iSecure logo
  • pl
  • en
    • Blog

    Autonomiczne podporządkowanie Inspektora Ochrony Danych

    Piotr Miśkiewicz
    Zmiany w ustawie od 7 marca 2011r.
    Kategorie

    Administrator danych osobowych, a więc podmiot, który ustala cele oraz sposoby przetwarzania danych osobowych ma obowiązek wyznaczenia Inspektora Ochrony Danych zasadniczo w trzech sytuacjach:

    1. kiedy przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
    2. gdy główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
    3. gdy główna działalność administratora polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

    W przypadkach innych, niż wskazane powyżej – administrator danych może wyznaczyć Inspektora Ochrony Danych (IOD), niemniej jednak jest to jego decyzja biznesowa. Od decyzji administratora zależy również, czy funkcję IOD będzie pełnił jego pracownik (tu: osoba zatrudniona na podstawie umowy o pracę), czy też skorzysta z usług zewnętrznego podmiotu (outsourcing IOD).

    Główne zadania Inspektora Ochrony Danych zostały określone w art. 39 RODO. Zgodnie z tym artykułem Inspektor:

    1. informuje administratora, a w tym jego pracowników o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów z zakresu ochrony danych osobowych,
    2. monitoruje przestrzeganie RODO oraz innych przepisów z zakresu ochrony danych osobowych,
    3. udziela zaleceń co do oceny skutków dla ochrony danych oraz monitoruje jej wykonanie,
    4. współpracuje z organem nadzorczym,
    5. pełni funkcję punktu kontaktowego dla organu nadzorczego.

    Należy jednak pamiętać, że powyższe obowiązki IOD nie wyczerpują w pełni jego zadań na gruncie ogólnego rozporządzenia o ochronie danych osobowych, zaś Inspektor Ochrony Danych pełni także funkcje doradcze, nadzorcze oraz komunikacyjne.

    Ogólne rozporządzenie o ochronie danych osobowych co do zasady zezwala, aby Inspektor Ochrony Danych pełnił również inne niż wskazane powyżej funkcje, stąd też możliwe jest łączenie stanowisk. Niemniej jednak, administrator danych osobowych musi zapewnić, aby łącznie jego zadania i obowiązki nie powodowały konfliktu interesów. Zgodnie z motywem 97 RODO – inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny. Gwarancjami niezależności IOD są następujące zasady:

    • zasada nieotrzymywania instrukcji dotyczących wykonywania zadań,
    • zakaz odwoływania lub karania za wypełnienie swoich zadań,
    • zasada podlegania najwyższemu kierownictwu.

    Aby nie spowodować konfliktu interesów, administrator danych może przyjąć rozwiązanie organizacyjne, polegające na tym, że w swoim wewnętrznym regulaminie wskaże, że IOD nie może zajmować stanowiska, w ramach którego brałby udział w decydowaniu o sposobie, środkach oraz celu przetwarzania danych. Inspektor nie powinien zatem brać udziału w podejmowaniu decyzji, które należą do kompetencji osób sprawujących kierownicze stanowiska. Drogą przykładu konflikt interesu może wystąpić w przypadku połączenia funkcji IOD z kierownikiem Działu HR.

    Administrator powinien zidentyfikować stanowiska, które kłócą się z funkcją wykonywania zadań IOD, jak również przygotować procedury, które uniemożliwią łączenie funkcji pozostających ze sobą w konflikcie.

    Wynikająca z RODO niezależność Inspektora Ochrony Danych zatrudnionego na podstawie umowy o pracę może w pewnych sytuacjach być sprzeczna z pracowniczym podporządkowaniem, rozumianym jako zobowiązanie się pracownika do wykonywania pracy określonego rodzaju na rzecz pracodawcy i pod jego kierownictwem oraz w miejscu i czasie wyznaczonym przez pracodawcę. W przypadku wykonywania funkcji kierowniczych lub swoiście niezależnych (jak funkcja Inspektora Ochrony Danych) musimy przyjąć konstrukcję podporządkowania autonomicznego. Zgodnie z linią orzeczniczą podporządkowanie autonomiczne polega na tym, że pracownik otrzymuje jedynie zadania do wykonania, samodzielnie zaś decyduje o sposobie ich realizacji.

    Zapewnienie Inspektorowi Ochrony Danych niezależności oraz nadanie mu odpowiedniej rangi, jest niezbędnym warunkiem dla realnego wykonywania funkcji IOD. Co więcej, jeżeli konkretny administrator nie zapewni Inspektorowi przymiotu niezależności, wówczas IOD nie będzie mógł prawidłowo działać, co w konsekwencji spowoduje, że jego funkcja będzie jedynie iluzoryczna oraz wizerunkowa.

    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Maria Lothamer

    Wykorzystywanie prywatnego komputera w celach służbowych – jak uregulować?

    Korzystanie z prywatnego komputera do celów służbowych jest dość powszechne, zwłaszcza w przypadku osób pracujących zdalnie lub prowadzących własne firmy (współpracujących na podstawie kontraktów B2B). Jest to praktyka, która pozwala pracownikom na używanie swojego prywatnego sprzętu do wykonywania obowiązków związanych z wykonywaniem obowiązków służbowych. Przedsiębiorca powinien tę kwestię uregulować w swojej organizacji i albo zakazać takiej praktyki, albo dopuścić, ale pod pewnymi warunkami.

    Czytaj więcej
    Marcin Stryszko

    Jak bardzo rekruter może sprawdzać kandydata? Testy kompetencji i psychometryczne – czy są zgodne z RODO?

    Prowadząc rekrutację, przyszłemu pracodawcy zależy na wyborze jak najlepszego kandydata, który będzie spełniał wszystkie wymogi stanowiskowe, a jego osobowość pozwoli mu idealnie wpasować się w środowisko pracy. Kandydat z kolei chce możliwie najlepiej zaprezentować się najpierw na papierze, wysyłając dokumenty aplikacyjne, a następnie potwierdzić swoje atuty w trakcie rozmów rekrutacyjnych. Jednak oceniając potencjalnego pracownika, w […]

    Czytaj więcej
    Nina Zacharska

    Jak realizować żądania podmiotów danych zgodnie z RODO? Praktyczne wskazówki

    W obliczu dynamicznego rozwoju technologii i cyfrowego przekształcenia współczesnego społeczeństwa, ochrona danych osobowych przyjęła nową, kluczową rolę. Ogólne rozporządzenie o ochronie danych (RODO), wprowadzone w maju 2018 roku, ustala ramy i zasady dotyczące gromadzenia, przetwarzania oraz przechowywania danych osobowych w Unii Europejskiej. Jednym z centralnych elementów RODO są prawa podmiotów danych do składania żądań dotyczących […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki
    UWAGA!
    Informujemy, że w ostatnim czasie pojawiły się przypadki podszywania się pod naszą firmę. Oszuści wykorzystują naszą nazwę, adres, NIP oraz logo, wysyłając fałszywe faktury z nieprawidłowym numerem rachunku bankowego.
    ⚠️ Prosimy o zachowanie szczególnej ostrożności i dokładne weryfikowanie danych nadawcy oraz numeru konta przed dokonaniem płatności.
    Prawdziwe faktury wystawiane przez iSecure zawsze zawierają numer konta: PL62 1140 2004 0000 3202 7863 9118 (dla płatności w PLN) bądź PL17 1140 2004 0000 3612 0768 4683 (dla płatności w EUR).
    W razie wątpliwości prosimy o kontakt pod adresem: kontakt@isecure.pl
    Dziękujemy za czujność i współpracę.