Gwarancje niezależności

Podobnie jak ma to miejsce na gruncie aktualnie obowiązującej ustawy o ochronie danych osobowych (art. 36a ust. 8 uodo) inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora, czy też nie – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny (motyw 97 RODO). W celu zapewnienia niezależności DPO administrator lub podmiot przetwarzający powinni wprowadzić wewnętrzne regulacje gwarantujące inspektorowi ochrony danych niezależność w wykonywaniu przez niego obowiązków i zadań. Odnosi się to w szczególności do podmiotów publicznych czy też podmiotów o złożonych strukturach, które będą musiały dostosować swoje regulaminy organizacyjne oraz statuty tak, aby zapewnić niezależność DPO. Zgodnie z Wytycznymi Grupy Roboczej art. 29 dotyczącymi inspektora ochrony danych umiejscowienie inspektora ochrony danych w strukturze organizacyjnej danego podmiotu powinno być czytelne dla całego personelu administratora lub podmiotu przetwarzającego, w związku z czym w przypadku powołania DPO, administrator lub podmiot przetwarzający powinien zawiadomić o tym fakcie pozostałych pracowników. W celu zapewnienia niezależności inspektorowi ochrony danych ogólne rozporządzenie o ochronie danych, wprowadza kilka szczegółowych rozwiązań, które pozwalają na osiągnięcie ww. celu, mianowicie:

1) Bezpośrednia podległość DPO najwyższemu kierownictwu

Jednym ze szczegółowych rozwiązań służących niezależności DPO jest umieszczenie go w strukturze organizacyjnej administratora danych lub podmiotu przetwarzającego bezpośrednio pod najwyższym kierownictwem. Zgodnie z art. 38 ust. 3 RODO inspektor ochrony danych ma podlegać bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Bezpośrednia podległość oznacza, że w ramach podejmowanych przez siebie czynności inspektor ochrony danych nie może podlegać jakimkolwiek innym osobom lub jednostkom organizacyjnym wchodzącym w skład struktury administratora danych (art. 38 ust. 3 RODO). Sposób rozumienia terminu najwyższe kierownictwo na pewno zależyod typu podmiotu jakim jest administrator lub podmiot przetwarzający. Tytułem przykładu wskazać można, że najwyższym kierownictwem” będzie osoba lub osoby wchodzące w skład organu, które kierują jej pracami (ministrowie kierujący działami administracji rządowej, dyrektorzy szkół), albo prowadzą jej sprawy (zarząd spółki, wspólnicy spółki jawnej, właściciel jednoosobowej działalności gospodarczej).

Podległość najwyższemu kierownictwu jest jedną z gwarancji niezależnej, wysokiej pozycji inspektora ochrony danych w strukturze administratora danych, a ponadto skraca drogę raportowania, co ma istotne znaczenie w razie konieczności podejmowania szybkich działań naprawczych w sytuacji naruszenia ochrony danych osobowych.

4) Wspieranie DPO w wypełnianiu jego zadań

Administrator danych i podmiot przetwarzający zostali zobowiązani do wspierania  inspektora ochrony danych poprzez m.in. zapewnienie mu zasobów niezbędnych do wykonania tych zadań. Na gruncie obecnie obowiązującej ustawy o ochronie danych osobowych funkcję ABI może pełnić osoba, która ma zapewnione środki i organizacyjną odrębność, niezbędne do niezależnego wykonywania przez niego zadań. Przy czym określenie „środki” rozumiane jest szeroko, np. w sensie organizacyjnym, technicznym, infrastrukturalnym, jak i finansowym.

Grupa Robocza art. 29 w Wytycznych dotyczących inspektora ochrony danych także opowiada się za szerokim rozumieniem zasobów, wskazując, że ważne - szczególnie w przypadku DPO zatrudnionych w niepełnym wymiarze czasu pracy, albo łączących obowiązki DPO z innymi zadaniami – jest zapewnienie inspektorowi ochrony danych odpowiedniej ilości czasu na wykonywanie zadań. Wystąpienie sprzecznych priorytetów skutkować mogłoby zaniedbaniem obowiązków pełnionych przez DPO. Zdaniem Grupy Roboczej art. 29 dobrą praktyką byłoby wskazanie czasu, który należy poświęcić na obowiązki DPO, oszacowane czasu potrzebnego na wypełnienie tych obowiązków oraz ustalenie priorytetów DPO i stworzenie planu pracy DPO.

W zakresie innych form wspierania inspektora ochrony danych Grupa Robocza art. 29 wskazuje m.in. na wsparcie kadrowe, szczególnie, gdy DPO obsługuje podmiot o szerokim spektrum działania. Ponadto zaleca się, aby oficjalnie zakomunikować wszystkim pracownikom w danej organizacji, o fakcie wyznaczenia DPO oraz o pełnionych przez niego obowiązkach.

3) Zapewnienie udziału DPO we wszystkich zagadnieniach związanych z ochroną danych osobowych

Artykuł 38 RODO zobowiązuje administratora oraz podmiot przetwarzający do zapewnienia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Norma ta ma zapobiegaćpróbom ograniczania inspektorowi dostępu do niezbędnych dla realizacji jego zadań informacji, a tym samym  sprzyja zachowaniu jego niezależności.

Zgodnie z Wytycznymi Grupy Roboczej art. 29 dotyczącymi inspektora ochrony danych niezwykle istotne jest, by DPO był zaangażowany od najwcześniejszego etapu we wszystkie kwestie związane z przetwarzaniem danych osobowych, ponieważ ułatwi to zapewnienie zgodności  z RODO i uwzględnianie ochrony danych w fazie projektowania. Przepisy ogólnego rozporządzenia o ochronie danych w określonych przypadkach wprost nakazują administratorowi angażowanie DPO w podejmowanie określonych czynności i decyzji, np. nakazują administratorowi konsultowanie się z DPO przy okazji dokonywania takiej oceny skutków. W związku z tym angażowanie inspektora ochrony danych we wszelkie kwestie związane z ich przetwarzaniem powinno być standardową procedurą w organizacji.

Ponadto inspektor ochrony danych powinien być postrzegany jako partner w dyskusji i powinien być włączany w prace grup roboczych poświęconych procesom związanym z przetwarzaniem danych osobowych w ramach organizacji. Należy zapewnić mu między innymi: udział w spotkaniach przedstawicieli wyższego i średniego szczebla organizacji, uczestnictwo przy podejmowaniu kluczowych decyzji dotyczących przetwarzania danych osobowych wraz z odpowiednio wcześniejszym udostępnieniem  DPO informacji umożliwiających zajęcie mu stanowiska, natychmiastowe konsultowanie się z nim w przypadku stwierdzenia naruszenia albo innego zdarzenia związanego z danymi osobowymi, określenie przez administratora lub podmiot przetwarzający innych przypadków, które wymagają konsultacji z DPO.

Ponadto stanowisko inspektora ochrony danych powinno być zawsze brane pod uwagę przez kierownictwo oraz pracowników danego podmiotu. Grupa Robocza art. 29 zaleca, aby w ramach dobrych praktyk, dokumentować przypadki i powody postępowania niezgodnego z zaleceniem DPO. 

2) Zakaz wydawania instrukcji DPO co do wykonywania przez niego zadań

Istotną gwarancją w zakresie niezależności inspektora ochrony danych jest niewątpliwie wprowadzenie zakazu wydawania przez administratora lub podmiotu przetwarzającego instrukcji (poleceń) dla DPO dotyczących wykonywania przez niego zadań (art. 38 ust. 3 RODO). Zakaz wydawania instrukcji inspektorowi ochrony danych, oznacza, że w ramach wypełniania swoich zadań inspektor ochrony danych, nie może otrzymywać poleceń dotyczących sposobu załatwienia sprawy, środków jakie mają zostać podjęte, czy też celu jaki powinien zostać osiągnięty. Ponadto, administrator nie powinien uniemożliwiać, bądź ograniczać inspektorowi ochrony danych kontaktu z organem nadzorczym. W Wytycznych dotyczących inspektora ochrony danych Grupa Robocza art. 29 wskazuje, że DPO nie może również zostać zobligowany do przyjęcia określonego stanowiska w sprawie z zakresu prawa ochrony danych, w tym określonej wykładni przepisów.

Z drugiej strony Grupa Robocza art. 29 podkreśla, ze niezależność DPO (w tym również w kontekście zakazu do wydawania instrukcji, co do wykonywania zadań DPO) nie oznacza, iż inspektor ochrony danych posiada uprawnienia decyzyjne wykraczające poza zadania z art. 39 RODO.  Nie zmienia to faktu, że za zapewnienie zgodności z przepisami o ochronie danych osobowych i wykazanie zgodności odpowiedzialni są administrator i podmiot przetwarzający. W sytuacji podjęcia przez administratora lub podmiot przetwarzający decyzji niezgodnej z przepisami RODO  i zaleceniami DPO, inspektor ochrony danych powinien mieć możliwość jasnego przedstawienia swojego stanowiska osobom podejmującym decyzję.

Respektowanie powyższego zakazu może być szczególnie problematyczne na styku wykonywania wewnętrznego audytu różnych sfer działalności podmiotu będącego administratorem danych. Szczególnie ważne, zwłaszcza na początku funkcjonowania omawianego przepisu, może być dokonanie wnikliwej analizy zakresu i celów poszczególnych stanowisk związanych z wewnętrznym audytem, tak aby inne osoby wewnątrz organizacji np. prawnicy, audytorzy mogli realizować swoje zadania, nie naruszając przedmiotowego zakazu.

5) Unikanie konfliktu interesów DPO

Zgodnie z art. 38 ust. 6 RODO, istnieje możliwość nakładania na inspektora ochrony danych innych zadań i obowiązków, ale administrator i podmiot przetwarzający muszą zapewnić by nie powodowało to konfliktu interesów. Zatem jak wyjaśnia Grupa Robocza art. 29 w Wytycznych dotyczących inspektora ochrony danych oznacza to m.in., że DPO nie może zajmować  w  organizacji stanowiska związanego z określaniem sposobów i celów przetwarzania danych. Aspekt ten powinien być analizowany osobno i indywidualne dla każdego podmiotu. Powierzając inspektorowi ochrony danych inne zadania, w celu uniknięcia konfliktu interesów administrator danych lub podmiot przetwarzających, powinni w swojej organizacji zidentyfikować stanowiska niekompatybilne z pełnieniem funkcji DPO. Wskazane byłoby też opracowanie wewnętrznej polityki określającej stanowiska będące w konflikcie interesów oraz opracowanie generalnego dokumentu dotyczącego konfliktu interesów. Ponadto administrator lub podmiot przetwarzający powinni wprowadzić odpowiednie zabezpieczenia do wewnętrznych zasad organizacji celem zapewnienia, by ogłoszenia o rekrutacji na stanowisko inspektora ochrony danych były sformułowane w jasny, precyzyjny sposób i niwelowały ryzyko powstania konfliktu interesów.

6) Zakaz odwoływania i karania DPO

Zachowanie niezależności przez inspektora ochrony danych wspiera również art. 36 ust 3 RODO, stanowiący, że administrator lub podmiot przetwarzający nie może odwołać ani karać DPO za wypełnianie przez niego zadań. Oczywiście przepis ten należy odnosić do obiektywnie prawidłowego wykonywania zadań. Nie chodzi tu o ochronę inspektora, który nie wywiązuje się należycie ze swoich zadań.Jest to jedyny przepis w ogólnym rozporządzeniu o ochronie danych dotyczący odwołania DPO.

Zgodnie z Wytycznymi Grupy Roboczej art. 29 dotyczącymi inspektora ochrony danych inspektor nie  może zostać odwołany ani ukarany za udzielenie określonego zalecenia, nawet jeśli jest ono niezgodne ze stanowiskiem reprezentowanym przez  administratora lub podmiot przetwarzający. Grupa Robocza art. 29 wyjaśnia, że chodzi tu o kary w różnych formach, bezpośrednie albo pośrednie, np. brak albo opóźnienie awansu, utrudnienie rozwoju zawodowego, ograniczenie dostępu do korzyści oferowanych pozostałym pracownikom. Zakaz odwoływania inspektora ochrony danych, nie oznacza natomiast, że DPO nie może zostać odwołany w uzasadnionych sytuacjach z przyczyn innych niż wykonywanie swoich obowiązków (np. z powodu kradzieży). Grupa Robocza art. 29 zaleca stosowanie polityki, że im stabilniejsza podstawa zatrudnienia i szerszy zakres ochrony inspektora ochrony danych przed odwołaniem, tym większa szansa na wykonywanie przez DPO zadań w sposób niezależny.

7) Obowiązek zachowania tajemnicy lub poufności co do wykonywania zadań przez DPO

Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności, co do wykonywania swoich zadań zgodnie z prawem Unii lub państwa członkowskiego (art. 38 ust. 5 RODO). Obowiązująca ustawa o ochronie danych osobowych w art. 39 ust. 2 stanowi, że osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Przepis ten odnosi się również do pełniącego swoje obowiązki i upoważnionego do przetwarzania danych osobowych administratora bezpieczeństwa informacji.

Jeśli chodzi o DPO, to w związku z wykonywaniem swoich zadań będzie on miał niewątpliwie dostęp do danych osobowych, w tym danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO, jak również informacji dotyczących środków technicznych i organizacyjnych zapewniających przetwarzanie zgodne z przepisami RODO, w tym polityk ochrony danych. Inspektor ochrony danych będzie również zobowiązany do przestrzegania wszystkich przepisów prawa krajowego i unijnego, które będą miały do niego zastosowanie i na mocy których, określone informacje objęte są prawnie chronionymi tajemnicami. Zobowiązanie inspektora ochrony danych do przestrzegania tajemnicy jest w pełni uzasadnione i służyć będzie nie tylko bezpieczeństwu danych osobowych, ale i wzmocnieniu zaufania do inspektorów ze strony administratorów danych i podmiotów przetwarzających. Co ważne - w Wytycznych dotyczących inspektora ochrony danych Grupa Robocza art. 29 podkreśla, że obowiązek zachowania tajemnicy oraz poufności nie uniemożliwia DPO kontaktu z organem nadzorczym i zasięgania jego opinii.