Niezależność IOD musi być standardem – podsumowanie efektów spotkania w UODO

O właściwe wykonywanie funkcji IOD, w tym w zakresie jego niezależności, muszą dbać i administratorzy, i organ nadzorczy, i sami inspektorzy. Pomocne w osiągnięciu tego celu mogą być wypracowane przez lata stanowiska i wskazówki UODO.

Kwestia niezależności inspektorów ochrony danych (IOD) w świetle krajowego raportu z przeprowadzonego w 2023 r. skoordynowanego działania EROD CEF DPObyła głównym tematem zorganizowanego przez UODO 9 kwietnia br. spotkania ze środowiskiem IOD. Jego hybrydowa formuła umożliwiła uczestnictwo w nim ponad 600 osobom – zarówno samym inspektorom ochrony danych, jak i przedstawicielom organizacji ich zrzeszających lub skupiających firmy świadczące usługi w tym zakresie.

Główne problemy i zagrożenia dla niezależności IOD

Na spotkaniu przedstawiciele UODO omówili standardy w zakresie niezależności IOD wynikające z przepisów o ochronie danych osobowych oraz występujące w praktyce problemy, takie jak:

• nakładanie na IOD obowiązków administratora,
• zawieranie umowy powierzenia przetwarzania danych osobowych pomiędzy administratorem a inspektorem ochrony danych,
• występowanie przez IOD w roli pełnomocnika administratora.

Kanwą ich wystąpień i towarzyszącej im prezentacji były stanowiska opublikowane wcześniej na stronie internetowej urzędu (np. Czy administrator może przerzucać swoje obowiązki na IOD?, Czy prowadzenie rejestru czynności powinno być zaliczane do zadań IOD?, Czy z zewnętrznym IOD należy zawrzeć umowę powierzenia?, Za realizację praw osób w zakresie dostępu do dotyczących ich danych odpowiada administrator (Biuletyn UODO, Wydanie 1 (styczeń 2024), Sprawozdanie krajowe polskiego organu nadzorczego w ramach CEF DPO).

Rozwiązania korzystne dla niezależności IOD

Uczestnicy spotkania wspólnie zastanawiali się (również w formie komentarzy na czacie), jakie rozwiązania powinny być stosowane, by wspierać niezależność inspektorów ochrony danych, tak by mogli oni prawidłowo wykonywać swoją funkcję i podejmować nowe wyzwania w dziedzinie ochrony danych osobowych.

21 wiadomości na specjalną skrzynkę e-mail

Dodatkowo po spotkaniu uruchomiony został specjalny adres e-mail (niezaleznoscIOD@uodo.gov.pl). Do 16 kwietnia można było przesyłać na niego opinie dotyczące tematów omawianych na spotkaniu oraz propozycje działań, jakie mogłyby być pomocne w zapewnieniu inspektorom odpowiedniego statusu i warunków do pełnienia tej funkcji. Z tej formy kontaktu skorzystało 21 podmiotów - zarówno inspektorów, jak i organizacji. Nadawcy tych wiadomości:

• dzielili się w nich swoimi doświadczeniami w zakresie pełnienia funkcji IOD (np. przypadki nakładania na IOD zadań administratora, brak świadomości administratorów co do roli, zadań i statusu IOD);
• przedstawiali też konkretne pytania dotyczące zadań wykonywanych przez inspektora (np. w związku z naruszeniami ochrony danych, realizowaniem roli punktu kontaktowego, przeprowadzaniem audytów czy funkcjonowaniem w centrach usług wspólnych);
• zgłaszali postulaty co do działań, które mogłyby przyczynić się do poprawy postrzegania roli IOD oraz pełnienia przez niego swojej funkcji (np. ograniczenie możliwości zawierania umów na świadczenie funkcji IOD za 200- 300 zł i świadczenia takich usług u dużej liczby administratorów);
• przesyłali podziękowania za zorganizowanie spotkania na tak ważny temat, jak niezależność IOD, oraz prośby o udostępnienie prezentacji, co też niniejszym czynimy (plik prezentacji załączamy poniżej).

Potrzeba upowszechniania dobrych rozwiązań

Z analizy wiadomości zamieszczonych na czacie oraz przesłanych na specjalnie uruchomiony adres niezaleznoscIOD@uodo.gov.pl wynika, że praktyka pełnienia funkcji inspektora ochrony danych (w tym w również w zakresie jego niezależności) w niektórych przypadkach odbiega od standardów wyznaczonych i zagwarantowanych przez przepisy RODO oraz propagowanych przez UODO od czasu wejścia w życie tego aktu. Dlatego tak ważne jest dalsze podejmowanie działań i inicjatyw propagujących prawidłowe (zgodne z przepisami prawa) wzorce pełnienia tej funkcji. Żeby działania te były jak najbardziej skuteczne wskazane jest, by włączyli się w nie oprócz organu nadzorczego, również administratorzy, inspektorzy oraz inne podmioty i organizacje, np. zrzeszające inspektorów.

Listy od organizacji

Po spotkaniu dotyczącym niezależności IOD oprócz wiadomości kierowanych na specjalną skrzynkę e-mailową do UODO wpływały również inne pisma nawiązujące do zagadnień na nim poruszanych, w tym dwa pisma pochodzące od organizacji związanych ze środowiskiem IOD.

Jedno z tych pism pochodziło od trzech organizacji: SABI – Stowarzyszenia Inspektorów Ochrony Danych (SABI), Stowarzyszenia Praktyków Ochrony Danych (SPOD) oraz Związku Firm Ochrony Danych Osobowych (ZFODO). Zawierało ono podziękowania za organizację spotkania na temat niezależności funkcji IOD, w tym unikania konfliktu interesów przy wykonywaniu tej funkcji zarówno w małych, jak i dużych organizacjach. W ocenie jego autorów jest to bardzo ważna kwestia dla środowiska inspektorów ochrony danych, wpływająca na efektywność wykonywania zadań monitorowania ochrony danych osobowych zgodnie z przepisami RODO, jak również zapewnienia wysokiego poziomu ochrony praw osób, których dane dotyczą. Jednocześnie pismo to zawierało propozycję zorganizowania Grupy Roboczej ds. IOD, której celem byłoby wypracowanie standardów i wytycznych dotyczących wykonywania funkcji inspektora ochrony danych.

Swoje stanowisko przesłało również Stowarzyszenie Inspektorów Ochrony Danych Osobowych (SIODO). Jego przedstawiciele, dziękując za inicjatywy i zaangażowanie Urzędu we współpracę z inspektorami ochrony danych, wyrazili przekonanie, że przyczynią się one do wzmocnienia respektowania konstytucyjnego prawa obywateli do prywatności i odpowiedniej ochrony danych osobowych oraz efektywnej realizacji przepisów RODO. Wskazali, że doceniają czytelny i jednoznaczny głos Urzędu co do statusu IOD i wzmocnienia jego pozycji. W ocenie Stowarzyszenia wyręczanie administratora przez IOD doprowadzić może do regresu świadomości administratora w zakresie odpowiedzialności, która na nim spoczywa, a także do nasilenia tendencji cedowania na IOD zadań spoczywających na administratorze. W ich ocenie jest to szczególnie ważne ze względu na rosnącą liczbę aktów prawnych, zwłaszcza tych dotyczących bezpieczeństwa informacji i cyberbezpieczeństwa, których stosowanie będzie ogromnym wyzwaniem dla wielu podmiotów z sektora prywatnego oraz publicznego. Zdaniem Stowarzyszenia kierownictwo podmiotów będących administratorami powinno wykazywać aktywne przywództwo oraz zaangażowanie w budowę kultury bezpieczeństwa informacji, w tym kultury ochrony danych osobowych i prawa do prywatności. W tym kontekście cedowanie na IOD kompetencji oraz realizacji obowiązków należących do administratora wydaje się dla tych wartości destrukcyjne.

Standardy już są. Trzeba je stosować i upowszechniać

W odpowiedzi na przywołane powyżej pisma organizacji Prezes UODO przede wszystkim podziękował ich autorom za aktywną postawę i zaangażowanie w działania na rzecz środowiska inspektorów ochrony danych. Wskazał, że kwestia konieczności zapewnienia IOD niezależności, gwarantującej prawidłowe i efektywne pełnienie tej funkcji, nieustannie jest podkreślana przy okazji różnych działań, np. CEF DPO, czy też w orzeczeniach TSUE - np. w wyroku w sprawie C-453/21. Zaznaczył też, że przestrzeganie wymogów służących zapewnieniu IOD możliwości prawidłowego wykonywania swojej funkcji jest szczególnie ważne zwłaszcza w kontekście nowych regulacji unijnych i wyzwań cyfrowych.

Prezes UODO wskazał też, że od początku obowiązywania przepisów ogólnego rozporządzenia o ochronie danych wypracowanych zostało przez Urząd wiele wytycznych i wskazówek dotyczących zapewnienia IOD warunków do prawidłowego funkcjonowania i wykonywania zadań. W ciągu ostatnich lat były one sukcesywnie publikowane na stronie internetowej UODO, przede wszystkim w zakładce Inspektor Ochrony Danych czy w Newsletterze UODO dla IOD (Biuletynie UODO), np. w Wydaniu 4 (kwiecień 2022), a ostatnio w sprawozdaniu krajowym polskiego organu nadzorczego przygotowanym w związku z udziałem w działaniu CEF DPO. Podkreślił, że akcja 27 pytań, służąca weryfikacji przez UODO przestrzegania przepisów dotyczących inspektorów ochrony danych, wykazała, iż wiele organizacji włożyło dużo wysiłku w prawidłowe wdrożenie przepisów dotyczących funkcjonowania IOD w swoich organizacjach, na dowód czego przedstawiło rzetelne i poparte odpowiednimi dowodami wyjaśnienia dotyczące funkcjonowania u nich odpowiednich rozwiązań.

Prezes UODO zapewnił ponadto, że dołoży wszelkich starań, aby ww. standardy nadal upowszechniać w świadomości adresatów przepisów i by były one przez nich przestrzegane. Obowiązkiem organu nadzorczego jest bowiem również monitorowanie i egzekwowanie obowiązującego w tym zakresie prawa. Jednocześnie wskazał, że organizacje zrzeszające i wspierające inspektorów ochrony danych są dla organu nadzorczego ważnym partnerem w działaniach na rzecz zwiększania świadomości, zarówno wśród inspektorów, jak i wśród administratorów, co do roli i statusu IOD, zwłaszcza co do przewidzianych w RODO gwarancji niezależnego wykonywania tej funkcji. Jednym z ważnych działań służących temu celowi mogłoby być upowszechnianie przez stowarzyszenia stanowisk i wskazówek wypracowanych przez UODO w tym zakresie.

W opinii organu nadzorczego warto, aby w działania na rzecz niezależności IOD włączali się również sami inspektorzy. Od specjalistów w dziedzinie ochrony danych osobowych, jakimi są, powinno się bowiem oczekiwać odpowiedzialnej postawy, stania na straży przestrzegania przepisów prawa oraz zwiększonej rzetelności w zakresie funkcji doradczej i monitorowania przestrzegania prawa. Zawodowy charakter tej funkcji powinien za sobą pociągać zwiększony zakres wymagań co do umiej��tności, wiedzy i zapobiegliwości w dziedzinie ochrony danych osobowych. Przykładowo inspektor ochrony danych - z uwagi na swoją rolę fachowego doradcy i podmiotu monitorującego w sposób niezależny przestrzeganie przepisów o ochronie danych osobowych - powinien ze swej strony odpowiednio wcześnie identyfikować i sygnalizować administratorowi zagrożenia dla niezależności IOD (np. ryzyko wystąpienia konfliktu interesów), by możliwe było odpowiednio wczesne im zapobieganie.

Prezes UODO wyraził też przekonanie, że wypracowywane przez lata, we współpracy z inspektorami ochrony danych i administratorami, wskazówki zamieszczane na stronie internetowej organu były i będą dla organizacji zrzeszających IOD niezbędną podbudową dla projektów mających na celu doskonalenie i upowszechnianie standardów w zakresie zgodnego z prawem realizowania obowiązków administratorów wobec IOD, a z drugiej strony kompetentnego wykonywania zadań przez inspektorów. Zadeklarował, że organ nadzorczy będzie wspierał wszelkie inicjatywy dotyczące profesjonalizacji funkcji IOD uwzględniające wypracowane przez organ nadzorczy wskazówki i zalecenia.

Dodatkowo - nawiązując do ogłoszonych ostatnio przez UODO publicznych konsultacji dwóch poradników, tj. poradnika o przetwarzaniu danych przy zatrudnianiu „Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców” z 2018 r. oraz poradnika o reagowaniu na naruszenia danych osobowych „Jak administratorzy powinni postępować w przypadku naruszeń ochrony danych” z 2019 r. (zob. https://uodo.gov.pl/pl/138/3098) - Prezes UODO zachęcił organizacje do zgłaszania uwag i sugestii w ramach tej inicjatywy.

Zał.:

- prezentacja przedstawicieli UODO przedstawiona na spotkaniu z inspektorami ochrony danych, które odbyło się 9 kwietnia br.

- wspólne pismo SABI, SPOD i ZFODO do Prezesa UODO z 26 kwietnia br.

- pismo SIODO do Prezesa UODO z 29 maja br.

- odpowiedź Prezesa UODO na pismo SABI, SPOD i ZFODO z 26 kwietnia br.

- odpowiedź Prezesa UODO na pismo SIODO z 29 maja br.