PUODO skontroluje przestrzeganie przepisów dotyczących inspektora ochrony danych
Na stronie internetowej UODO pojawiła się lista pytań dotyczących przestrzegania przepisów RODO o inspektorze ochrony danych, do których będą musieli odnieść się wezwani przez UODO administratorzy i podmioty przetwarzające.
Bazując na doświadczeniach z dotychczas prowadzonych postępowań dotyczących inspektorów ochrony danych („IOD”), a także na pytaniach otrzymywanych od inspektorów, Urząd Ochrony Danych Osobowych („UODO”) przygotował listę pytań, które w ramach prowadzonych kontroli będzie zadawał administratorom danych i podmiotom przetwarzającym. Lista jest całkiem obszerna, a pytania szczegółowe.
Co ważne, choć pytania dotyczą IOD, to odpowiedź na niektóre z nich w praktyce pozwoli organowi zapoznać się w szerszym zakresie z tym, jak dany podmiot podchodzi do zarządzania zgodnością z RODO, w tym jak dokumentuje tę zgodność dla celów wypełniania zasady rozliczalności.
Zgodnie z naszym doświadczeniem administratorzy i podmioty przetwarzające powinni zwrócić szczególną uwagę na pytania dotyczące:
- sposobu oceny kwalifikacji IOD przed jego powołaniem – brak odpowiedniego udokumentowania takiej oceny i jej podstaw może być potencjalnie potraktowany jako niezgodność z RODO,
- szeroko pojętych zasobów (środki techniczne, odpowiednie umieszczenie w strukturze organizacji, zespół wspierający IOD, szkolenia), które powinny być zapewnione przez administratora / podmiot przetwarzający w celu umożliwienia prawidłowej realizacji zadań przez IOD – brak zapewnienia IOD odpowiednich zasobów może być potencjalnie potraktowany jako niezgodność z RODO, w szczególności jeśli np. IOD wnioskował o ich udostępnienie,
- sposobów zapewnienia odpowiedniej niezależności IOD i zapobiegania konfliktom interesów, np. poprzez wdrożenie odpowiednich procedur wewnętrznych dotyczących powoływania i działania IOD – brak tego rodzaju procedur może być potencjalnie potraktowany jako niezgodność z RODO,
- sposobu angażowania IOD w operacje przetwarzania, w tym na etapie ich wdrażania (np. w ramach DPIA) – np. czy jest wewnętrznie uregulowane:
- jakie sprawy i kiedy powinny być konsultowane z IOD (w tym nowe procesy lub zmiany w istniejących procesach, angażowanie podmiotów przetwarzających),
- kto i w jakich sytuacjach powinien zgłaszać się w celu uzyskania konsultacji IOD,
- kto decyduje o uwzględnieniu lub nieuwzględnieniu uwag IOD,
- czy i na jakich zasadach IOD bierze udział w naradach kierownictwa,
- w jaki sposób IOD uczestniczy w zarządzaniu naruszeniami ochrony danych czy w odpowiedziach na pytania podmiotów danych.
Brak tego rodzaju procedur może być potencjalnie potraktowany jako niezgodność z RODO.
Poniżej zamieszczamy pełną listę pytań opublikowaną przez UODO:
- Czy u administratora został wyznaczony inspektor ochrony danych (IOD)?
- Czy na administratorze ciąży obowiązek wyznaczenia IOD (jeżeli tak, to na jakiej podstawie prawnej), czy też IOD został wyznaczony mimo braku takiego obowiązku?
- Czy administrator opublikował imię i nazwisko oraz kontakt do IOD na swojej stronie internetowej lub – jeżeli nie prowadzi swojej strony internetowej – w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności?
- Czy ww. informacje znajdują się w ogólnie dostępnym miejscu (proszę wskazać to miejsce, w przypadku strony internetowej proszę wskazać jej adres oraz link do tej informacji)?
- Czy Inspektor Ochrony Danych jest pracownikiem administratora, a jeśli nie, to na jakiej podstawie prawnej wykonuje swoje obowiązki?
- Czy IOD został powołany na wyłączność u administratora, czy wykonuje swoje obowiązki również u innych administratorów?
- Na podstawie jakich kwalifikacji administrator wyznaczył IOD (np. wykształcenie, doświadczenie, wiedza)?
- Jakie niezbędne zasoby, o których mowa w art. 38 ust. 2 rozporządzenia 2016/679, administrator zapewnia IOD?
- W jaki sposób administrator zapewnia zasoby na utrzymanie wiedzy fachowej IOD?
- Jakie stanowisko zajmuje IOD i komu podlega w strukturze organizacyjnej administratora?
- Czy administrator powołał zastępcę IOD, jeżeli tak, to kiedy?
- Czy u administratora funkcjonuje zespół IOD lub inna forma stałego wsparcia IOD w zakresie wykonywania jego zadań?
- W jaki sposób administrator zapewnia, by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (np. czy zostały opracowane zasady dotyczące tego, jakie sprawy mają być konsultowane z IOD, kto i w jakich sytuacjach powinien zgłaszać się w celu uzyskania konsultacji IOD, czy i na jakich zasadach IOD bierze udział w naradach kierownictwa)?
- W jaki sposób administrator zapewnia IOD dostęp do danych osobowych i operacji przetwarzania?
- Czy administrator przyjął jakiekolwiek regulacje wewnętrzne dotyczące funkcjonowania IOD (w szczególności w celu zapewnienia poszanowania gwarancji jego niezależności oraz jego uprawnień w zakresie dostępu do danych osobowych i operacji przetwarzania, włączania we wszystkie sprawy dotyczące ochrony danych osobowych, unikania konfliktu interesów), a jeżeli tak, to w jakim akcie wewnętrznym zostały one przewidziane?
- W jaki sposób administrator zapewnia, aby IOD nie były wydawane instrukcje co do wykonywania zadań przez IOD?
- W jaki sposób administrator zapewnia, aby IOD nie były karany i odwoływany za wykonywanie swoich zadań?
- W jaki sposób ADO postępuje w przypadku, gdy nie uwzględnia wskazówek lub rekomendacji IOD, np. czy dokumentuje powody niezastosowania tych wskazówek?
- W jaki sposób osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych zgodnie z art. 38 ust. 4 rozporządzenia 2016/679?
- Czy inspektor ochrony danych wykonuje również inne obowiązki lub sprawuje inną funkcję poza obowiązkami związanymi z ochroną danych osobowych, jeżeli tak to:
- jakie oraz w jakim wymiarze czasu pełni funkcję IOD, a w jakim wykonuje inne zadania,
- w jaki sposób administrator ocenił, że w przypadku każdego z tych zadań nie występuje konflikt interesów, o którym mowa w art. 38 ust 6 rozporządzenia 2016/679?
- czy w zakresie wykonywania innych zadań IOD podlega innym osobom niż najwyższe kierownictwo administratora?
- Czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów?
- Czy IOD wykonuje swoje zadania jedynie w siedzibie administratora, a jeżeli nie, to w jakim miejscu i w jaki sposób zapewniona jest stała dostępność IOD dla kierownictwa i pracowników administratora?
- Czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń, audytów?
- Czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny, czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami?
- Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?
- Czy administrator występował do IOD o udzielenie zaleceń co do oceny skutków dla ochrony danych, a jeśli tak, to w jakich sytuacjach?
- Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?
Mając na uwadze powyższe, warto już dziś przygotować się na kontrolę organu i zweryfikować, czy działalność w zakresie, który będzie przedmiotem szczególnego zainteresowania UODO, jest zgodna z przepisami RODO, a także czy spółka dysponuje potwierdzającymi to dokumentami, w tym odpowiednimi procedurami. Jeśli w danym podmiocie nie wyznaczono IOD, podmiot ten powinien posiadać dokumentację z uzasadnieniem potwierdzającym ocenę, że nie zachodzi obowiązek wyznaczenia IOD.
Karolina Romanowska, adwokat, Łukasz Rutkowski, radca prawny, praktyka ochrony danych osobowych kancelarii Wardyński i Wspólnicy