PUODO skontroluje przestrzeganie przepisów dotyczących inspektora ochrony danych | Co do zasady

Na stronie internetowej UODO pojawiła się lista pytań dotyczących przestrzegania przepisów RODO o inspektorze ochrony danych, do których będą musieli odnieść się wezwani przez UODO administratorzy i podmioty przetwarzające.

Bazując na doświadczeniach z dotychczas prowadzonych postępowań dotyczących inspektorów ochrony danych („IOD”), a także na pytaniach otrzymywanych od inspektorów, Urząd Ochrony Danych Osobowych („UODO”) przygotował listę pytań, które w ramach prowadzonych kontroli będzie zadawał administratorom danych i podmiotom przetwarzającym. Lista jest całkiem obszerna, a pytania szczegółowe.

Co ważne, choć pytania dotyczą IOD, to odpowiedź na niektóre z nich w praktyce pozwoli organowi zapoznać się w szerszym zakresie z tym, jak dany podmiot podchodzi do zarządzania zgodnością z RODO, w tym jak dokumentuje tę zgodność dla celów wypełniania zasady rozliczalności.

Zgodnie z naszym doświadczeniem administratorzy i podmioty przetwarzające powinni zwrócić szczególną uwagę na pytania dotyczące:

• sposobu oceny kwalifikacji IOD przed jego powołaniem – brak odpowiedniego udokumentowania takiej oceny i jej podstaw może być potencjalnie potraktowany jako niezgodność z RODO,
• szeroko pojętych zasobów (środki techniczne, odpowiednie umieszczenie w strukturze organizacji, zespół wspierający IOD, szkolenia), które powinny być zapewnione przez administratora / podmiot przetwarzający w celu umożliwienia prawidłowej realizacji zadań przez IOD – brak zapewnienia IOD odpowiednich zasobów może być potencjalnie potraktowany jako niezgodność z RODO, w szczególności jeśli np. IOD wnioskował o ich udostępnienie,
• sposobów zapewnienia odpowiedniej niezależności IOD i zapobiegania konfliktom interesów, np. poprzez wdrożenie odpowiednich procedur wewnętrznych dotyczących powoływania i działania IOD – brak tego rodzaju procedur może być potencjalnie potraktowany jako niezgodność z RODO,
• sposobu angażowania IOD w operacje przetwarzania, w tym na etapie ich wdrażania (np. w ramach DPIA) – np. czy jest wewnętrznie uregulowane:
  • jakie sprawy i kiedy powinny być konsultowane z IOD (w tym nowe procesy lub zmiany w istniejących procesach, angażowanie podmiotów przetwarzających),
  • kto i w jakich sytuacjach powinien zgłaszać się w celu uzyskania konsultacji IOD,
  • kto decyduje o uwzględnieniu lub nieuwzględnieniu uwag IOD,
  • czy i na jakich zasadach IOD bierze udział w naradach kierownictwa,
  • w jaki sposób IOD uczestniczy w zarządzaniu naruszeniami ochrony danych czy w odpowiedziach na pytania podmiotów danych.

Brak tego rodzaju procedur może być potencjalnie potraktowany jako niezgodność z RODO.

Poniżej zamieszczamy pełną listę pytań opublikowaną przez UODO:

1. Czy u administratora został wyznaczony inspektor ochrony danych (IOD)?
2. Czy na administratorze ciąży obowiązek wyznaczenia IOD (jeżeli tak, to na jakiej podstawie prawnej), czy też IOD został wyznaczony mimo braku takiego obowiązku?
3. Czy administrator opublikował imię i nazwisko oraz kontakt do IOD na swojej stronie internetowej lub – jeżeli nie prowadzi swojej strony internetowej – w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności?
4. Czy ww. informacje znajdują się w ogólnie dostępnym miejscu (proszę wskazać to miejsce, w przypadku strony internetowej proszę wskazać jej adres oraz link do tej informacji)?
5. Czy Inspektor Ochrony Danych jest pracownikiem administratora, a jeśli nie, to na jakiej podstawie prawnej wykonuje swoje obowiązki?
6. Czy IOD został powołany na wyłączność u administratora, czy wykonuje swoje obowiązki również u innych administratorów?
7. Na podstawie jakich kwalifikacji administrator wyznaczył IOD (np. wykształcenie, doświadczenie, wiedza)?
8. Jakie niezbędne zasoby, o których mowa w art. 38 ust. 2 rozporządzenia 2016/679, administrator zapewnia IOD?
9. W jaki sposób administrator zapewnia zasoby na utrzymanie wiedzy fachowej IOD?
10. Jakie stanowisko zajmuje IOD i komu podlega w strukturze organizacyjnej administratora?
11. Czy administrator powołał zastępcę IOD, jeżeli tak, to kiedy?
12. Czy u administratora funkcjonuje zespół IOD lub inna forma stałego wsparcia IOD w zakresie wykonywania jego zadań?
13. W jaki sposób administrator zapewnia, by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (np. czy zostały opracowane zasady dotyczące tego, jakie sprawy mają być konsultowane z IOD, kto i w jakich sytuacjach powinien zgłaszać się w celu uzyskania konsultacji IOD, czy i na jakich zasadach IOD bierze udział w naradach kierownictwa)?
14. W jaki sposób administrator zapewnia IOD dostęp do danych osobowych i operacji przetwarzania?
15. Czy administrator przyjął jakiekolwiek regulacje wewnętrzne dotyczące funkcjonowania IOD (w szczególności w celu zapewnienia poszanowania gwarancji jego niezależności oraz jego uprawnień w zakresie dostępu do danych osobowych i operacji przetwarzania, włączania we wszystkie sprawy dotyczące ochrony danych osobowych, unikania konfliktu interesów), a jeżeli tak, to w jakim akcie wewnętrznym zostały one przewidziane?
16. W jaki sposób administrator zapewnia, aby IOD nie były wydawane instrukcje co do wykonywania zadań przez IOD?
17. W jaki sposób administrator zapewnia, aby IOD nie były karany i odwoływany za wykonywanie swoich zadań?
18. W jaki sposób ADO postępuje w przypadku, gdy nie uwzględnia wskazówek lub rekomendacji IOD, np. czy dokumentuje powody niezastosowania tych wskazówek?
19. W jaki sposób osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych zgodnie z art. 38 ust. 4 rozporządzenia 2016/679?
20. Czy inspektor ochrony danych wykonuje również inne obowiązki lub sprawuje inną funkcję poza obowiązkami związanymi z ochroną danych osobowych, jeżeli tak to:
    1. jakie oraz w jakim wymiarze czasu pełni funkcję IOD, a w jakim wykonuje inne zadania,
    2. w jaki sposób administrator ocenił, że w przypadku każdego z tych zadań nie występuje konflikt interesów, o którym mowa w art. 38 ust 6 rozporządzenia   2016/679?
    3. czy w zakresie wykonywania innych zadań IOD podlega innym osobom niż najwyższe kierownictwo administratora?
21. Czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów?
22. Czy IOD wykonuje swoje zadania jedynie w siedzibie administratora, a jeżeli nie, to w jakim miejscu i w jaki sposób zapewniona jest stała dostępność IOD dla kierownictwa i pracowników administratora?
23. Czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń, audytów?
24. Czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny, czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami?
25. Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?
26. Czy administrator występował do IOD o udzielenie zaleceń co do oceny skutków dla ochrony danych, a jeśli tak, to w jakich sytuacjach?
27. Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?

Mając na uwadze powyższe, warto już dziś przygotować się na kontrolę organu i zweryfikować, czy działalność w zakresie, który będzie przedmiotem szczególnego zainteresowania UODO, jest zgodna z przepisami RODO, a także czy spółka dysponuje potwierdzającymi to dokumentami, w tym odpowiednimi procedurami. Jeśli w danym podmiocie nie wyznaczono IOD, podmiot ten powinien posiadać dokumentację z uzasadnieniem potwierdzającym ocenę, że nie zachodzi obowiązek wyznaczenia IOD.

Karolina Romanowska, adwokat, Łukasz Rutkowski, radca prawny, praktyka ochrony danych osobowych kancelarii Wardyński i Wspólnicy