iSecure logo
Blog

Autonomiczne podporządkowanie Inspektora Ochrony Danych

Piotr Miśkiewicz
Zmiany w ustawie od 7 marca 2011r.
Kategorie

Administrator danych osobowych, a więc podmiot, który ustala cele oraz sposoby przetwarzania danych osobowych ma obowiązek wyznaczenia Inspektora Ochrony Danych zasadniczo w trzech sytuacjach:

  1. kiedy przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. gdy główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  3. gdy główna działalność administratora polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

W przypadkach innych, niż wskazane powyżej – administrator danych może wyznaczyć Inspektora Ochrony Danych (IOD), niemniej jednak jest to jego decyzja biznesowa. Od decyzji administratora zależy również, czy funkcję IOD będzie pełnił jego pracownik (tu: osoba zatrudniona na podstawie umowy o pracę), czy też skorzysta z usług zewnętrznego podmiotu (outsourcing IOD).

Główne zadania Inspektora Ochrony Danych zostały określone w art. 39 RODO. Zgodnie z tym artykułem Inspektor:

  1. informuje administratora, a w tym jego pracowników o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów z zakresu ochrony danych osobowych,
  2. monitoruje przestrzeganie RODO oraz innych przepisów z zakresu ochrony danych osobowych,
  3. udziela zaleceń co do oceny skutków dla ochrony danych oraz monitoruje jej wykonanie,
  4. współpracuje z organem nadzorczym,
  5. pełni funkcję punktu kontaktowego dla organu nadzorczego.

Należy jednak pamiętać, że powyższe obowiązki IOD nie wyczerpują w pełni jego zadań na gruncie ogólnego rozporządzenia o ochronie danych osobowych, zaś Inspektor Ochrony Danych pełni także funkcje doradcze, nadzorcze oraz komunikacyjne.

Ogólne rozporządzenie o ochronie danych osobowych co do zasady zezwala, aby Inspektor Ochrony Danych pełnił również inne niż wskazane powyżej funkcje, stąd też możliwe jest łączenie stanowisk. Niemniej jednak, administrator danych osobowych musi zapewnić, aby łącznie jego zadania i obowiązki nie powodowały konfliktu interesów. Zgodnie z motywem 97 RODO – inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny. Gwarancjami niezależności IOD są następujące zasady:

  • zasada nieotrzymywania instrukcji dotyczących wykonywania zadań,
  • zakaz odwoływania lub karania za wypełnienie swoich zadań,
  • zasada podlegania najwyższemu kierownictwu.

Aby nie spowodować konfliktu interesów, administrator danych może przyjąć rozwiązanie organizacyjne, polegające na tym, że w swoim wewnętrznym regulaminie wskaże, że IOD nie może zajmować stanowiska, w ramach którego brałby udział w decydowaniu o sposobie, środkach oraz celu przetwarzania danych. Inspektor nie powinien zatem brać udziału w podejmowaniu decyzji, które należą do kompetencji osób sprawujących kierownicze stanowiska. Drogą przykładu konflikt interesu może wystąpić w przypadku połączenia funkcji IOD z kierownikiem Działu HR.

Administrator powinien zidentyfikować stanowiska, które kłócą się z funkcją wykonywania zadań IOD, jak również przygotować procedury, które uniemożliwią łączenie funkcji pozostających ze sobą w konflikcie.

Wynikająca z RODO niezależność Inspektora Ochrony Danych zatrudnionego na podstawie umowy o pracę może w pewnych sytuacjach być sprzeczna z pracowniczym podporządkowaniem, rozumianym jako zobowiązanie się pracownika do wykonywania pracy określonego rodzaju na rzecz pracodawcy i pod jego kierownictwem oraz w miejscu i czasie wyznaczonym przez pracodawcę. W przypadku wykonywania funkcji kierowniczych lub swoiście niezależnych (jak funkcja Inspektora Ochrony Danych) musimy przyjąć konstrukcję podporządkowania autonomicznego. Zgodnie z linią orzeczniczą podporządkowanie autonomiczne polega na tym, że pracownik otrzymuje jedynie zadania do wykonania, samodzielnie zaś decyduje o sposobie ich realizacji.

Zapewnienie Inspektorowi Ochrony Danych niezależności oraz nadanie mu odpowiedniej rangi, jest niezbędnym warunkiem dla realnego wykonywania funkcji IOD. Co więcej, jeżeli konkretny administrator nie zapewni Inspektorowi przymiotu niezależności, wówczas IOD nie będzie mógł prawidłowo działać, co w konsekwencji spowoduje, że jego funkcja będzie jedynie iluzoryczna oraz wizerunkowa.

Podobne wpisy:

Dane osobowe dzieci w internecie
Olga Jaworowska

Zgoda dziecka na przetwarzanie danych osobowych

Publikacja mojego artykułu przypada na pierwszy dzień kwietnia, który w łacinie to nie inaczej, jak prima (dies) Aprilis. Pomimo tej okoliczności, dzisiaj nie o żartach, a o poważnych i interesujących tematach, jak na blog iSecure przystoi, a mianowicie – o zgodzie dzieci na przetwarzanie ich danych osobowych. Zaznaczam na wstępie, że niniejszy artykuł tylko o […]

Olga Jaworowska

Formy wyrażenia zgody na przetwarzanie danych osobowych

Celem jaki przyświecał Parlamentowi Europejskiemu i Radzie Unii Europejskiej podczas uchwalania ogólnego rozporządzenia o ochronie danych, oprócz wzmacniania i konwergencji gospodarek na rynku wewnętrznym, było także takie zorganizowanie przetwarzania danych osobowych, aby służyło ludzkości (motyw 4 RODO). RODO to nie tylko obowiązki i obostrzenia w zakresie ochrony danych osobowych dla administratorów danych. RODO wprowadziło także wiele […]

Dokładnie przeczytaj regulamin. Nie akceptuj, jeśli nie rozumiesz
Aleksandra Eluszkiewicz

Zmiana celu przetwarzania danych osobowych na gruncie RODO

Przetwarzanie danych osobowych na gruncie RODO rządzi się swoimi prawami i powinno odbywać się w oparciu o zasady w nim określone. Jedną z naczelnych zasad jest zasada ograniczenia celu, według której dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (art. 5 ust. […]