Inspektor Ochrony Danych

Jeden inspektor dla kilku podmiotów

W przeciwieństwie do ustawy o ochronie danych osobowych ogólne rozporządzenie o ochronie danych zawiera przepisy prawa dotyczące  możliwości powołania jednego inspektora ochrony danych dla kilku podmiotów. Przepisy te wskazują również warunki, jakie należy spełnić stosując takie rozwiązanie.

W przypadku podmiotów prywatnych, jednego inspektora może powołać grupa przedsiębiorstw (np. grupa kapitałowa), o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej (art. 37 ust. 2 RODO). Jeżeli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych (art. 37 ust. 3 RODO).

Jak wynika z Wytycznych Grupy Roboczej art. 29 dotyczących inspektorów danych osobowych, wyznaczając jednego inspektora ochrony danych dla kilku podmiotów (zarówno publicznych, jak i prywatnych), należy uwzględnić, że musi on być „łatwo dostępny” dla osób wewnątrz organizacji, które podejmują decyzje oraz działania związane z przetwarzaniem danych osobowych (czyli zarówno dla osób sprawujących funkcje kierownicze u danego administratora lub podmiotu przetwarzającego, jak i ich pracowników), ze względu na to, iż jednym z zadań DPO jest „informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia”(art. 39 ust 1 lit. a RODO). DPO pełni ponadto funkcję punktu kontaktowego dla organu nadzorczego oraz osób, których dane są przetwarzane. W związku z powyższym, każdy z wymienionych podmiotów, powinien posiadać możliwość bezpośredniego kontaktu z powołanym DPO. Nie oznacza to, że inspektor ochrony danych ma być dostępny osobiście, ale, że można z nim bez problemu nawiązać kontakt np. przez telefon, e-mail lub inny bezpieczny środek komunikacji. Należy, pamiętać, że możliwość kontaktu z inspektorem ochrony danych oznacza też, że osoby, które chcą się z nim porozumieć, powinny mieć taką możliwość w używanym przez siebie języku, co oczywiście nie wyłącza możliwości pełnienia funkcji DPO przez obcokrajowca. W celu zapewnienia możliwości łatwego kontaktu z DPO, czy to wewnętrznym czy zewnętrznym, istotne jest udostępnienie jego danych kontaktowych zgodnie z wymogami RODO.

Z powyższego można wnioskować, że rozwiązanie to może być stosowane tylko wówczas, gdy mimo wykonywania swoich zadań dla kilku podmiotów, inspektor ochrony danych będzie w stanie czynić to efektywnie, w sposób rzetelny i kompetentny. Administratorzy i podmioty przetwarzające powinny się na nie decydować ze świadomością ciążącej na nich odpowiedzialności za zgodne z ogólnym rozporządzeniem o ochronie danych przetwarzanie danych osobowych. W takich przypadkach niezbędne będzie podjęcie przez nich ustaleń dotyczących ich współpracy w zakresie zapewnienia DPO  prawidłowych warunków wykonywania funkcji (m.in. pod względem czasowym i organizacyjnym, pod względem zapewnienia wystarczających zasobów, włączania we wszystkie sprawy dotyczące ochrony danych osobowych oraz przewidzianych w RODO gwarancji jego niezależności). Każdy z tych administratorów musi zapewnić łatwy dostęp do inspektora ochrony danych zarówno wewnątrz organizacji, jak i wobec podmiotów, których dane są przetwarzame i organu nadzorczego. Zatem z obsługi jednego DPO nie może korzystać jednocześnie wielu administratorów, będących dużymi, odległymi od siebie podmiotami. Należy przewidywać, że korzystać z tego rozwiązania będą przede wszystkim niewielkie podmioty, w jakiś sposób ze sobą powiązane, przetwarzające dane osobowe w zbliżonych celach lub w podobny sposób (np. przy wykorzystaniu takich samych środków informatycznych czy rozwiązań organizacyjnych).