Czy obowiązek z art. 38 ust. 2 RODO dotyczy administratora korzystającego z usług zewnętrznego IOD?
Czy obowiązek określony w art. 38 ust. 2 RODO dotyczący „zapewnienia inspektorowi ochrony danych zasobów niezbędnych do utrzymania jego wiedzy fachowej”, odnosi się jedynie do inspektorów zatrudnionych na etacie, czy też do tych, którzy wykonują swoje zadnia na podstawie umowy o świadczenie usług?
Funkcja IOD to specjalizacja wymagająca ciągłego zaangażowania w rozwój zawodowy. Metody i technologie wykorzystywane do przetwarzania i zapewniania bezpieczeństwa danym osobowym, a także przyrastająca liczba regulacji prawnych oraz ich zmiany powodują, że wiedzę w zakresie prawa i praktyk w dziedzinie ochrony danych osobowych trzeba ciągle aktualizować.
Zadania nałożone w RODO na inspektorów są trudne, a ich wykonywanie wymaga specjalnego merytorycznego przygotowania. Jak wskazuje Grupa Robocza Art. 29 w Wytycznych dotyczących inspektora ochrony danych WP243 rev.01, inspektor odgrywa kluczową rolę w zakresie wspierania „kultury ochrony danych” w ramach podmiotu oraz pomaga w implementacji niezbędnych elementów RODO, w tym zasad przetwarzania danych osobowych, praw osób, których dane dotyczą, ochrony danych w fazie projektowania oraz domyślnej ochrony danych, rejestru czynności przetwarzania, wymogów bezpieczeństwa przetwarzania i zgłoszenia naruszeń.
Z powyższych względów prawodawca unijny nałożył na administratora i podmiot przetwarzający w art. 38 ust. 2 RODO obowiązek stałego wspierania IOD poprzez dostarczanie mu niezbędnych zasobów do wykonania jego zadań oraz dostępu do danych osobowych i operacji przetwarzania, a także zasobów niezbędnych do utrzymania jego wiedzy fachowej. Obowiązek ten odnosi się zarówno do sytuacji, gdy inspektor jest członkiem personelu administratora, jak i do inspektorów wykonujących swoje zadania na podstawie zawieranych przez nich umów o świadczenie usług.
RODO nie przesądza, jakie konkretnie środki i w jaki konkretnie sposób administrator (podmiot przetwarzający) - korzystający ze wsparcia IOD – powinien zapewnić, aby wywiązać się z obowiązku określonego w art. 38 ust. 2 RODO. W świetle RODO kwalifikacje zawodowe IOD obejmują nie tylko wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych, ale też umiejętności wypełnienia zadań, o których mowa w art. 39. Warto zatem, aby ocena, jakie zasoby są niezbędne dla utrzymania kwalifikacji IOD uwzględniała oba powyższe elementy.
W Podręczniku Inspektora Ochrony Danych Wytyczne dla inspektorów ochrony danych w sektorze publicznym i quasipublicznym dotyczące sposobu zapewnienia zgodności z europejskim ogólnym rozporządzeniem o ochronie danych, str. 116, wskazano, że organizacja powinna zapewnić swojemu IOD możliwość utrzymania i dalszej poprawy swoich kompetencji, także po nominacji poprzez udział w stosownych kursach i seminariach
.
Grupa Robocza Art. 29 w Wytycznych dotyczących inspektora ochrony danych WP243 rev.01 wskazała, że poziom wiedzy inspektora musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Dla przykładu, w przypadku wyjątkowo skomplikowanych procesów przetwarzania danych osobowych lub w przypadku przetwarzania dużej ilości danych szczególnych kategorii, inspektor może potrzebować wyższego poziomu wiedzy i wsparcia. Dlatego Grupa Robocza Art. 29 opowiedziała się za szerokim rozumieniem zasobów i wskazała m.in. na potrzebę ciągłego szkolenia IOD, zapewniającego mu możliwość ciągłego aktualizowania wiedzy z zakresu ochrony danych osobowych. Inspektorów należy zachęcać do udziału w szkoleniach, warsztatach, forach poświęconych ochronie danych osobowych, by mogli zwiększać swoją wiedzę.Co do zasady im bardziej skomplikowane procesy przetwarzania danych, tym więcej środków należy przeznaczyć na IOD. Ochrona danych musi być skuteczna i wymaga wystarczających zasobów odpowiednich do zakresu przetwarzania danych.
Motyw 97 RODO wyjaśnia, że niezbędny poziom wiedzy fachowej należy ustalić w szczególności w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają przetwarzane dane osobowe. Jeżeli zatem poziom wiedzy fachowej inspektora musi być odpowiedni do „prowadzonych operacji przetwarzania oraz ochrony, której wymagają przetwarzane dane osobowe” i ma być utrzymywany na tym poziomie (art. 38 ust. 1 RODO), to ilość i rodzaj zasobów przeznaczanych na zapewnienie właściwych kwalifikacji inspektora musi być dobierany indywidualnie i z uwzględnieniem powyższych kryteriów.
W przedstawionej sprawie tzn. w sytuacji, gdy inspektor wykonuje zadania na podstawie umowy o świadczenie usług, kwestie związane z zapewnianiem zasobów na utrzymanie wiedzy fachowej IOD powinny być starannie ustalane przez strony umowy przy zawieraniu (lub ewentualnie renegocjonowaniu umowy), tak aby zapewnić zgodność z przywołanym wyżej art. 38 ust. 2 RODO i zasadą rozliczalności (administrator powinien móc wykazać, że prawidłowo zrealizował ciążący na nim obowiązek). Ustalenia te powinny odnosić się do tego, jakiego rodzaju będą to środki, w jaki sposób zostaną zapewnione. Takie staranne ukształtowanie postanowień umowy dotyczących obowiązków jej stron przyczynia się do osiągniecia celów umowy i jej realnego wykonania.
Przy konstruowaniu treści umowy obowiązuje zasada swobody stron w określaniu wzajemnych praw i obowiązków, niemniej jest ona ograniczona wymogami wynikającymi z przepisów o ochronie danych osobowych. Przyjęte przez strony rozwiązania związane z zapewnianiem zasobów na utrzymanie wiedzy fachowej IOD powinny uwzględniać wiele kryteriów, takich jak: aktualny stan wiedzy IOD i dotychczasowe sposoby jej aktualizowania, specyfika prowadzonego przez administratora przetwarzania związanego z rodzajem i zakresem jego działalności, złożoność i liczba procesów przetwarzania danych, stosowane środki techniczne i stopień ich zaawansowania oraz bieżące potrzeby dotyczące dostosowania się do wymogów prawnych i praktyk w dziedzinie ochrony danych osobowych.
Dokształcanie inspektora przekłada się na coraz wyższy poziom fachowości oraz jakości i efektywności jego pracy. Niesie to niewątpliwie korzyści dla kierownictwa i osób przetwarzających dane osobowe u administratora (podmiotu przetwarzającego), którzy - wspierani przez odpowiednio wykwalifikowanego inspektora – są w stanie sprostać wymogom, jakie nakładają na nich przepisy prawa i regulacje wewnętrzne oraz zminimalizować popełniane błędy.