Odpowiedzialność IOD, czyli za co IOD może odpowiadać

Kontynuując serię dotyczącą Inspektora Ochrony Danych, w dzisiejszym artykule postanowiliśmy skupić się na odpowiedzi na pytanie, które na pewno często zadają sobie osoby sprawujące tę funkcję. Brzmi ono – jaką odpowiedzialność ponosi IOD za pełnienie swojej funkcji? Przyjrzymy się przepisom RODO oraz innym podstawom odpowiedzialności.

Zapraszamy do zapoznania się z naszą analizą, jak kształtuje się odpowiedzialność IOD biorąc pod uwagę różne formy współpracy.

Czy RODO w jakimiś stopniu określa odpowiedzialność IOD?

Na gruncie RODO, nie mamy regulacji wskazujących na ponoszenie przez inspektora odpowiedzialności za działania związane z wykonywaniem jego obowiązków. IOD nie ponosi więc osobistej odpowiedzialności za przypadki naruszenia przepisów dotyczących ochrony danych osobowych.

Odpowiedzialność w tym zakresie spoczywa na ADO, w tym np. za brak klauzul realizujących obowiązek informacyjny, brak umowy powierzenia. Dodatkowo należy zauważyć, że administrator nie może wpływać na decyzje IOD poprzez ukaranie go lub odwołanie z pełnionej funkcji. Mało tego, RODO wskazuje, że administrator lub podmiot przetwarzający zobowiązani są między innymi do:

  • wspierania IOD,
  • zapewnienia mu zasobów niezbędnych do wykonywania zadań,
  • nie udzielania mu instrukcji w zakresie wykonywanych zadań.
Art. 38 RODO 2. Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej. 3. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Należy mieć jednak na uwadze, że brak odpowiedzialności na gruncie RODO nie ma charakteru bezwzględnego. Osoba sprawująca tę funkcję będzie bowiem ponosi innego rodzaju odpowiedzialność. W tym za nie wykonanie lub nienależyte wykonanie swoich obowiązków lub za spowodowanie szkody. Odpowiedzialność więc może on ponieść na zasadach ogólnych.

Przepisy uodo, a odpowiedzialność IOD?

W Ustawie o ochronie danych osobowych, tak jak w RODO, nie mamy wprost przepisów, które wskazywałby na pociągnięcie do odpowiedzialności IOD. Uodo przewiduje natomiast dwa rodzaje przestępstw za naruszenie przepisów.

Art. 107 UODO 1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
Art. 108 UODO 1. Kto udaremnia lub utrudnia kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

Oba przestępstwa mogą być popełnione jedynie z winy umyślnej.

Jak wskazują przedstawiciele doktryny, inspektor może być pociągnięty do odpowiedzialności w przypadku działań opisanych w art. 108 UODO. IOD poprzez działania mające na celu udaremnienie lub utrudnienie kontrolującemu prowadzenie kontroli naraża się na sankcje karne w postaci kary grzywny, kary ograniczenia wolności albo pozbawienia wolności do lat dwóch.

Przykładem takiego zachowania, które może skutkować poniesieniem odpowiedzialności jest brak współpracy IOD podczas kontroli, np. nie wpuszczenie inspektora Urzędu Ochrony Danych Osobowych na kontrolę, czy brak odpowiedzi na pisma kierowane przez organ do IOD.

IOD jako pracownik administratora

Pierwszy z omawianych zakresów odpowiedzialności dotyczył będzie ściśle stosunku pracy, który łączyć może administratora i IOD. Odpowiedzialność inspektora, który jest jednocześnie pracownikiem zatrudnionym w oparciu o umowę o pracę została ukształtowana na gruncie przepisów Kodeksu Pracy. Jako pracownik, IOD podlega pod dwa podstawowe rodzaje odpowiedzialności.

Odpowiedzialność porządkowa Inspektora Ochrony Danych

Określona została ona w art. 108 – 113 Kodeksu pracy. Dotyczy oczywiście każdej osoby zatrudnionej w oparciu o umowę o pracę.  Warto wskazać, że podstawowym obowiązkiem pracownika jest staranne oraz sumienne wykonywanie swoich obowiązków oraz stosowanie się do poleceń przełożonego, o ile nie naruszają one przepisów prawa.

Pracownicy są zobowiązani między innymi do przestrzegania czasu pracy, regulaminu, zasad bezpieczeństwa i higieny pracy, przepisów przeciwpożarowych, sposobu potwierdzania i obecności oraz innych zasad współżycia społecznego w zakładzie pracy. Tego rodzaju odpowiedzialność polega na tym, że pracownika mogą dotknąć konsekwencje  zarówno niemajątkowe, jak i majątkowych.

W zakresie tym pracodawca może nałożyć na niego karę w postaci:

  • nagany,
  • upomnienia,
  • karę pieniężną.

Kary porządkowe stanowią katalog zamknięty, więc pracodawca nie może zastosować innych środków represyjnych w stosunku do pracownika. Zastosowanie innych kar, niż te przewidziane w Kodeksie pracy stanowi wykroczenie przeciwko prawom pracownika. Co zostało zagrożone karą grzywy.

Odpowiedzialność materialna IOD

Została ona określona w art. 114 – 122 Kodeksu Pracy. Kluczowa jednak do tego, aby zrozumieć na czym w istocie polega odpowiedzialność materialna jest analiza poniższych przepisów:

Art. 114 Kodeksu Pracy Pracownik, który wskutek niewykonania lub nienależytego wykonania obowiązków pracowniczych ze swej winy wyrządził pracodawcy szkodę, ponosi odpowiedzialność materialną według zasad określonych w przepisach niniejszego rozdziału.
Art. 115 Kodeksu Pracy Pracownik ponosi odpowiedzialność za szkodę w granicach rzeczywistej straty poniesionej przez pracodawcę i tylko za normalne następstwa działania lub zaniechania, z którego wynikła szkoda.

W zakresie odpowiedzialności materialnej, istotne jest zrozumienie czym jest wina, jakie mamy jej rodzaje, kiedy może zaistnieć oraz czym jest szkoda. Warto zaznaczyć, że odpowiedzialność ta powstaje z chwilą nawiązania stosunku pracy. Do jej powstania nie ma potrzeby zawierania dodatkowej umowy z pracownikiem.

Jak wskazano powyżej odpowiedzialność materialna za szkody wyrządzone pracodawcy, dotyczy jedynie przypadków, gdy szkoda jest następstwem działania lub zaniechania pracownika podczas wykonywania przez niego swoich obowiązków wskazanych w umowie o pracę.

Precyzyjność umowy o pracę z Inspektorem

Istotnym jest tu więc szczegółowe wskazanie w umowie za co dokładnie odpowiadać ma Inspektor Ochrony Danych. W tym miejscu warto zauważyć, że zadania IOD wskazane w art. 37 RODO mają charakter bardziej nadzorczy, kontrolny. W większości przypadków nie będą więc one wyczerpywały tego, za co w rzeczywistości odpowiada osoba zajmująca to stanowisko.

Jaka wina IOD?

Ważnym aspektem jest w tym przypadku również to, że Inspektor Ochrony Danych odpowiada wobec pracodawcy na zasadzie winy. W miejscu tym należy zaznaczyć, że możemy mieć do czynienia z winą umyślną i nieumyślną. W doktrynie prawa karnego wina umyślna została określona jako wina w zamiarze bezpośrednim, kiedy to sprawca chce wyrządzić szkodę.

Natomiast wina w zamiarze ewentualnym, kiedy to sprawca co prawda nie chce wyrządzić szkody, ale mając świadomość możliwości jej wyrządzenia zachowuje się w sposób, który może do tego doprowadzić i godzi się z ewentualnymi skutkami.

Natomiast wina nieumyślna opisywana jest jako lekkomyślność. Czyli sprawca liczy się z tym, że jego zachowanie może spowodować szkodę, lecz bezpodstawnie liczy że do wyrządzenia szkody nie dojdzie. Nieumyślność to także rażące niedbalstwo. Czyli sytuacja kiedy sprawca nie przewidywał możliwości wyrządzenia szkody, chociaż mógł i powinien był to przewidzieć.

Rozróżnienie rodzaju winy jest o tyle istotne, że wpływa ono na wysokość materialnej odpowiedzialności IOD. W przypadku nieumyślnego spowodowania szkody, pułap odpowiedzialności jaką może ponieść pracownik  nie może być wyższy niż wysokość trzymiesięcznego wynagrodzenia za pracę.

Ograniczenie odpowiedzialności materialnej nie dotyczy natomiast sytuacji, gdy wina była umyślna. W takim przypadku IOD zobowiązany jest do naprawienia szkody w pełnej wysokości zgodnie z przepisami Kodeksu cywilnego o czym będzie mowa poniżej.

Szkoda po stronie pracodawcy

Kolejnym elementem jest wystąpienie szkody po stronie pracodawcy. Szkoda to „uszczerbek w majątku pracodawcy, który by nie powstał, gdyby pracownik należycie wykonywał swoje obowiązki. Rozmiar tego uszczerbku jest wyznaczany przez porównanie aktualnego stanu majątkowego pracodawcy, z tym jaki istniałby, gdyby pracownik nie naruszył swoich obowiązków”.

Kluczowym jest również w tym zakresie wykazanie związku przyczynowo skutkowego. Należy udowodnić, że pomiędzy niewykonaniem lub niewłaściwym wykonaniem obowiązków pracowniczych przez IOD istnieje związek, stanowiący efekt jego zaniechania czy działania.

Podsumowując, aby pociągnąć IOD do odpowiedzialności muszą zaistnieć trzy czynniki:

  1. Wina (umyślna/nieumyślna),
  2. Szkoda, oraz
  3. Związek przyczynowy.

Przykładem takiego zachowania, może być nieopracowanie wymaganych obowiązków informacyjnych, za które IOD jest odpowiedzialny zgodnie z postanowieniami umowy o pracę. Co skutkowało poniesieniem przez administratora odpowiedzialności finansowej zgodnie z postanowieniami art. 83 ust. 5 lit. b) RODO.

kurs IOD

Chcesz się dowiedzieć jak zostać Super-IOD?

Wiedza przekazywana w przystępny sposób przez wykładowców – praktyków (możesz spotkać ich artykuły na naszym blogu ;), kameralne grupy szkoleniowe, praktyczne wzory i szablony dokumentów i procedur, egzamin zakończony wydaniem certyfikatu… W ramach naszego 3-dniowego kursu otrzymasz to i znacznie więcej!

Sprawdź terminy:

Sprawdź

Inspektor świadczący usługi na postawie innej umowy

Jak wskazano o art. 37 ust. 6 RODO, IOD może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.

Odpowiedzialność kontraktowa IOD

IOD może więc współpracować z administratorem na postawie stosunku innego niż umowa o pracę. W takim przypadku, ponosić on będzie odpowiedzialność na zasadach ogólnych, tak zwaną odpowiedzialność kontraktową.

Odpowiedzialność ta uregulowana została w art. 471 i następnych Kodeksu Cywilnego. Warto zwrócić uwagę, że zgodnie z postanowieniami art. 750 Kodeksu Cywilnego, do umów o świadczenie usług stosuje się odpowiednio przepisy o zleceniu. Ten rodzaj odpowiedzialności wiąże się z poniesioną przez jedną stronę szkodą.

Z drugiej strony, z niewykonaniem lub nienależytym wykonaniem zobowiązania, o którym mowa jest w umowie łączącej strony. Odpowiedzialność można także ponieść w przypadku niedochowania należytej staranności przy realizowaniu zleconych zadań.

Inspektor występował będzie w takim przypadku jako dłużnik, który wyrównać musi szkodę, którą spowodowało jego działanie lub zaniechanie. W przypadku tego rodzaju odpowiedzialności musi wystąpić szkoda na majątku mająca związek z niewykonaniem lub nienależytym wykonaniem umowy łączącej IOD z administratorem.

Odpowiedzialność deliktowa IOD

Analizując przepisy Kodeksu Cywilnego, trzeba zwróci również uwagę na odpowiedzialność deliktową – wyrządzoną czynem niedozwolonym. Jeśli Inspektor Ochrony Danych dopuści się ze swojej winy czynu niedozwolonego (określonego w Kodeksie Cywilnym lub innych przepisach), zobowiązany jest on do tego aby wyrównać uszczerbek w postaci szkody lub utraconej korzyści jaką poniósł administrator.

Odpowiedzialność wynikająca z zapisów umowy

Warto również zaznaczyć, że w obrocie prawnym mamy do czynienie ze swobodą umów. W zakresie odpowiedzialności można więc do umowy o współpracę dodać zapisy dotyczące odpowiedzialności, również takie które mogę ją w pewnym stopniu ograniczyć.

Przykładem zachowania może być niewłaściwe opracowanie przez IOD umowy powierzenie. Skutkiem czego ADO może zostać ukarany karą finansową na postawie art. 83 ust. 4 lit. a RODO.

Nawiązywanie współpracy IOD – administrator

Podczas nawiązywania współpracy bardzo istotnym jest to, aby ściśle określić za co IOD będzie tak naprawdę odpowiadał. I jakie będą jego zadania. Biorąc jedynie pod uwagę przepisy RODO, działalność IOD opisać można jako monitorowanie, informowanie i nadzorowanie działań z zakresu ochrony danych osobowych.

W praktyce wygląda to jednak zgoła inaczej. Inspektor zajmuje się niemal wszystkimi aspektami, które w RODO przypisane zostały administratorowi. Do jego klasycznych zadań należą między innymi tworzenie polityk czy też prowadzenie rejestrów. Pamiętać należy przy tym, że im więcej obowiązków i zadań zostanie wpisanych w umowę tym szerszy będzie zakres odpowiedzialność.

Podsumowanie

Niezależnie od tego na jakiej podstawie prawnej współpracujemy jako IOD, nie jesteśmy zwolnieni od odpowiedzialności. Analizując jedynie przepisy RODO można wysunąć taki właśnie wniosek. Brak jest tam bowiem przepisów dotyczących odpowiedzialności IOD.  Jednak brak regulacji w RODO nie równa się brakowi odpowiedzialności.

 

Pobierz artykuł

Pobierz artykuł w PDF

Powiązane artykuły

rodo faq
Jakie kluczowe obszary sprawdza UODO w czasie kontroli?
rodo faq
Zgodność z RODO – jak efektywnie raportować ją Zarządom?
Zasady pracy zdalnej a RODO – poradnik

2 Odpowiedzi

  1. Karolina

    witam, mam pytanie jako młodziutki IOD jak przygotować upoważnienie do przetwarzania danych dla praktykantów pracy socjalnej? Czy wogóle powinni takie mieć?

    1. Lex Artist

      Dzień dobry, jeśli mają dostęp do danych osobowych to będzie konieczne nadanie upoważnienia w ustalonej w organizacji formie.Pozdrawiamy!

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO