Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

Co ADO powinien zapewnić IODowi? (cz. II)

W poprzednim artykule punktowaliśmy obowiązki Administratora Danych względem IOD. Wskazywaliśmy na praktycznych przykładach, na czym w rzeczywistości polega wsparcie Inspektora w wykonywaniu jego funkcji. Część drugą poświęcamy działaniom ADO, które nie powinny mieć miejsca w stosunku do osoby pełniącej tę funkcję.

Czego ADO nie może oczekiwać od Inspektora Ochrony Danych?

RODO wskazuje również czynności, których administrator danych nie może wykonać wobec Inspektora Ochrony Danych. Poniżej ich lista z krótkim komentarzem.

Przekazywanie IODowi instrukcji

ADO nie może przekazywać Inspektorowi Ochrony Danych instrukcji dotyczących wykonywania jego zadań (np. instrukcji dotyczących wyników, jakie należy osiągnąć, sposobu rozpatrywania skargi lub tego, czy należy przeprowadzić konsultacje z organem nadzorczym).

Przykład praktyczny:

Podczas wielu lat naszej pracy, nie zdarzyła nam się jeszcze nigdy taka sytuacja. Jednak możemy sobie wyobrazić, że działający niezgodnie z prawem ADO, chce skorumpować swojego IOD, oczekując od niego przychylnej dla siebie opinii czy ukrycia czegoś w raporcie. Oczywiście takie działania są niezgodne z RODO i mogą zakończyć się nałożeniem kary na samego ADO.

Zobligowanie IODa do przyjęcia stanowiska

ADO nie może zobligować IOD do przyjęcia określonego stanowiska w sprawie przepisów dotyczących ochrony danych, np. ich określonej wykładni.

Przykład praktyczny:

Instrukcja co do konkretnego zachowania to bardzo rażący przypadek naruszenia zasad współpracy na linii ADO – IOD. Jednak w przypadku oczekiwania przyjęcia odmiennej wykładni przepisów, trudniej o zero – jedynkową ocenę. IOD ma prawo przyjmować różne obowiązujące powszechnie wykładnie i to nie ulega wątpliwości. Jeśli jednak IOD zawsze będzie przyjmować wykładnie najbardziej restrykcyjne i utrudniające działanie ADO, to współpraca między stronami może być trudna. Pamiętajmy o tym, że nie zawsze wykładnia UODO jest ostateczna. WSA czy NSA również wpływają na linię interpretacyjną, czasem ją zmieniając.

Odwołanie lub ukaranie

ADO nie może odwoływać lub karać Inspektora Ochrony Danych za wypełnianie swoich zadań.

Chodzi tu o kary w różnych formach, bezpośrednie albo pośrednie, np. brak albo opóźnienie awansu, utrudnienie rozwoju zawodowego, ograniczenie dostępu do korzyści oferowanych pozostałym pracownikom. Należy przy tym pamiętać, że zakaz odwoływania IOD dotyczy wykonywania jakichkolwiek jego zadań wynikających lub związanych z pełnieniem funkcji. Nie prowadzi to oczywiście do bezkarności Inspektora Ochrony Danych w przypadku wykonywania tych zadań w sposób nienależyty.

Wszelkie uchybienia, błędy czy też niepodjęcie wymaganych działań powinny być traktowane jako niewypełnienie zadań, co już może prowadzić do pociągnięcia inspektora ochrony danych do odpowiedzialności (np. niezorganizowanie szkolenia dla Zespołu, brak kontaktu z osobami, których dane dotyczą, etc.).

Przykład praktyczny:

Taki przypadek na szczęście nie był do tej pory naszym udziałem. Być może wynika to z tego, że zawsze dużą rolę przykładamy do wytłumaczenia ADO naszego stanowiska. Prezentujemy konkretne orzeczenia, wytyczne czy decyzje. Każdy ADO powinien liczyć się jednak z tym, że nie może zwolnić IOD za prezentowanie stanowisk odmiennych od tych przez siebie oczekiwanych. ADO powinien również pamiętać o tym, że nikt nie może nakazać mu działać zawsze zgodnie z wytycznymi IOD. Inspektor nie podejmuje decyzji biznesowych i to ADO wciąż decyduje o tym jak działa jego organizacja.

Delegowanie podległości

ADO nie może delegować podległości IOD na inną osobę lub jednostkę organizacyjną, niż najwyższe kierownictwo administratora.

O ile w niektórych przypadkach IOD może raportować o stanie ochrony danych do innych osób, to już nie może być im podległy. Art. 38 ust. 3 RODO wskazuje wprost na bezpośrednią podległość najwyższemu kierownictwu.

Przykład praktyczny:

O ile w niektórych przypadkach IOD może raportować o stanie ochrony danych do innych osób, to już nie może być im podległy. Art. 38 ust. 3 RODO wskazuje wprost na bezpośrednią podległość najwyższemu kierownictwu.

Osobista odpowiedzialność IOD

ADO nie może zobowiązać Inspektora Ochrony Danych do poniesienia osobistej odpowiedzialności za przypadki naruszenia przepisów RODO.

Przykład praktyczny:

Za ochronę danych osobowych odpowiada cała organizacja, a nie tylko IOD. Rolą IOD jest dochowanie najwyższej staranności w swojej pracy, ale już nie zagwarantowanie tego, że żadne naruszenia nie będą miały miejsca. IOD nie może zostać również obciążony karą finansową przez UODO.

Ograniczanie kontaktu z UODO

ADO nie może uniemożliwiać bądź ograniczać Inspektorowi Ochrony Danych kontaktu z Prezesem Urzędu Ochrony Danych Osobowych.

Przykład praktyczny:

Kontakt na linii IOD – UODO nie może być ograniczany. Jednym z zadań IOD jest współpraca z organem nadzorczym. Pamiętajmy jednak, że np. w przypadku naruszeń ochrony danych, to ADO dokonuje zgłoszenia. Działanie IOD w tym zakresie może mieć miejsce jedynie na podstawie pełnomocnictwa. Mieliśmy jednak do czynienia z sytuacją, kiedy to IOD zgłosił naruszenie do UODO bez zgody ADO. Co ciekawe odbyło się to również bez stosownego pełnomocnictwa.
e-learning RODO

Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.

Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?

Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Podsumowanie

W swojej praktyce spotykaliśmy się z sytuacjami, kiedy ADO odbierał IOD wpływ na organizację.  Nie zapewniał odpowiednich zasobów, nie respektował zaleceń. Spotykaliśmy również sytuacje, kiedy IOD tworzył bardzo niepraktyczne procedury, niepotrzebnie utrudniające działanie organizacji.

Dobrze funkcjonujący IOD, musi posiadać pewien poziom niezależności. Tylko faktycznie niezależny IOD, zapewni organizacji zgodność z RODO. Taki IOD może również dać cenną informację zwrotną o funkcjonowaniu organizacji. Niezależność daje Inspektorowi możliwość wpływania na organizację. Z kolei ADO nie musi zawsze tym wpływom ulegać. Jeśli z jakiegoś powodu, zdaniem ADO, zalecenia IOD nie są dla organizacji korzystne, budzą jego wątpliwości, to warto, żeby ktoś z zewnątrz ocenił pracę IOD. Ostatnie 27 pytanie w ramach akcji kontroli relacji ADO – IOD, brzmiało „Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?”.

Współpraca na linii IOD – ADO, to nieustanne ścieranie się ochrony prawa do prywatności (reprezentowanej przez IOD) z potrzebami operacyjnymi organizacji (reprezentowanej najczęściej przez Zarząd). Istnienie równowagi w tej relacji jest kluczem do sukcesu. Dla obu stron relacji.

 

Pobierz artykuł

Pobierz artykuł w PDF

Powiązane artykuły

Co ADO powinien zapewnić IODowi? (cz. I)
Firmy kurierskie a RODO
Kiedy przeprowadzić DPIA, czyli kilka słów o preDPIA

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO