AnalizyPoradniki

Co ADO powinien zapewnić IODowi? (cz. II)

04 paź 2022
0

W poprzednim artykule punktowaliśmy obowiązki Administratora Danych względem IOD. Wskazywaliśmy na praktycznych przykładach, na czym w rzeczywistości polega wsparcie Inspektora w wykonywaniu jego funkcji. Część drugą poświęcamy działaniom ADO, które nie powinny mieć miejsca w stosunku do osoby pełniącej tę funkcję.

Pamiętaj, że na naszym blogu znajdziesz również inne artykuły poświęcone funkcji IOD:

Czego ADO nie może oczekiwać od Inspektora Ochrony Danych?

RODO wskazuje również czynności, których administrator danych nie może wykonać wobec Inspektora Ochrony Danych. Poniżej ich lista z krótkim komentarzem.

Przekazywanie IODowi instrukcji

ADO nie może przekazywać Inspektorowi Ochrony Danych instrukcji dotyczących wykonywania jego zadań (np. instrukcji dotyczących wyników, jakie należy osiągnąć, sposobu rozpatrywania skargi lub tego, czy należy przeprowadzić konsultacje z organem nadzorczym).

Przykład praktyczny:

Podczas wielu lat naszej pracy, nie zdarzyła nam się jeszcze nigdy taka sytuacja. Jednak możemy sobie wyobrazić, że działający niezgodnie z prawem ADO, chce skorumpować swojego IOD, oczekując od niego przychylnej dla siebie opinii czy ukrycia czegoś w raporcie. Oczywiście takie działania są niezgodne z RODO i mogą zakończyć się nałożeniem kary na samego ADO.

Zobligowanie IODa do przyjęcia stanowiska

ADO nie może zobligować IOD do przyjęcia określonego stanowiska w sprawie przepisów dotyczących ochrony danych, np. ich określonej wykładni.

Przykład praktyczny:

Instrukcja co do konkretnego zachowania to bardzo rażący przypadek naruszenia zasad współpracy na linii ADO – IOD. Jednak w przypadku oczekiwania przyjęcia odmiennej wykładni przepisów, trudniej o zero – jedynkową ocenę. IOD ma prawo przyjmować różne obowiązujące powszechnie wykładnie i to nie ulega wątpliwości. Jeśli jednak IOD zawsze będzie przyjmować wykładnie najbardziej restrykcyjne i utrudniające działanie ADO, to współpraca między stronami może być trudna. Pamiętajmy o tym, że nie zawsze wykładnia UODO jest ostateczna. WSA czy NSA również wpływają na linię interpretacyjną, czasem ją zmieniając.

Odwołanie lub ukaranie

ADO nie może odwoływać lub karać Inspektora Ochrony Danych za wypełnianie swoich zadań.

Chodzi tu o kary w różnych formach, bezpośrednie albo pośrednie, np. brak albo opóźnienie awansu, utrudnienie rozwoju zawodowego, ograniczenie dostępu do korzyści oferowanych pozostałym pracownikom. Należy przy tym pamiętać, że zakaz odwoływania IOD dotyczy wykonywania jakichkolwiek jego zadań wynikających lub związanych z pełnieniem funkcji. Nie prowadzi to oczywiście do bezkarności Inspektora Ochrony Danych w przypadku wykonywania tych zadań w sposób nienależyty.

Wszelkie uchybienia, błędy czy też niepodjęcie wymaganych działań powinny być traktowane jako niewypełnienie zadań, co już może prowadzić do pociągnięcia inspektora ochrony danych do odpowiedzialności (np. niezorganizowanie szkolenia dla Zespołu, brak kontaktu z osobami, których dane dotyczą, etc.).

Przykład praktyczny:

Taki przypadek na szczęście nie był do tej pory naszym udziałem. Być może wynika to z tego, że zawsze dużą rolę przykładamy do wytłumaczenia ADO naszego stanowiska. Prezentujemy konkretne orzeczenia, wytyczne czy decyzje. Każdy ADO powinien liczyć się jednak z tym, że nie może zwolnić IOD za prezentowanie stanowisk odmiennych od tych przez siebie oczekiwanych. ADO powinien również pamiętać o tym, że nikt nie może nakazać mu działać zawsze zgodnie z wytycznymi IOD. Inspektor nie podejmuje decyzji biznesowych i to ADO wciąż decyduje o tym jak działa jego organizacja.

Delegowanie podległości

ADO nie może delegować podległości IOD na inną osobę lub jednostkę organizacyjną, niż najwyższe kierownictwo administratora.

O ile w niektórych przypadkach IOD może raportować o stanie ochrony danych do innych osób, to już nie może być im podległy. Art. 38 ust. 3 RODO wskazuje wprost na bezpośrednią podległość najwyższemu kierownictwu.

Przykład praktyczny:

O ile w niektórych przypadkach IOD może raportować o stanie ochrony danych do innych osób, to już nie może być im podległy. Art. 38 ust. 3 RODO wskazuje wprost na bezpośrednią podległość najwyższemu kierownictwu.

Osobista odpowiedzialność IOD

ADO nie może zobowiązać Inspektora Ochrony Danych do poniesienia osobistej odpowiedzialności za przypadki naruszenia przepisów RODO.

Przykład praktyczny:

Za ochronę danych osobowych odpowiada cała organizacja, a nie tylko IOD. Rolą IOD jest dochowanie najwyższej staranności w swojej pracy, ale już nie zagwarantowanie tego, że żadne naruszenia nie będą miały miejsca. IOD nie może zostać również obciążony karą finansową przez UODO.

Ograniczanie kontaktu z UODO

ADO nie może uniemożliwiać bądź ograniczać Inspektorowi Ochrony Danych kontaktu z Prezesem Urzędu Ochrony Danych Osobowych.

Przykład praktyczny:

Kontakt na linii IOD – UODO nie może być ograniczany. Jednym z zadań IOD jest współpraca z organem nadzorczym. Pamiętajmy jednak, że np. w przypadku naruszeń ochrony danych, to ADO dokonuje zgłoszenia. Działanie IOD w tym zakresie może mieć miejsce jedynie na podstawie pełnomocnictwa. Mieliśmy jednak do czynienia z sytuacją, kiedy to IOD zgłosił naruszenie do UODO bez zgody ADO. Co ciekawe odbyło się to również bez stosownego pełnomocnictwa.
e-learning RODO

Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.

Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?

Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Podsumowanie

W swojej praktyce spotykaliśmy się z sytuacjami, kiedy ADO odbierał IOD wpływ na organizację.  Nie zapewniał odpowiednich zasobów, nie respektował zaleceń. Spotykaliśmy również sytuacje, kiedy IOD tworzył bardzo niepraktyczne procedury, niepotrzebnie utrudniające działanie organizacji.

Dobrze funkcjonujący IOD, musi posiadać pewien poziom niezależności. Tylko faktycznie niezależny IOD, zapewni organizacji zgodność z RODO. Taki IOD może również dać cenną informację zwrotną o funkcjonowaniu organizacji. Niezależność daje Inspektorowi możliwość wpływania na organizację. Z kolei ADO nie musi zawsze tym wpływom ulegać. Jeśli z jakiegoś powodu, zdaniem ADO, zalecenia IOD nie są dla organizacji korzystne, budzą jego wątpliwości, to warto, żeby ktoś z zewnątrz ocenił pracę IOD. Ostatnie 27 pytanie w ramach akcji kontroli relacji ADO – IOD, brzmiało „Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?”.

Współpraca na linii IOD – ADO, to nieustanne ścieranie się ochrony prawa do prywatności (reprezentowanej przez IOD) z potrzebami operacyjnymi organizacji (reprezentowanej najczęściej przez Zarząd). Istnienie równowagi w tej relacji jest kluczem do sukcesu. Dla obu stron relacji.

 

Pobierz artykuł

Pobierz artykuł w PDF

,
Prawniczego fachu uczyłem się na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego. Przełomowy był dla mnie 2008 r., kiedy zdecydowałem, że jedynym obszarem mojej specjalizacji będzie ochrona danych osobowych. Dzisiaj moim najważniejszym celem jest budowa i udoskonalanie procedur RODO w Lex Artist. Pomagają mi w tym najlepsi fachowcy. Realizuję się jednak również poza firmą współpracując z największymi organizacjami branży ochrony danych - jestem jednym z założycieli Związku Firm Ochrony Danych Osobowych, gdzie pełnię funkcję prezesa (www.zfodo.org.pl). Doradzam, pełnię funkcję IOD, ale i edukuję. Jestem współautorem bloga poświęconego tematyce ochrony danych (blog-daneosobowe.pl) oraz licznych publikacji prawniczych. A co robię, kiedy wychodzę z biura? W złapaniu dystansu do spraw zawodowych pomaga mi moja największa pasja – kitesurfing. Kitem interesuję się… podobnie jak ochroną danych osobowych od 2008 r.

Powiązane artykuły

rodo faq
Poradniki
Jakie kluczowe obszary sprawdza UODO w czasie kontroli?
rodo faq
Artykuł miesiąca
Zgodność z RODO – jak efektywnie raportować ją Zarządom?
Ciekawostki
Zasady pracy zdalnej a RODO – poradnik

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

TOP 5 najpopularniejsze artykuły

obowiązek informacyjny RODO
Obowiązek informacyjny w RODO
414 Komentarze
05 kwi 2018
zgoda RODO
Zgoda na przetwarzanie danych osobowych według RODO
159 Komentarze
19 maj 2017
ochrona danych osobowych
Czym są dane osobowe wg RODO?
146 Komentarze
27 mar 2017
dane osobowe rodo
Umowa powierzenia przetwarzania danych osobowych według RODO
130 Komentarze
24 paź 2016
monitoring RODO
Monitoring wizyjny a ochrona danych osobowych
55 Komentarze
30 gru 2016

Najnowsze komentarze

jan pawul
29 lut 2024
Witam :-) Czy cytowanie treści z 'print screen' w książce lub na blogu czyli imiona i ...
Chrobok
27 lut 2024
Publikacja ta to naprawdę cenny wkład w dyskusję na temat omawianego zagadnienia! Autor...
Radek
20 lut 2024
Dużo się dowiedzieliśmy, dzięki!
Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 16 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!