Odpowiedzialność Inspektora Ochrony Danych

Autor: Aneta Grala pod red. Marcina Soczko — w kategorii Blog — 27 lutego 2021

27

lut
2021

Odpowiedzialność Inspektora Ochrony Danych a odpowiedzialność Administratora

RODO nie odnosi się do kwestii odpowiedzialności Inspektora Ochrony Danych (IOD), tak samo nie ma o tym mowy również w żadnej polskiej ustawie. Mimo, iż IOD ma niepodważalny wpływ i wkład w realizację swoich zadań wskazanych w RODO (art. 39 RODO) i przypisanych wprost osobie pełniącej funkcję Inspektora, to nie ponosi ona osobistej formalnej odpowiedzialności za przestrzeganie RODO. Według RODO pełną odpowiedzialność za przestrzeganie przepisów ponosi administrator oraz podmiot przetwarzający, ich obowiązkiem jest również wykazanie tej zgodności, czyli rozliczalność. Według motywu 146 RODO: „Za szkodę̨, którą̨ dana osoba poniosła wskutek przetwarzania w sposób naruszający niniejsze rozporządzenie, powinno przysługiwać́ odszkodowanie od administratora lub podmiotu przetwarzającego. Administrator lub podmiot przetwarzający powinni jednak zostać́ zwolnieni z odpowiedzialności prawnej, jeżeli udowodnią, że szkoda w żadnym razie nie powstała z ich winy”.

Zgodnie z wytycznymi Europejskiej Rady Ochrony Danych (EROD; dawnej Grupy Roboczej Art. 29), zadania Inspektora Ochrony Danych nałożone na niego w art. 39 RODO, np. obowiązek monitorowania przestrzegania RODO wskazują jednoznacznie, iż nie jest to jednorazowa, ale stała odpowiedzialność. Co więcej motyw 97 RODO podaje, że w monitorowaniu wewnętrznego przestrzegania RODO administrator lub podmiot przetwarzający powinni być wspomagani przez IOD.

EROD podkreśla w swoich wytycznych, iż powyższe zapisy nie oznaczają osobistej odpowiedzialności Inspektora Ochrony Danych w przypadkach naruszenia przepisów. Z RODO jasno wynika, że to administrator (a nie IOD) wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać (art. 24 ust. 1 RODO). Spełnianie wymogów RODO należy zatem do obowiązków administratora, które powinien wewnętrznie rozdzielić pomiędzy swoich pracowników i rozliczać ich realizację. Oczywiście istnieje pokusa, aby te wszystkie obowiązki powierzyć IOD. Jednak należy przy tym pamiętać, że zadania inne niż wymienione w art. 39 RODO mogą zastać zlecone Inspektorowi tylko wówczas, gdy nie będą powodowały konfliktu interesów.

EROD wskazuje także, że administrator / podmiot przetwarzający nie mogą stosować pośrednich ani bezpośrednich sankcji wobec Inspektora Ochrony Danych za wypełnianie przez niego zadań wymienionych w art. 39 RODO, przejawiających się np. negatywnym wynikiem audytu ochrony danych osobowych. W zakresie niedozwolonych bezpośrednich sankcji mowa konkretnie o odwołaniu Inspektora Ochrony Danych oraz ukaraniu go. Natomiast – zdaniem EROD – wykluczone są również pośrednie sankcje, takie jak np. pominięcie przy podwyżce wynagrodzenia, opóźnienie awansu, utrudnianie rozwoju zawodowego.

Za co zatem ponosi odpowiedzialność Inspektor Ochrony Danych? Może on jedynie podlegać kontroli w zakresie wykonywania funkcji Inspektora. Kontrola taka może być wykonana przez administratora bezpośrednio, wewnętrznie w organizacji lub zostać zlecona podmiotowi zewnętrznemu.

RODO nie reguluje także kiedy Inspektor Ochrony Danych może być odwołany, pozostawiona jest zatem administratorowi lub podmiotowi przetwarzającemu w tej kwestii pełna swoboda oceny podejmowanych przez niego działań. Zgodnie z tym, odwołanie lub ukaranie Inspektora Ochrony Danych byłoby możliwe w sytuacji, gdyby administrator lub podmiot przetwarzający stwierdził, że dany Inspektor w ogóle nie wypełnia obowiązków nałożonych na niego przez RODO lub wykonuje je w sposób rażąco niewłaściwy. Dlatego tak ważna jest rozliczalność wykonywanych zadań, a zatem dokumentowanie czynności w celu możliwości późniejszego udowodnienia, np. przeprowadzenia szkoleń personelu, audytów czy innych działań. Dowody te mogą być tak samo istotne dla IOD, jak i dla administratora.

Urząd Ochrony Danych Osobowych o odpowiedzialność Inspektora Ochrony Danych

Warto przypomnieć, iż decyzja Prezesa Urzędu Ochrony Danych Osobowych (Prezes UODO) z dnia 21 sierpnia 2020 r. w sprawie przetwarzania danych osobowych przez Szkołę Główną Gospodarstwa Wiejskiego (SGGW) wzbudziła dyskusję w zakresie ponoszenia odpowiedzialności przez Inspektora za sprawowanie swojej funkcji. Mocą tej decyzji nałożono administracyjną karę pieniężną na SGGW za naruszeniu szeregu przepisów dotyczących przetwarzania danych osobowych, w tym zarzuty dotyczyły również bezpośrednio zadań IOD.

Przy okazji wydania decyzji Prezes UODO wyjaśnił w uzasadnieniu także kwestię odpowiedzialności Inspektora Ochrony Danych. Prezes Urzędu Ochrony Danych Osobowych wskazał, iż IOD wypełniał swoje zadania bez należytego uwzględnienia ryzyka związanego z operacjami przetwarzania, co stanowi naruszenie przez administratora wymienionych kolejno przepisów RODO i to administrator ponosi za to odpowiedzialność. Zaznaczył, że Inspektor nie wykonywał również obowiązków nałożonych na niego w Polityce Bezpieczeństwa wdrożonej w SGGW. W decyzji podkreślono, iż istotne jest nie to, że jakiekolwiek działania były podejmowane, ale przede wszystkim to, że działania podejmowane przez Inspektora Ochrony Danych zmierzające do wykonywania swoich zadań i monitorowania przestrzegania przepisów o ochronie danych osobowych były niewystarczające i nieskuteczne, bez należytego uwzględniania ryzyka związanego z operacjami przetwarzania.

Podkreślenia wymaga również, że we wspomnianej decyzji zarzutem ze strony Prezesa Urzędu Ochrony Danych Osobowych było to, że Inspektor Ochrony Danych nie był włączany we wszystkie procesy przetwarzania danych osobowych, co zapewne miało wpływ na niewykonywanie przez niego swoich obowiązków. Wskazano wprost także, że administrator ponosi odpowiedzialność za działania Inspektora Ochrony Danych, gdyż to na nim ciąży obowiązek wyznaczenia Inspektora na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań wymienionych w art. 39 RODO.

We wspomnianej decyzji wskazano także, że Inspektor Ochrony Danych w związku z wykonywaniem swoich zadań ponosi odpowiedzialność bezpośrednio przed podmiotem, który go wyznaczył, a zatem przed administratorem danych lub podmiotem przetwarzającym. Prezes Urzędu Ochrony Danych Osobowych dodał w uzasadnieniu informację, że w niniejszej sprawie z uwagi na to, iż obowiązki Inspektora Ochrony Danych były wykonywane na podstawie umowy o świadczenie usług, jego odpowiedzialność względem administratora danych będzie podlegała regulacjom ogólnym zawartym w kodeksie cywilnym. W decyzji uznano za nieprawidłowe stanowisko SGGW, że błąd Inspektora Ochrony Danych nie może być równoznaczny z niewłaściwym nadzorem administratora nad przestrzeganiem bezpieczeństwa danych oraz przypisaniem pełnej odpowiedzialności administratorowi. Zdanie to rozwiewa wszelkie wątpliwości na temat tego, iż wyznaczenie Inspektora Ochrony Danych nie zwalnia administratora z obowiązku kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz ponoszenia pełnej odpowiedzialności za te działania (lub ich brak).

Tematykę tej decyzji omawialiśmy także w artykule: „Kary finansowe za naruszenie RODO – podsumowanie roku 2020”

Jak pogodzić niezależność Inspektora Ochrony Danych z prawem do kontroli przez Administratora?

Wykonywanie swoich obowiązków i zadań w sposób niezależny (w oderwaniu od jakichkolwiek wpływów) jest gwarancją skutecznego i prawidłowego sprawowania funkcji przez Inspektora Ochrony Danych, zapewnioną w RODO (motyw 97 RODO).

O niezależności Inspektora Ochrony Danych pisaliśmy również w artykule, który omawia szerzej instytucję Inspektora, m.in. jego zadania oraz kwestie obowiązku wyznaczenia Inspektora, stanowiąc przy tym swoiste kompendium wiedzy w tym zakresie: „Inspektor Ochrony Danych − kim jest? Czy warto go wyznaczyć oraz na jaki model współpracy się zdecydować?”.

Co więcej RODO wskazuje wprost (art. 38 ust. 3 RODO), iż IOD nie otrzymuje instrukcji dotyczących wykonywania swoich zadań, nie może być też odwoływany ani karany za wypełnianie swoich zadań. Podlega on jednak bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego, który może przeprowadzać w tym celu audyt pracy Inspektora Ochrony Danych. Materiały zebrane w wyniku audytu mogą następnie posłużyć do oceny prawidłowości wykonywania funkcji Inspektora w celu ustalenia jego odpowiedzialności na podstawie przepisów prawa pracy (ciężkie naruszenie obowiązków pracowniczych), kodeksu cywilnego (odpowiedzialności kontraktowej), a nawet prawa karnego (odpowiedzialności karnoprawnej).

Należy pamiętać, że osoba pełniąca funkcję Inspektora Ochrony Danych zawsze ponosi odpowiedzialność za czyny będące podstawą do nałożenia sankcji na podstawie innych przepisów niż przepisy o ochronie danych osobowych.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.