iSecure logo
Blog

Autonomiczne podporządkowanie Inspektora Ochrony Danych

Zmiany w ustawie od 7 marca 2011r.
Kategorie

Administrator danych osobowych, a więc podmiot, który ustala cele oraz sposoby przetwarzania danych osobowych ma obowiązek wyznaczenia Inspektora Ochrony Danych zasadniczo w trzech sytuacjach:

  1. kiedy przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. gdy główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  3. gdy główna działalność administratora polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

W przypadkach innych, niż wskazane powyżej – administrator danych może wyznaczyć Inspektora Ochrony Danych (IOD), niemniej jednak jest to jego decyzja biznesowa. Od decyzji administratora zależy również, czy funkcję IOD będzie pełnił jego pracownik (tu: osoba zatrudniona na podstawie umowy o pracę), czy też skorzysta z usług zewnętrznego podmiotu (outsourcing IOD).

Główne zadania Inspektora Ochrony Danych zostały określone w art. 39 RODO. Zgodnie z tym artykułem Inspektor:

  1. informuje administratora, a w tym jego pracowników o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów z zakresu ochrony danych osobowych,
  2. monitoruje przestrzeganie RODO oraz innych przepisów z zakresu ochrony danych osobowych,
  3. udziela zaleceń co do oceny skutków dla ochrony danych oraz monitoruje jej wykonanie,
  4. współpracuje z organem nadzorczym,
  5. pełni funkcję punktu kontaktowego dla organu nadzorczego.

Należy jednak pamiętać, że powyższe obowiązki IOD nie wyczerpują w pełni jego zadań na gruncie ogólnego rozporządzenia o ochronie danych osobowych, zaś Inspektor Ochrony Danych pełni także funkcje doradcze, nadzorcze oraz komunikacyjne.

Ogólne rozporządzenie o ochronie danych osobowych co do zasady zezwala, aby Inspektor Ochrony Danych pełnił również inne niż wskazane powyżej funkcje, stąd też możliwe jest łączenie stanowisk. Niemniej jednak, administrator danych osobowych musi zapewnić, aby łącznie jego zadania i obowiązki nie powodowały konfliktu interesów. Zgodnie z motywem 97 RODO – inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny. Gwarancjami niezależności IOD są następujące zasady:

  • zasada nieotrzymywania instrukcji dotyczących wykonywania zadań,
  • zakaz odwoływania lub karania za wypełnienie swoich zadań,
  • zasada podlegania najwyższemu kierownictwu.

Aby nie spowodować konfliktu interesów, administrator danych może przyjąć rozwiązanie organizacyjne, polegające na tym, że w swoim wewnętrznym regulaminie wskaże, że IOD nie może zajmować stanowiska, w ramach którego brałby udział w decydowaniu o sposobie, środkach oraz celu przetwarzania danych. Inspektor nie powinien zatem brać udziału w podejmowaniu decyzji, które należą do kompetencji osób sprawujących kierownicze stanowiska. Drogą przykładu konflikt interesu może wystąpić w przypadku połączenia funkcji IOD z kierownikiem Działu HR.

Administrator powinien zidentyfikować stanowiska, które kłócą się z funkcją wykonywania zadań IOD, jak również przygotować procedury, które uniemożliwią łączenie funkcji pozostających ze sobą w konflikcie.

Wynikająca z RODO niezależność Inspektora Ochrony Danych zatrudnionego na podstawie umowy o pracę może w pewnych sytuacjach być sprzeczna z pracowniczym podporządkowaniem, rozumianym jako zobowiązanie się pracownika do wykonywania pracy określonego rodzaju na rzecz pracodawcy i pod jego kierownictwem oraz w miejscu i czasie wyznaczonym przez pracodawcę. W przypadku wykonywania funkcji kierowniczych lub swoiście niezależnych (jak funkcja Inspektora Ochrony Danych) musimy przyjąć konstrukcję podporządkowania autonomicznego. Zgodnie z linią orzeczniczą podporządkowanie autonomiczne polega na tym, że pracownik otrzymuje jedynie zadania do wykonania, samodzielnie zaś decyduje o sposobie ich realizacji.

Zapewnienie Inspektorowi Ochrony Danych niezależności oraz nadanie mu odpowiedniej rangi, jest niezbędnym warunkiem dla realnego wykonywania funkcji IOD. Co więcej, jeżeli konkretny administrator nie zapewni Inspektorowi przymiotu niezależności, wówczas IOD nie będzie mógł prawidłowo działać, co w konsekwencji spowoduje, że jego funkcja będzie jedynie iluzoryczna oraz wizerunkowa.

Podobne wpisy:

Ocena naruszenia przy błędnie wysłanym PIT – case study

Czas wysyłania PIT-11 do pracowników to szczególnie gorący okres dla inspektorów ochrony danych. Przesyłek jest mnóstwo, nic zatem dziwnego, że niektóre z nich trafiają do niewłaściwych osób. A to potencjalnie oznacza naruszenie ochrony danych osobowych, które należy przeanalizować pod kątem naruszenia praw i wolności osoby, która została takim incydentem objęta. Z pomocą przychodzi nam na […]

Dostosowanie przedsiębiorców do RODO okiem specjalisty

Czy po dwóch latach od wejścia w życie RODO przedsiębiorcy dostosowali swoje działania do nowych przepisów o ochronie danych osobowych? Jak wynika z ankiety przeprowadzonej przez GDPR Community, pewność większości specjalistów co wdrożenia RODO w organizacjach wynosi mniej niż 50%. Co niepokojące, tylko 6% ankietowanych zagłosowało na „Większość jest zgodna z przepisami (80%<)”. Autorka tekstu […]

Obowiązki informacyjne przedsiębiorcy zawierającego umowy na odległość drogą elektroniczną…

Kiedy procesor staje się administratorem?

Czy w toku obowiązywania umowy powierzenia przetwarzania danych osobowych procesor może jednocześnie pełnić rolę administratora? Czy po rozwiązaniu umowy powierzenia procesor może stać się administratorem danych osobowych, które wcześniej przetwarzał wyłącznie w imieniu innego podmiotu? Odpowiedzi na te pytania mają istotne znaczenie dla określenia obowiązków i potencjalnej odpowiedzialności podmiotów biorących udział w procesie przetwarzania danych osobowych. […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki