Agata Baca dla Dziennika Gazety Prawnej: „Niezależność inspektora to warunek skutecznej ochrony danych osobowych”
Inspektor ochrony danych powinien monitorować zgodność z RODO, a nie wypełniać polecenia przełożonych. W praktyce wielu przedsiębiorstw IOD nadal działa w strukturach podporządkowanych działom IT, HR czy bezpieczeństwa, co może naruszać przepisy RODO. Niedawne orzeczenia prezesa UODO oraz sądów dowodzą, że takie nieprawidłowości mogą generować koszty rzędu setek tysięcy złotych. Na te zagadnienia zwraca uwagę w swoim artykule na łamach Dziennika Gazety Prawnej associate Agata Baca. Zapraszamy do lektury!
Dlaczego niezależność IOD jest tak ważna?
Zgodnie z art. 38 RODO inspektor ochrony danych musi funkcjonować bez konfliktu interesów i zachowywać pełną niezależność. Tylko w takich warunkach system ochrony danych w organizacji może działać skutecznie. Niestety, rzeczywistość często odbiega od wymogów prawnych – inspektorzy podlegają kierownikom działów przetwarzających dane, nadzorują systemy, którymi sami zarządzają, lub zasiadają w zarządach firm, których działalność powinni kontrolować.
Kosztowne błędy – przykłady z orzecznictwa
Ostatnie decyzje organów nadzorczych pokazują konsekwencje naruszenia zasady niezależności IOD. Toyota Bank Polska S.A. otrzymał karę w wysokości 261 918 zł za umieszczenie inspektora w departamencie bezpieczeństwa IT, gdzie podlegał dyrektorowi nadzorującemu procesy przetwarzania danych. W innej sprawie PUODO nałożył karę 11 365 zł na spółkę medyczną, w której funkcję IOD pełnił prezes zarządu – sytuacja uznana za oczywisty konflikt interesów.
Co muszą zapewnić administratorzy?
Administrator ma obowiązek stworzyć warunki umożliwiające IOD niezależne działanie. Kluczowe wymogi to: bezpośrednia podległość inspektora najwyższemu kierownictwu (zarządowi), zakaz wydawania mu instrukcji dotyczących wykonywania zadań, zapewnienie odpowiednich zasobów oraz angażowanie we wszystkie sprawy związane z ochroną danych. IOD nie może jednocześnie pełnić funkcji, które wiążą się z określaniem celów i sposobów przetwarzania danych – nie powinien kierować działami IT, HR, finansów ani bezpieczeństwa. Administrator jako członek zarządu IOD to również zły pomysł, prowadzący do sytuacji, w której ta sama osoba podejmuje decyzje i jednocześnie je kontroluje.
Outsourcing jako rozwiązanie
Dla wielu organizacji, szczególnie mniejszych, najlepszym wyjściem może być outsourcing funkcji IOD. Powierzenie tej roli podmiotowi zewnętrznemu ułatwia zachowanie bezstronności i minimalizuje ryzyko konfliktu interesów. Warto też pamiętać, że naruszenie niezależności IOD grozi sankcjami do 10 mln EUR lub 2 proc. światowego obrotu firmy – w zależności od tego, która kwota jest wyższa. Poza karami finansowymi przedsiębiorstwo ryzykuje utratą reputacji i zaufania klientów.
Jakie kary grożą firmom za niewłaściwe umiejscowienie IOD w strukturze organizacyjnej? Czy administrator lub członek zarządu może pełnić funkcję inspektora ochrony danych? Jak zapewnić IOD realną niezależność i uniknąć konfliktów interesów? Na te i wiele innych pytań w swoim tekście, który ukazał się w Dzienniku Gazecie Prawnej, odpowiada Agata Baca.
