iSecure logo
Blog

Autonomiczne podporządkowanie Inspektora Ochrony Danych

Zmiany w ustawie od 7 marca 2011r.
Kategorie

Administrator danych osobowych, a więc podmiot, który ustala cele oraz sposoby przetwarzania danych osobowych ma obowiązek wyznaczenia Inspektora Ochrony Danych zasadniczo w trzech sytuacjach:

  1. kiedy przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. gdy główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  3. gdy główna działalność administratora polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

W przypadkach innych, niż wskazane powyżej – administrator danych może wyznaczyć Inspektora Ochrony Danych (IOD), niemniej jednak jest to jego decyzja biznesowa. Od decyzji administratora zależy również, czy funkcję IOD będzie pełnił jego pracownik (tu: osoba zatrudniona na podstawie umowy o pracę), czy też skorzysta z usług zewnętrznego podmiotu (outsourcing IOD).

Główne zadania Inspektora Ochrony Danych zostały określone w art. 39 RODO. Zgodnie z tym artykułem Inspektor:

  1. informuje administratora, a w tym jego pracowników o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów z zakresu ochrony danych osobowych,
  2. monitoruje przestrzeganie RODO oraz innych przepisów z zakresu ochrony danych osobowych,
  3. udziela zaleceń co do oceny skutków dla ochrony danych oraz monitoruje jej wykonanie,
  4. współpracuje z organem nadzorczym,
  5. pełni funkcję punktu kontaktowego dla organu nadzorczego.

Należy jednak pamiętać, że powyższe obowiązki IOD nie wyczerpują w pełni jego zadań na gruncie ogólnego rozporządzenia o ochronie danych osobowych, zaś Inspektor Ochrony Danych pełni także funkcje doradcze, nadzorcze oraz komunikacyjne.

Ogólne rozporządzenie o ochronie danych osobowych co do zasady zezwala, aby Inspektor Ochrony Danych pełnił również inne niż wskazane powyżej funkcje, stąd też możliwe jest łączenie stanowisk. Niemniej jednak, administrator danych osobowych musi zapewnić, aby łącznie jego zadania i obowiązki nie powodowały konfliktu interesów. Zgodnie z motywem 97 RODO – inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny. Gwarancjami niezależności IOD są następujące zasady:

  • zasada nieotrzymywania instrukcji dotyczących wykonywania zadań,
  • zakaz odwoływania lub karania za wypełnienie swoich zadań,
  • zasada podlegania najwyższemu kierownictwu.

Aby nie spowodować konfliktu interesów, administrator danych może przyjąć rozwiązanie organizacyjne, polegające na tym, że w swoim wewnętrznym regulaminie wskaże, że IOD nie może zajmować stanowiska, w ramach którego brałby udział w decydowaniu o sposobie, środkach oraz celu przetwarzania danych. Inspektor nie powinien zatem brać udziału w podejmowaniu decyzji, które należą do kompetencji osób sprawujących kierownicze stanowiska. Drogą przykładu konflikt interesu może wystąpić w przypadku połączenia funkcji IOD z kierownikiem Działu HR.

Administrator powinien zidentyfikować stanowiska, które kłócą się z funkcją wykonywania zadań IOD, jak również przygotować procedury, które uniemożliwią łączenie funkcji pozostających ze sobą w konflikcie.

Wynikająca z RODO niezależność Inspektora Ochrony Danych zatrudnionego na podstawie umowy o pracę może w pewnych sytuacjach być sprzeczna z pracowniczym podporządkowaniem, rozumianym jako zobowiązanie się pracownika do wykonywania pracy określonego rodzaju na rzecz pracodawcy i pod jego kierownictwem oraz w miejscu i czasie wyznaczonym przez pracodawcę. W przypadku wykonywania funkcji kierowniczych lub swoiście niezależnych (jak funkcja Inspektora Ochrony Danych) musimy przyjąć konstrukcję podporządkowania autonomicznego. Zgodnie z linią orzeczniczą podporządkowanie autonomiczne polega na tym, że pracownik otrzymuje jedynie zadania do wykonania, samodzielnie zaś decyduje o sposobie ich realizacji.

Zapewnienie Inspektorowi Ochrony Danych niezależności oraz nadanie mu odpowiedniej rangi, jest niezbędnym warunkiem dla realnego wykonywania funkcji IOD. Co więcej, jeżeli konkretny administrator nie zapewni Inspektorowi przymiotu niezależności, wówczas IOD nie będzie mógł prawidłowo działać, co w konsekwencji spowoduje, że jego funkcja będzie jedynie iluzoryczna oraz wizerunkowa.

Podobne wpisy:

Zanim znajdziemy wykonawcę aplikacji

Brak całościowego spojrzenia na wdrożenie, czyli lewa ręka nie wie co przetwarza prawa

Nigdy za wiele powtarzania, że wdrożenie i utrzymanie zgodności z RODO to nie jednorazowy projekt, tylko ciągły proces. Bezpieczeństwo przetwarzania danych osobowych zazwyczaj dotyczy całokształtu działalności danej organizacji i towarzyszy jej w codziennym działaniu – od sposobu pozyskania danych, przez narzędzia do ich przetwarzania i wykorzystywania, na metodach ich usunięcia kończąc. Z natury rzeczy tak kompleksowe […]

Jak przetwarzać dane - poradnik (cz. III)

Jak przetwarzać dane – poradnik (cz. III)

W ostatnich dwóch poradnikach z cyklu „Jak przetwarzać dane” przedstawiliśmy i krótko opisaliśmy Wam dwie z pięciu przesłanek, umożliwiających przetwarzanie danych tzw. „zwykłych” zgodnie z ustawą o ochronie danych osobowych. Jak się zapewne domyślacie, w tej części poradnika przedstawimy Wam kolejną, trzecią już, przesłankę legalizującą przetwarzanie danych (w praktyce ustawodawca w art. 23 ust. 1 pkt. 3 określił na dobrą sprawę dwie sytuacje legalizujące przetwarzanie danych).

Przetwarzanie danych służbowych

Administrator czy podmiot przetwarzający? Jaką rolę pełnisz?

Określenie roli, jaką dany podmiot pełni w procesie przetwarzania danych osobowych, może stanowić dla przedsiębiorców nie lada wyzwanie. Jest to jednak niezbędne do prawidłowego ustalenia obowiązków, jakie ciążą na danym podmiocie w związku z przetwarzaniem danych osobowych. Administrator ponosi największą odpowiedzialność za powyższe operacje. Określa on – samodzielnie lub wspólnie z innym podmiotem – cele […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki