Dodaj tu swój tekst nagłówkaPytania UODO o pracę Inspektorów Ochrony Danych
Pytania UODO o pracę Inspektorów Ochrony Danych. W Komunikacie z dnia 20 marca 2022r., Urząd Ochrony Danych Osobowych opublikował listę pytań, z którym i będą musieli się zmierzyć administratorzy danych osobowych, którzy będą musieli potrafić odpowiedzieć na postawione im pytania.
Realia pracy Inspektora Ochrony Danych
W Komunikacie UODO czytamy, iż
cyt.: „(…)Od początku stosowania przepisów RODO Urząd Ochrony Danych Osobowych, zarówno w ramach prowadzonych postępowań, jak w reakcji na zgłaszane mu przypadki nieprzestrzegania przepisów dotyczących inspektorów ochrony danych podejmował działania wynikające z jego uprawnień, określone w art. 58 RODO. Dotychczasowe doświadczenia organu nadzorczego w tym zakresie posłużyły do sformułowania listy zagadnień, do których – wraz z przedstawieniem odpowiednich dowodów – będą musieli odnieść się wezwani administratorzy i podmioty przetwarzające. (…)”.
Wyobrażenia ADO na temat pracy IOD
Praktyka nasza podpowiada nam, iż jednym z podstawowych problemów, źródeł powstawania nieprawidłowości w pracy Inspektora Ochrony Danych, są oczekiwania Administratorów Danych Osobowych. ADO często pozostają w przekonaniu, iż wyznaczenie IOD w rzeczywistości prowadzić ma do tego, że oni sami zwolnieni są z jakichkolwiek obowiązków w obszarze ochrony danych osobowych.
Problemy wskazane przez UODO
UODO w swoim Komunikacie sprecyzował i przedstawił nieprawidłowości, jakie zidentyfikowano, w obszarze przestrzegania przepisów dotyczacych Inspektorów Ochrony Danych:
- nieopublikowania na stronie internetowej administratora imienia i nazwiska inspektora,
- nieaktualizowania danych inspektora na stronie internetowej administratora,
- przyjęcia procedur obciążających inspektora obowiązkami powodującymi konflikt interesów,
- zapisania w regulaminie organizacyjnym, że IOD może być odwołany w każdym czasie,
- przyczyn odwołania inspektora,
- nieprawidłowego usytuowania IOD w strukturze organizacyjnej administratora -– IOD nie podlegał bezpośrednio najwyższemu kierownictwu,
- niezapewnienia inspektorowi wystarczającej ilości czasu oraz innych zasobów niezbędnych do wykonywania jego zadań,
- niezapewnienia inspektorowi wsparcia finansowego, infrastrukturalnego oraz możliwości aktualizowania wiedzy,
- pomijania inspektora w sprawach dotyczących przetwarzania danych osobowych (w tym takich, w których administratorzy prosili o opinię UODO nie zwracając się wcześniej o opinię do inspektora).
Inne kwestie, które budzą emocje
Jest rzeczą oczywistą, ale i taką o której nie mówi się wprost, sposób dokonywania wyboru IOD, jakie często proponują ADO oparty jest na założeniu, iż usługa musi być tania, szybko wykonana, bezproblemowo, bezobsługowo dla organizacji. Parytet ceny usługi często zyskuje miano dominującego, decydującego, żeby nie powiedzieć jedynego przy wyborze IOD. Dostrzegalne jest także zjawisko polegające w rzeczywistości na narzucaniu osoby, która będzie pełniła funkcję IOD podległej jednostce organizacyjnej. W sytuacji, kiedy osoba nazwijmy to proponowana faktycznie obiektywnie spełnia kryteria, jakie stawia jej jednostka podległa nie budzi to kontrowersji. Niestety jednak, często dzieje się tak, iż owa sugestia ze strony organu prowadzącego, czy też jednostki nadrzędnej, w jakiś sposób paraliżuje ADO podległego, który odruchowo akceptuje proponowane rozwiązanie.
Pytania UODO o pracę Inspektorów Ochrony Danych
Zgłoszone i identyfikowane nieprawidłowości skłonimy Urząd do tego, aby opracować zestaw pytań, które kierowane są do ADO. Pytania UODO o pracę Inspektorów Ochrony Danych pozwolą nie tylko na weryfikowanie stanu faktycznego. ADO postawieni przed faktem konieczności udzielenia odpowiedzi na postawione pytania, zapewne dokonywać będą analizy własnych działań, co bez wątpienia może mieć wpływ nie tylko na wzbudzenie ich świadomości, ale przekładać się będzie na realną zmianę nieprawidłowych praktyk
Pytania UODO o pracę Inspektorów Ochrony danych:
- Czy u administratora został wyznaczony inspektor ochrony danych (IOD)?
- Czy na administratorze ciąży obowiązek wyznaczenia IOD (jeżeli tak, to na jakiej podstawie prawnej), czy też IOD został wyznaczony mimo braku takiego obowiązku?
- Czy administrator opublikował imię i nazwisko oraz kontakt do IOD na swojej stronie internetowej lub – jeżeli nie prowadzi swojej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności?
- Czy ww. informacje znajdują się w ogólnie dostępnym miejscu (proszę wskazać to miejsce, w przypadku strony internetowej proszę wskazać jej adres oraz link do tej informacji) ?
- Czy Inspektor Ochrony Danych jest pracownikiem administratora, a jeśli nie, to na jakiej podstawie prawnej wykonuje swoje obowiązki?
- Czy IOD został powołany na wyłączność u administratora, czy wykonuje swoje obowiązki również u innych administratorów?
- Na podstawie jakich kwalifikacji administrator wyznaczył IOD (np. wykształcenie, doświadczenie, wiedza)?
- Jakie niezbędne zasoby, o których mowa w art. 38 ust. 2 rozporządzenia 2016/679 administrator zapewnia IOD?
- W jaki sposób administrator zapewnia zasoby na utrzymanie wiedzy fachowej IOD?
- Jakie stanowisko zajmuje IOD i komu podlega w strukturze organizacyjnej administratora?
- Czy administrator powołał zastępcę IOD, jeżeli tak, to kiedy?
- Czy u administratora funkcjonuje zespół IOD lub inna forma stałego wsparcia IOD w zakresie wykonywania jego zadań?
- W jaki sposób administrator zapewnia by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (np. czy zostały opracowane zasady dotyczące tego, jakie sprawy mają być konsultowane z IOD, kto i w jakich sytuacjach powinien zgłaszać się w celu uzyskania konsultacji IOD, czy i na jakich zasadach IOD bierze udział w naradach kierownictwa)
- W jaki sposób administrator zapewnia IOD dostęp do danych osobowych i operacji przetwarzania?
- Czy administrator przyjął jakiekolwiek regulacje wewnętrzne dotyczące funkcjonowania IOD (w szczególności w celu zapewnienia poszanowania gwarancji jego niezależności oraz jego uprawnień w zakresie dostępu do danych osobowych i operacji przetwarzania, włączania we wszystkie sprawy dotyczące ochrony danych osobowych, unikania konfliktu interesów), a jeżeli tak, to w jakim akcie wewnętrznym zostały one przewidziane?
- W jaki sposób administrator zapewnia, aby IOD nie były wydawane instrukcje co do wykonywania zdań przez IOD?
- W jaki sposób administrator zapewnia, aby IOD nie były karany i odwoływany za wykonywanie swoich zadań?
- W jaki sposób ADO postępuje w przypadku, gdy nie uwzględnia wskazówek lub rekomendacji IOD, np. czy dokumentuje powody niezastosowania tych wskazówek?
- W jaki sposób osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych zgodnie z art. 38 ust. 4 rozporządzenia 2016/679 ?
- Czy inspektor ochrony danych wykonuje również inne obowiązki lub sprawuje inną funkcję poza obowiązkami związanymi z ochroną danych osobowych, jeżeli tak to: jakie oraz w jakim wymiarze czasu pełni funkcję IOD, a w jakim inne zadania, w jaki sposób administrator ocenił, że w przypadku każdego z tych zadań nie występuje konflikt interesów, o którym mowa w art. 38 ust 6 rozporządzenia 2016/679, czy w zakresie wykonywania innych zadań IOD podlega innym osobom niż najwyższe kierownictwo administratora?
- Czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów?
- Czy IOD wykonuje swoje zadania jedynie w siedzibie administratora, a jeżeli nie, to w jakim miejscu i w jaki sposób zapewniona jest stała dostępność IOD dla kierownictwa i pracowników administratora?
- Czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń, audytów?
- Czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny, czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami?
- Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?
- Czy administrator występował do IOD o udzielenie zaleceń co do oceny skutków dla ochrony danych, a jeśli tak, to w jakich sytuacjach?
- Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?
Procedura pełnienia funkcji Inspektora Ochrony Danych
Poradnik jak udzielić odpowiedzi na 27 pytań UODO
Materiały źródłowe
Opracowanie UODO „Weryfikacja przestrzegania przepisów dotyczących inspektora ochrony danych” [Dostęp: 01.04.2022r., godz.: 8:33]
Opracowanie UODO „Jakie zadania ma IOD?” [Dostęp: 01.04.2022r., godz.: 8:33]