Jednym z wymagań RODO dla podmiotów publicznych jest wyznaczenie inspektora ochrony danych (IOD). Wiąże się z tym kilka wymogów formalnych, ale i organizacyjnych, aby zagwarantować właściwe wykonywanie zadań przez IOD.
WŁAŚCIWE UMIEJSCOWIENIE IOD W STRUKTURZE ORGANIZACYJNEJ
Jednym z głównych wymagań RODO dotyczących IOD-y jest zapewnienie jego niezależności. Powinno być to zapewnione m.in. przez właściwe umiejscowienie go w strukturze organizacyjnej. Administrator powinien zapewnić inspektorowi takie warunki pracy, aby mógł on wykonywać swoje podstawowe zadania w sposób całkowicie samodzielny. Zgodnie z art. 38 ust. 3 RODO, administrator lub podmiot przetwarzający zapewniają, aby IOD „nie otrzymywał instrukcji dotyczących wykonywania tych zadań”. Ma on podlegać bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.
W Rozporządzeniu nie znajdziemy jednak definicji „najwyższego kierownictwa”. Można jednak przyjąć, że jest to osoba bądź grupa osób kierujących organizacją, które wskazują strategiczne cele i misję jej działania oraz nadzorują działania organizacji. Może być to więc np. zarząd lub prezes firmy.
Zakaz wydawania IOD instrukcji jest ważną gwarancją jego niezależności. Zakazane jest także odwoływanie IOD przez administratora za wykonywanie jego zadań. W motywie 97 RODO uzupełniono to stwierdzeniem, iż „inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny”.
Oprócz swoich zadań podstawowych IOD „może wykonywać inne zadania i obowiązki”. Jednak te dodatkowe zadania nie mogą powodować konfliktu interesów. Najbardziej prawdopodobna sytuacja, w której mogłoby dojść do konfliktu interesów to realizacja przez inspektora tych czynności, które powinny podlegać jego monitorowaniu. W szczególności IOD-a nie powinien podejmować decyzji, np. związanych z treścią umów powierzenia przetwarzania, których zgodność z przepisami monitoruje. Wprost na ten temat wypowiedział się nasz organ nadzorczy w swojej opinii.
WSPARCIE IOD
W celu zapobieżenia konfliktom interesów, IOD nie może być jedyną osobą w organizacji, odpowiedzialną za realizację wymagań RODO. Wszelkie obowiązki wynikające z przepisów RODO powinny być organizacyjnie podzielone na poszczególnych pracowników lub komórki organizacyjne. Dobry rozwiązaniem jest powołanie zespołu IOD lub wyznaczenie osób go wspierających. Członkowie zespołu mogliby wykonywać te zadania i czynności powierzane inspektorowi, które – zgodnie z RODO – powinien on monitorować. Dzięki temu inspektor uniknie sytuacji, w której musiałby dokonywać analizy własnych poczynań. Podział obowiązków pozwala pełnić funkcję IOD w sposób w pełni niezależny i profesjonalny.
Zgodnie z regulacją przyjętą w art. 39 RODO Administrator ma obowiązek zapewnić Inspektorowi właściwe warunki funkcjonowania tak, aby mógł on skutecznie wykonywać swoje zadania. Grupa Robocza w swoich wytycznych opowiada się za szerokim rozumieniem tego sformułowania. Przyjmuje, że zaliczyć należy tu m.in. wsparcie kadrowe, które podlegać może na powołaniu zespołu IOD. W Podręczniku Inspektora Ochrony Danych zawarty został pogląd, iż powołanie zespołu IOD w podmiotach publicznych jest zalecane. W małych podmiotach w jego skład mogą wchodzić obecni pracownicy, którzy regularnie konsultować się mają z IOD w celu omówienia istotnych spraw. W większych podmiotach grupa pracowników może zostać formalnie przypisana do wspierania IOD. Wreszcie są w Polsce organizacje, gdzie inspektor ma do dyspozycji wsparcie całej komórki organizacyjnej – co ważne – nie powinien nią kierować, z uwagi na możliwy konflikt interesów.
KARA ZA BRAK NIEZALEŻNOŚCI IOD
Belgijski organ nadzorczy nałożył karę na operatora telekomunikacyjnego w wysokości 50 000 euro za nieprawidłowości przy wyznaczeniu IOD oraz brak jego niezależności. To najwyższa dotychczas kara nałożona przez belgijskiego regulatora. Sytuacja stanowiła bowiem zagrożenie dla tajemnic służbowych oraz poufności danych osobowych pracowników. Belgijski regulator zaznaczył, że osoba pełniąca funkcję IOD nie może być jednocześnie odpowiedzialna za pełnienie innych ról w organizacji, które mogłyby się wiązać z czynnościami przetwarzania danych osobowych.
Sytuacja, jaka miała miejsce w Belgii, to poważny sygnał dla wszystkich administratorów, że organy nadzorcze poważnie podchodzą do kwestii prawidłowego funkcjonowania IOD-y.
Grupa Robocza art. 29 (zastąpiona przez EROD) podkreśliła w Wytycznych dotyczących inspektorów ochrony danych (WP 243), że niedopuszczalne jest jednoczesne piastowanie przez IOD stanowiska związanego z określaniem sposobu i celów przetwarzania danych.