Niezależność Inspektora Ochrony Danych w organizacji

Spośród wielu zagadnień prawa ochrony danych osobowych, właściwe zorganizowanie struktury przedsiębiorstwa w zakresie obowiązków RODO budzi szczególne zainteresowanie. Wszystko za sprawą orzeczeń PUODO i innych organów nadzorczych, w których zakwestionowano sposób wyznaczenia oraz funkcjonowania Inspektora Ochrony Danych (IOD). W ocenie organów wprowadzone rozwiązania nie gwarantowały jego niezależności, co może prowadzić do naruszenia przepisów RODO przez firmę, w której niezależność Inspektora Ochrony Danych jest kwestionowana. W jaki sposób odnosi się do dwóch podstawowych modeli wyznaczenia IOD, czyli tzw. wewnętrznego oraz zewnętrznego IOD?

Jaka jest rola Inspektora Ochrony Danych w organizacji?

W uproszczeniu IOD można scharakteryzować jako osobę, która stoi na straży zgodności przetwarzania danych osobowych w organizacji. Oznacza to, że w pewnym sensie kontroluje tę organizację (która pełni z perspektywy RODO rolę administratora lub procesora). Jednak IOD to także osoba, która w razie potrzeby udziela organizacji wsparcia w związku z przetwarzaniem danych osobowych.

Wewnętrzny i zewnętrzny IOD – podobieństwa i różnice 

Wyznaczenie IOD w organizacji poprzedza decyzja w sprawie wyboru jednego z dostępnych modeli współpracy. Cechą wspólną modelu wewnętrznego i zewnętrznego IOD jest konieczność wyodrębnienia
w strukturze administratora lub procesora stanowiska czy komórki organizacyjnej IOD.

O ile RODO wymaga, aby tylko jedna osoba była IOD, o tyle nic nie stoi na przeszkodzie, żeby IOD dysponował własnym zespołem. Takie rozwiązanie jest wręcz pożądane, zwłaszcza w przypadku większych firm o szerokim zakresie działalności, który przekłada się na wysokie obciążenie IOD. Warto też pamiętać, że IOD powinien mieć przydzielone odpowiednie zasobowy (w tym organizacyjne, techniczne, technologiczne, finansowe czy w razie konieczności – osobowe), żeby prawidłowo wykonywać swoje obowiązki.

Tym, co odróżnia model wewnętrznego i zewnętrznego IOD, jest relacja łącząca osobę pełniącą funkcję IOD z organizacją. W modelu wewnętrznym IOD najczęściej jest jednym z pracowników administratora lub procesora, który zostaje zatrudniony na stanowisku IOD. W praktyce taka osoba często jest zatrudniona także na innym stanowisku lub faktycznie wykonuje inne, dodatkowe zadania.

Wykorzystanie modelu zewnętrznego IOD oznacza nawiązanie współpracy z zewnętrznym doradcą, np. kancelarią prawną. Roli IOD nie przyjmuje jednak kancelaria czy firma doradcza, a konkretna osoba w niej zatrudniona. 

W praktyce posłużenie się modelem zewnętrznego IOD sprowadza się do zawarcia właściwej umowy z zewnętrznym doradcą. Taki dokument musi regulować zasady współpracy, w tym kwestie odpowiedzialności, dyspozycyjności czy wynagrodzenia za świadczone usługi. Umowa powinna określać także, kto spośród pracowników lub współpracowników doradcy zewnętrznego będzie wskazany jako IOD. 

Zaletą tego modelu jest powierzenie procesu wykwalifikowanej osobie, świadczącej wsparcie na rzecz różnych klientów. Warto w tym zakresie skorzystać z usług np. renomowanych kancelarii. Przekazanie działań IOD zaufanemu dostawcy będzie odciążeniem dla organizacji, ponieważ zewnętrzny IOD we własnym zakresie organizuje odpowiednie zasoby do obsługi przedsiębiorstwa. 

Niezależność Inspektora Ochrony Danych w praktyce – na co zwrócić uwagę?

Ogólnym obowiązkiem IOD, bez względu na to, czy działa w ramach modelu wewnętrznego, czy zewnętrznego, jest wykonywanie powierzonych zadań w sposób niezależny. Analizując orzecznictwo oraz wytyczne organów nadzorczych i EROD, można sformułować następujący katalog dobrych praktyk jego działalności.

Rola IOD

IOD ma być osobą sprawującą wewnętrzną kontrolę nad tym, co dzieje się z danymi osobowymi w przedsiębiorstwie. IOD nie zastępuje firmy (tj. administratora lub procesora) w wypełnianiu ich obowiązków, takich jak:

• prowadzenie działań po wykryciu naruszenia ochrony danych osobowych,
• prowadzenie rejestru czynności lub kategorii czynności przetwarzania,
• opracowywanie dokumentacji ochrony danych osobowych, np. polityki ochrony danych osobowych czy procedury postępowania z naruszeniami ochrony danych osobowych.

Za powyższe zadania odpowiada administrator/procesor, a IOD może jedynie wspierać go w realizacji tych czynności m.in. poprzez konsultowanie dokumentacji dotyczącej naruszenia czy właściwą kwalifikację naruszenia, ustalanie informacji niezbędnych do wypełnienia rejestrów lub przekazywanie rekomendacji dla projektów poszczególnych dokumentów związanych z ochroną danych.

Rolą IOD jest więc monitorowanie, czy dane osobowe są przetwarzane zgodnie z RODO. Tym samym to administrator lub procesor odpowiada za prawidłowość i zgodność z prawem wszystkich procesów przetwarzania danych osobowych. 

Zakres zadań, które ma realizować IOD, obejmuje m.in.: 

• informowanie i doradzanie administratorowi lub procesorowi oraz pracownikom, którzy przetwarzają dane osobowe, o ich obowiązkach wynikających z RODO;
• monitorowanie przestrzegania RODO oraz właściwych polityk administratora lub procesora, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
• monitorowanie oceny skutków dla ochrony danych osobowych (DPIA), a także przekazywanie swoich zaleceń do DPIA;
• współpraca z organem nadzorczym (w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych), w tym pełnienie funkcji punktu kontaktowego dla tego organu;
• udział we wszystkich sprawach dotyczących ochrony danych osobowych
• u administratora lub procesora;
• odpowiadanie na zapytania i żądania osób, których dane dotyczą, związane z przetwarzaniem danych osobowych.

To jednak tylko podstawowe zadania IOD. Nic nie stoi na przeszkodzie, aby IOD w ramach bieżącej działalności realizował dodatkowe obowiązki. Trzeba jednak pamiętać, że nie mogą one prowadzić do powstania konfliktu interesów. Ponadto dodatkowe obowiązki nie powinny negatywnie wpływać na możliwość sprawnego działania IOD, w tym reagowania i odpowiadania na pytania kierowane przez organ nadzorczy. 

Dlatego dobrą praktyką jest stworzenie wewnętrznych zasad (np. w polityce ochrony danych) regulujących m.in. udział IOD w sprawach związanych z ochroną danych osobowych w organizacji. Gdy administrator lub procesor działa w formie grupy kapitałowej, takie zasady powinny uwzględniać wzajemne relacje między IOD wyznaczonym dla grupy kapitałowej a jej poszczególnymi spółkami.

Unikanie konfliktów interesów 

Ponieważ każdy IOD ma wykonywać swoje zadania w sposób niezależny, RODO ogranicza możliwość nakładania na niego dodatkowych obowiązków, które powodowałyby powstanie konfliktu interesów. Konflikt interesów należy postrzegać przez pryzmat zadań IOD, a jego najczęstszym powodem jest zaangażowanie IOD w określanie celów i sposobów przetwarzania danych osobowych. 

Innymi słowy, IOD podejmuje decyzje, które ma następnie kontrolować. 

Z tego względu m.in. prezes zarządu spółki, dyrektor szkoły, przewodniczący rady zakładowej, dyrektor przedsiębiorstwa czy prokurent nie mogą pełnić funkcji IOD. Natomiast powierzenie zadań IOD wewnętrznemu prawnikowi samo w sobie nie powoduje konfliktu interesów, przy czym obie funkcje powinny być formalnie i faktycznie wyodrębnione. 

Niezależność Inspektora Ochrony Danych i jego istota

Każdy IOD wyznaczony przez administratora lub procesora powinien być niezależny. Jak wyjaśnia Trybunał Sprawiedliwości Unii Europejskiej, niezależność ma gwarantować wykonywanie zadań przez IOD zgodnie z celem RODO, czyli dla zapewnienia wysokiego poziomu ochrony danych osobowych. Oprócz unikania konfliktu interesów, gwarancji niezależności IOD służą następujące rozwiązania:

• IOD ma podlegać bezpośrednio najwyższemu kierownictwu w ramach struktur administratora lub procesora. Istotna jest przy tym faktyczna sytuacja IOD, zwłaszcza jeśli wykonuje także inne obowiązki, np. w ramach innego departamentu. W ramach tej gwarancji administrator lub procesor powinien także zapewnić ścieżkę kontaktową między IOD a najwyższym kierownictwem. 

• IOD nie powinien otrzymywać instrukcji dotyczących wykonywania powierzonych zadań, np. instrukcji dotyczących współpracy w organem nadzorczym w konkretnej sprawie. Niedopuszczalne jest też, aby miał narzucane konkretne wyniki analizy przepisów ochrony danych osobowych.

• Administrator lub procesor nie może odwołać IOD lub nałożyć na niego kary za wypełnianie jego zadań.

W świetle powyższego rekomendowanym rozwiązaniem jest korzystanie z zewnętrznych doradców na etapie wyznaczenia i współdziałania aby wspierać niezależność Inspektora Ochrony Danych.

Podstawy prawne:

• Por. uwagi EROD na temat funkcjonowania IOD - EDPB identifies areas of improvement to promote the role and recognition of DPOs; por. także m. in. chorwacki organ nadzorczy - AZOP (sprawa z 19 grudnia 2024, UP/I-034-01/24-01/30); norweski organ nadzorczy - Datatilsynet (sprawa z 10 marca 2025, 21/03823-45); czy austriacki organ nadzorczy – DSB (sprawa z 16 października 2024, 2024-0.641.771).
• EROD: Wytyczne 9/2022 dotyczące zgłaszania naruszenia ochrony danych osobowych na podstawie RODO. Wersja 2.0. Przyjęte 28 marca 2023 r. str. 32.
• Art. 39 ust. 1 lit. b) RODO.
• Grecki organ nadzorczy – HDPA, sprawa 1/2024; podobnie sąd (trybunał) administracyjny – Luxemburg, sprawa nr 46401.
• Norweski organ nadzorczy – Datatilsynet, sprawa nr 21/03823-45.
• Sąd (trybunał) administracyjny – Luxemburg, sprawa nr 46401.
• Grupa robocza art. 29 (EROD): Wytyczne dotyczące inspektorów ochrony danych („DPO”), przyjęte w dniu 13 grudnia 2016 r., ostatnio zmienione i przyjęte w dniu 5 kwietnia 2017 r., WP 243 rev.01, 16/PL, https://ec.europa.eu/newsroom/article29/items/612048/en 
• Berliński organ nadzorczy, sprawa z 22 września 2022, https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2022/20220920-BlnBDI-PM-Bussgeld-DSB.pdf.
• Włoski organ nadzorczy - Garante, sprawa nr 9835095.
• Federalny Sąd Pracy (Niemcy), sprawa nr 9 AZR 383/19.
• Chorwacki organ nadzorczy – AZOP, sprawa nr UP/I-034-01/24-01/30.
• Chorwacki organ nadzorczy – AZOP, sprawa nr UP/I-034-01/24-01/33.
• Norweski organ nadzorczy – Datatilsynet, sprawa nr 21/03823-45.
• Tak: TSUE, wyrok z 22 czerwca 2022 r., Leistritz, C‑534/20, pkt 24.
• TSUE, wyrok z 22 czerwca 2022 r., Leistritz, C‑534/20, pkt 26; TSUE, wyrok z 9 lutego 2023 r., X-FAB, C-453/21, pkt 25-26.
• PUODO, sprawa z 18 grudnia 2024, nr DKN.5112.14.2022.
• Norweski organ nadzorczy – Datatilsynet, sprawa nr 21/03823-45.

Polecamy:

Jak sprawdzić NIP, czyli Numer Identyfikacji Podatkowej?