dostępu do innych działów organizacji, np. HR, działu prawnego, IT itd.
- ciągłe szkolenie. IOD powinien mieć możliwość ciągłego aktualizowania wiedzy z zakresu ochrony danych osobowych. Celem powinno być zwiększanie wiedzy IOD i zachęcanie go do udziału w szkoleniach, warsztatach, forach poświęconych ochronie danych etc.
Administrator wyznaczając na inspektora daną osobę powinien wspólnie z nią określić zasady dotyczące zapewnienia takiemu inspektorowi wystarczającej ilości czasu na wypełnianie jego obowiązków, pomocy w stworzeniu planu jego pracy, a w razie potrzeby wsparcie jego funkcjonowania zespołem odpowiednich specjalistów. W celu realizacji wyrażonej w art. 5 ust. 2 RODO zasady rozliczalności, konieczne jest dokonanie starannej analizy, czy wyznaczona osoba będzie w stanie prawidłowo wypełniać wszystkie swoje obowiązki wobec administratora danych. Ocena tej kwestii zależna jest od wielu czynników, w tym m.in. od: dysponowania przez nią odpowiednią do zakresu zadań i specyfiki procesów przetwarzania danych ilością czasu, konieczności unikania konfliktu interesów oraz wielkości i struktury organizacyjnej jednostki będącej administratorem danych. Trzeba mieć przy tym świadomość, że wiele z obowiązków inspektorów przewidzianych w RODO wymaga stałego zaangażowaniaoraz tzw. „efektywnej dostępności” inspektora dla osób z danej organizacji. Do zadań IOD należy bowiem np. bieżące monitorowanie zgodności przetwarzania danych osobowych z przepisami prawa oraz udzielanie informacji i rad w zakresie obowiązków wynikających z tych przepisów, a także pełnienie punktu kontaktowego dla osób, których dane dotyczą oraz dla organu nadzorczego.
W skład zespołu IOD wchodzić może osoba (osoby) osoby zastępujące inspektora w czasie jego nieobecności. Możliwość powołania takiej osoby przewiduje art. 11a ust. 1 ustawy o ochronie danych osobowych. W opinii UODO dopuszczalne jest, by administrator wyznaczył dwie osoby zastępujące inspektora ochrony danych. Jedna realizowałaby zadania IOD podczas jego nieobecności, a druga wówczas, gdyby w pracy nie było zarówno IOD, jak i tej pierwszej, zastępującej go osoby (więcej informacji w tym zakresie znajduje się w wydaniu 10 newslettera UODO dla IOD (październik 2020) str. 2).
Warto również odnotować pogląd zawarty w Podręczniku Inspektora Ochrony Danych Wytyczne dla inspektorów ochrony danych w sektorze publicznym i quasipublicznym dotyczące sposobu zapewnienia zgodności z europejskim ogólnym, str. 123, dotyczący powołania zespołu IOD w podmiotach publicznych:
„W organach publicznych faktycznie zalecane byłoby stworzenie zespołu. W małych podmiotach publicznych w skład takiego zespołu mogą wchodzić po prostu obecni pracownicy regularnie spotykający się z inspektorem ochrony danych w celu omówienia istotnych spraw i opracowania polityki. W większych - część pracowników może zostać formalnie przypisana do pełnienia funkcji wspierających inspektora ochrony danych na część etatu. W innych konieczne może okazać się mianowanie pełnoetatowych pracowników wspierających inspektora ochrony danych. Jak jasno wynika z wszystkich wytycznych, decyzje w tych sprawach należy podejmować, biorąc pod uwagę (i) złożoność lub wrażliwość operacji przetwarzania danych osobowych oraz (ii) rozmiar i zasoby danego podmiotu. Jednak w końcu zgodnie z RODO zasoby przydzielone inspektorowi ochrony danych (i zespołowi) muszą być odpowiednie do wykonywanych obowiązków.”
Wiele informacji na temat obowiązków administratora określonych w art. 37 i 38 RODO można znaleźć w zakładce IOD na stronie internetowej UODO. Cennych wskazówek dostarczają też rozstrzygnięcia Prezesa UODO (decyzja Prezesa UODO o sygn. ZSOŚS.421.25.2019 https://www.uodo.gov.pl/decyzje/ZSO%C5%9AS.421.25.2019) i innych organów nadzorczych UE, których zadaniem jest monitorowanie i egzekwowanie przestrzegania ww. przepisów (m.in. poprzez nakładanie na administratorów administracyjnych kar pieniężnych na podstawie art. 83 ust 4 lit a RODO.