iSecure logo
Blog

Autonomiczne podporządkowanie Inspektora Ochrony Danych

Zmiany w ustawie od 7 marca 2011r.
Kategorie

Administrator danych osobowych, a więc podmiot, który ustala cele oraz sposoby przetwarzania danych osobowych ma obowiązek wyznaczenia Inspektora Ochrony Danych zasadniczo w trzech sytuacjach:

  1. kiedy przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. gdy główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  3. gdy główna działalność administratora polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

W przypadkach innych, niż wskazane powyżej – administrator danych może wyznaczyć Inspektora Ochrony Danych (IOD), niemniej jednak jest to jego decyzja biznesowa. Od decyzji administratora zależy również, czy funkcję IOD będzie pełnił jego pracownik (tu: osoba zatrudniona na podstawie umowy o pracę), czy też skorzysta z usług zewnętrznego podmiotu (outsourcing IOD).

Główne zadania Inspektora Ochrony Danych zostały określone w art. 39 RODO. Zgodnie z tym artykułem Inspektor:

  1. informuje administratora, a w tym jego pracowników o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów z zakresu ochrony danych osobowych,
  2. monitoruje przestrzeganie RODO oraz innych przepisów z zakresu ochrony danych osobowych,
  3. udziela zaleceń co do oceny skutków dla ochrony danych oraz monitoruje jej wykonanie,
  4. współpracuje z organem nadzorczym,
  5. pełni funkcję punktu kontaktowego dla organu nadzorczego.

Należy jednak pamiętać, że powyższe obowiązki IOD nie wyczerpują w pełni jego zadań na gruncie ogólnego rozporządzenia o ochronie danych osobowych, zaś Inspektor Ochrony Danych pełni także funkcje doradcze, nadzorcze oraz komunikacyjne.

Ogólne rozporządzenie o ochronie danych osobowych co do zasady zezwala, aby Inspektor Ochrony Danych pełnił również inne niż wskazane powyżej funkcje, stąd też możliwe jest łączenie stanowisk. Niemniej jednak, administrator danych osobowych musi zapewnić, aby łącznie jego zadania i obowiązki nie powodowały konfliktu interesów. Zgodnie z motywem 97 RODO – inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny. Gwarancjami niezależności IOD są następujące zasady:

  • zasada nieotrzymywania instrukcji dotyczących wykonywania zadań,
  • zakaz odwoływania lub karania za wypełnienie swoich zadań,
  • zasada podlegania najwyższemu kierownictwu.

Aby nie spowodować konfliktu interesów, administrator danych może przyjąć rozwiązanie organizacyjne, polegające na tym, że w swoim wewnętrznym regulaminie wskaże, że IOD nie może zajmować stanowiska, w ramach którego brałby udział w decydowaniu o sposobie, środkach oraz celu przetwarzania danych. Inspektor nie powinien zatem brać udziału w podejmowaniu decyzji, które należą do kompetencji osób sprawujących kierownicze stanowiska. Drogą przykładu konflikt interesu może wystąpić w przypadku połączenia funkcji IOD z kierownikiem Działu HR.

Administrator powinien zidentyfikować stanowiska, które kłócą się z funkcją wykonywania zadań IOD, jak również przygotować procedury, które uniemożliwią łączenie funkcji pozostających ze sobą w konflikcie.

Wynikająca z RODO niezależność Inspektora Ochrony Danych zatrudnionego na podstawie umowy o pracę może w pewnych sytuacjach być sprzeczna z pracowniczym podporządkowaniem, rozumianym jako zobowiązanie się pracownika do wykonywania pracy określonego rodzaju na rzecz pracodawcy i pod jego kierownictwem oraz w miejscu i czasie wyznaczonym przez pracodawcę. W przypadku wykonywania funkcji kierowniczych lub swoiście niezależnych (jak funkcja Inspektora Ochrony Danych) musimy przyjąć konstrukcję podporządkowania autonomicznego. Zgodnie z linią orzeczniczą podporządkowanie autonomiczne polega na tym, że pracownik otrzymuje jedynie zadania do wykonania, samodzielnie zaś decyduje o sposobie ich realizacji.

Zapewnienie Inspektorowi Ochrony Danych niezależności oraz nadanie mu odpowiedniej rangi, jest niezbędnym warunkiem dla realnego wykonywania funkcji IOD. Co więcej, jeżeli konkretny administrator nie zapewni Inspektorowi przymiotu niezależności, wówczas IOD nie będzie mógł prawidłowo działać, co w konsekwencji spowoduje, że jego funkcja będzie jedynie iluzoryczna oraz wizerunkowa.

Podobne wpisy:

RODO w HR – jak zapewnić rozliczalność?

Dział HR to miejsce w organizacji, w którym niezależnie od profilu działalności firmy przetwarzany jest szeroki zakres danych osobowych. Zapewnienie zgodności z RODO i innymi przepisami dotyczącymi ochrony danych osobowych w dużej mierze spoczywa więc właśnie na tej jednostce organizacyjnej firmy. Jak wynika z naszego doświadczenia, mimo że dział HR posiada zazwyczaj największą świadomość w […]

Regulamin konkursu – na co zwrócić uwagę?

Niemal każda firma od czasu do czasu zainteresowana jest przeprowadzeniem konkursu. Nie ma dwóch takich samych zabaw, bo w zależności od potrzeb i możliwości danego podmiotu, forma prowadzenia konkursu może się różnić. Najczęściej jednak opracowywane są regulaminy – innymi słowy mówiąc zasady prowadzenia konkursu. I to właśnie na tym aspekcie skupię się w tym krótkim […]

RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania

Jak „podejść” do przetwarzania danych osobowych w swojej organizacji?

Przetwarzanie danych osobowych jest nieodłączną częścią prowadzenia biznesu. Dane osobowe mogą znajdować się w każdym jego aspekcie. Nie ważne czy prowadzimy jednoosobową działalność gospodarczą czy kierujemy giełdową spółką. Niemal codziennie dokonujemy operacji przetwarzania, czyniąc to choćby nieświadomie – a to organizujemy rekrutację, a to wysyłamy maila do naszego kontrahenta. Jak więc podejść do przetwarzania danych […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki