Czy Inspektor Ochrony Danych IOD może nadawać upoważnienia
W lutowym newsletterze Urzędu Ochrony Danych Osobowych (UODO) dla inspektorów ochrony danych Urząd przedstawił swoje stanowisko w kwestii niezależności IOD w strukturze administratora. Prezes UODO zaprezentował swoją opinię w oparciu o sprawę, w której Inspektor Ochrony Danych wykonywał obowiązek administratora jakim jest nadawanie upoważnień do przetwarzania danych osobowych. No i właśnie.. czy Inspektor Ochrony Danych tzw. IOD może nadawać upoważnienia?
Postępowanie zakończyło się udzieleniem upomnienia administratorowi w związku z nałożeniem na IOD obowiązków, które należą do zadań administratora, a które monitoruje IOD. „Prezes UODO konsekwentnie wskazuje, że do zadań inspektora ochrony danych (IOD) należy m.in. monitorowanie przestrzegania przepisów o ochronie danych osobowych oraz wewnętrznych polityk danego administratora, a także nadzorowanie prawidłowego wykonywania wynikających z nich obowiązków, doradzanie i podnoszenie świadomości w tym zakresie. Dlatego IOD nie powinien być osobą, która wyręcza administratora w realizacji należących do niego zadań. Mogłoby to prowadzić do powstania konfliktu interesów, którego występowania zakazuje w odniesieniu do inspektorów art. 38 ust. 6 RODO.”
Ponadto, UODO na stronie internetowej wskazuje, że IOD nie może zajmować stanowiska, na którym określa się sposoby i cele przetwarzania danych. Podkreślając jednocześnie, że „ocena czy w przypadku konkretnej osoby i wykonywanych przez nią zadań nie występuje konflikt interesów, powinna być dokonywana indywidualnie z uwzględnieniem konkretnych okoliczności. Oznacza to, że możliwość zaistnienia konfliktu powinna być stale monitorowana, ponieważ przyczyny zaistnienia takiego konfliktu mogą występować również w późniejszym czasie, po rozpoczęciu pełnienia funkcji przez IOD.”
Zakres zadań Inspektora Ochrony Danych determinują przepisy zawarte w RODO, przede wszystkim chodzi tu o art. 39 ust. 1 RODO, ale także art. 38, a szczególnie ust. 4.
Generalnie obowiązki te można podzielić na kilka kategorii:
- informowanie o obowiązkach spoczywających na podmiotach, m.in. administratorze, podmiocie przetwarzających, pracowników wynikających z przepisów dotyczących ochrony danych oraz doradzanie w tych kwestiach;
- monitorowanie przestrzegania ww. przepisów przez ww. podmiotach,
- szkolenie personelu, zwiększanie świadomości w zakresie ochrony danych;
- udzielanie zaleceń co do oceny skutków;
- współpraca z Prezesem UODO;
- pełnienie funkcji punktu kontaktowego dla Prezesa UODO oraz osób, których dane podmiot przetwarza.
Uprawnienia IOD i jego miejsce w organizacji określają kolejne przepisy, gdzie wskazuje się wyraźnie, że Inspektor Ochrony Danych może podlegać jedynie najwyższemu kierownictwu organizacji, nie może otrzymywać również instrukcji w zakresie wykonywanych przez niego zadań. Przepisy RODO wprost wskazują także, że Inspektor Ochrony Danych powinien być niezależny.