Kontrole przestrzegania przepisów o inspektorze ochrony danych
Wstęp
Obecnie trwa drugi etap kontroli organu nadzorczego, a w praktyce jego urzędu – Urzędu Ochrony Danych Osobowych (UODO) wobec administratorów i podmiotów przetwarzających w zakresie przestrzegania przepisów o inspektorze ochrony danych (IOD). W pierwszym etapie wysłano do wybranej grupy administratorów (podmiotów przetwarzających) wezwania do złożenia wyjaśnień i przedstawienia dowodów. W drugim etapie do części tych samych podmiotów skierowano wezwania o uzupełnienie wyjaśnień albo przeprowadzono ich inspekcje.
Pierwszy etap
Od marca br. Urząd Ochrony Danych Osobowych rozpoczął akcję wzywania wybranych administratorów do złożenia wyjaśnień i przedstawienia dowodów dotyczących stosowania przepisów o inspektorze ochrony danych. Według informacji przekazanych przez UODO prasie w pierwszej grupie wezwania skierowano do 20 podmiotów. Wezwania dotyczą wyłącznie przestrzegania przepisów o IOD oraz mają kompleksowy i szczegółowy charakter; w sumie to aż 27 pytań do administratora odnoszących się do wszystkich aspektów IOD ustalonych w art. 37-39 RODO, tj. jego wyznaczenia, funkcjonowania i wykonywania zadań (zob. ramka). Co istotne, w wezwaniach wymaga nie tylko wyjaśnienia określonych kwestii, ale także pyta się o wykazanie się dokumentacją stosowania przepisów o IOD („regulacje wewnętrzne dotyczące funkcjonowania IOD”).
Wezwania stanowią „kontrolę na odległość”, ponieważ UODO powołuje się w nich na kompetencje organu nadzorczego określone w art. 58 RODO, a odpowiedzi mają zostać udzielone pod rygorem nałożenia administracyjnej kary pieniężnej za brak współpracy.
Drugi etap
Przynajmniej do części administratorów (podmiotów przetwarzających), którzy odpowiedzieli na wezwanie UODO podjął dalsze działania, tj. ponownie wezwał do złożenia wyjaśnień albo przeprowadził inspekcje administratorów (kontrole „na miejscu” w siedzibie administratorów). Wezwanie zawierają pytania uzupełniające w stosunku do pierwszego wezwania (np. o przekazanie dowodów na wykazanie kompetencji IOD) oraz odnoszą się do kolejnych kwestii nie ujętych w pierwotnym wezwaniu, np. zakresu zadań i kompetencji zastępcy inspektora ochrony danych oraz zadań zespołu IOD.
W momencie publikacji tekstu nieznane są dalsze działania UODO w poszczególnych sprawach kontrolnych, jak również nie wiemy, czy otrzymane wyjaśnienia oraz inspekcje posłużą organowi nadzorczemu do bardziej generalnych celów analitycznych, jak ustalenie obecnej sytuacji w kraju w zakresie poprawności wykonywania funkcji IOD oraz problemów z tego wynikających.
Stanowiska UODO
To pierwsze tak znaczące działanie kontrolne UODO w obszarze inspektorów ochrony danych. Tymczasem kontrolom dotyczącym IOD poświęcono tylko wpis w serwisie UODO w „Aktualnościach” (pt.: „Weryfikacja przestrzegania przepisów dotyczących inspektora ochrony danych”), a także zdawkowe komentarze przedstawicieli UODO dla prasy i na konferencjach.
Kontrole w tym zakresie nie zostały przewidziane w rocznym planie kontroli UODO i nie są związane z określoną branżą. Nie do końca jasny jest cel rozpoczęcia tak dużego przedsięwzięcia kontrolnego, tym bardziej, że w serwisie UODO informuje się: „W większości sytuacji weryfikacja (inspektorów ochrony danych – przyp. aut.) wypadała pozytywnie i nie dawała podstaw do zastosowania uprawnień naprawczych. Jedynie w kilku przypadkach UODO w toku czynności kontrolnych stwierdził nieprawidłowości w zakresie występowania konfliktu interesów np. pełnienia funkcji IOD przez sekretarza gminy, czy też niekonsultowania z inspektorem podejmowanych operacji przetwarzania danych osobowych.”. Niejasne też pozostaje kryterium wyboru podmiotów kontrolowanych. Gdy chodzi o samą treść pytań w wezwaniach dotyczących IOD urząd tłumaczy, że to „dotychczasowe doświadczenia organu nadzorczego (…) posłużyły do sformułowania listy zagadnień, do których – wraz z przedstawieniem odpowiednich dowodów – będą musieli odnieść się wezwani administratorzy i podmioty przetwarzające.”. Dalej wyjaśnia się, że pytania i wątpliwości związanych ze statusem i zadaniami IOD, jakie od kilku lat inspektorzy (a wcześniej administratorzy bezpieczeństwa informacji) przedstawiali UODO, stały się bazą do wypracowania szczegółowego zestawu pytań.
Równocześnie organ nadzorczy zapowiada kontynuowanie kierowania wezwań w sprawie IOD do administratorów i podmiotów przetwarzających, zarówno z sektora publicznego, jak i prywatnego.
Komentarz
Niezależnie od nie do końca jasnych celów tak dużego przedsięwzięcia kontrolnego i jego, nieznanych jeszcze, końcowych efektów już teraz działania organu nadzorczego można ocenić jako ważny sygnał dla inspektorów ochrony danych oraz wyznaczających ich administratorów (podmiotów przetwarzających). Z listy 27 pytań można bowiem odtworzyć wymagania stawiane przez Prezesa UODO, co powinno stanowić istotny element standardu wykonywania funkcji IOD. Pytania organu pokazują także jak ważne znaczenie ma rozliczalność prawnych obowiązków dotyczących IOD i to również w zakresie relacji administrator – inspektor. Wreszcie zarówno dla administratorów (podmiotów przetwarzających) jak i inspektorów ochrony danych działania UODO powinny być impulsem, aby nie czekając na urzędową kontrolę, prewencyjnie zweryfikować, także z udziałem wyspecjalizowanych audytorów zewnętrznych, przestrzeganie przepisów o IOD w swojej jednostce organizacyjnej.
Pytania zawarte w wezwaniach UODO w pierwszym etapie kontroli dotyczącej stosowania przepisów o inspektorze ochrony danych
- Czy u administratora został wyznaczony inspektor ochrony danych (IOD)?
- Czy na administratorze ciąży obowiązek wyznaczenia IOD (jeżeli tak, to na jakiej podstawie prawnej), czy też IOD został wyznaczony mimo braku takiego obowiązku?
- Czy administrator opublikował imię i nazwisko oraz kontakt do IOD na swojej stronie internetowej lub – jeżeli nie prowadzi swojej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności?
- Czy ww. informacje znajdują się w ogólnie dostępnym miejscu (proszę wskazać to miejsce, w przypadku strony internetowej proszę wskazać jej adres oraz link do tej informacji) ?
- Czy Inspektor Ochrony Danych jest pracownikiem administratora, a jeśli nie, to na jakiej podstawie prawnej wykonuje swoje obowiązki?
- Czy IOD został powołany na wyłączność u administratora, czy wykonuje swoje obowiązki również u innych administratorów?
- Na podstawie jakich kwalifikacji administrator wyznaczył IOD (np. wykształcenie, doświadczenie, wiedza)?
- Jakie niezbędne zasoby, o których mowa w art. 38 ust. 2 rozporządzenia 2016/679 administrator zapewnia IOD?
- W jaki sposób administrator zapewnia zasoby na utrzymanie wiedzy fachowej IOD?
- Jakie stanowisko zajmuje IOD i komu podlega w strukturze organizacyjnej administratora?
- Czy administrator powołał zastępcę IOD, jeżeli tak, to kiedy?
- Czy u administratora funkcjonuje zespół IOD lub inna forma stałego wsparcia IOD w zakresie wykonywania jego zadań?
- W jaki sposób administrator zapewnia by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (np. czy zostały opracowane zasady dotyczące tego, jakie sprawy mają być konsultowane z IOD, kto i w jakich sytuacjach powinien zgłaszać się w celu uzyskania konsultacji IOD, czy i na jakich zasadach IOD bierze udział w naradach kierownictwa)
- W jaki sposób administrator zapewnia IOD dostęp do danych osobowych i operacji przetwarzania?
- Czy administrator przyjął jakiekolwiek regulacje wewnętrzne dotyczące funkcjonowania IOD (w szczególności w celu zapewnienia poszanowania gwarancji jego niezależności oraz jego uprawnień w zakresie dostępu do danych osobowych i operacji przetwarzania, włączania we wszystkie sprawy dotyczące ochrony danych osobowych, unikania konfliktu interesów), a jeżeli tak, to w jakim akcie wewnętrznym zostały one przewidziane?
- W jaki sposób administrator zapewnia, aby IOD nie były wydawane instrukcje co do wykonywania zdań przez IOD?
- W jaki sposób administrator zapewnia, aby IOD nie były karany i odwoływany za wykonywanie swoich zadań?
- W jaki sposób ADO postępuje w przypadku, gdy nie uwzględnia wskazówek lub rekomendacji IOD, np. czy dokumentuje powody niezastosowania tych wskazówek?
- W jaki sposób osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych zgodnie z art. 38 ust. 4 rozporządzenia 2016/679 ?
- Czy inspektor ochrony danych wykonuje również inne obowiązki lub sprawuje inną funkcję poza obowiązkami związanymi z ochroną danych osobowych, jeżeli tak to:
- jakie oraz w jakim wymiarze czasu pełni funkcję IOD, a w jakim inne zadania,
- w jaki sposób administrator ocenił, że w przypadku każdego z tych zadań nie występuje konflikt interesów, o którym mowa w art. 38 ust 6 rozporządzenia 2016/679?
- Czy w zakresie wykonywania innych zadań IOD podlega innym osobom niż najwyższe kierownictwo administratora?
- Czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów?
- Czy IOD wykonuje swoje zadania jedynie w siedzibie administratora, a jeżeli nie, to w jakim miejscu i w jaki sposób zapewniona jest stała dostępność IOD dla kierownictwa i pracowników administratora?
- Czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń, audytów?
- Czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny, czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami?
- Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?
- Czy administrator występował do IOD o udzielenie zaleceń co do oceny skutków dla ochrony danych, a jeśli tak, to w jakich sytuacjach?
- Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?