Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

Rozliczalność w pracy IOD

20-09-2019 Autor: Anna Matusiak-Wekiera

Budowanie oraz utrzymanie systemu ochrony danych osobowych przez administratora opiera się na „przypisywalności” ról i odpowiedzialności dotyczących przetwarzania danych w organizacji. Podział ról i odpowiedzialności znajduje swoje uzasadnienie w rozliczalności działań administratora lub procesora (art. 5 ust. 2 rodo).

 

Treść zasady rozliczalności rozumiana jako obowiązek przestrzegania przepisów rodo oraz zdolność do wykazania tego faktu w praktyce oznacza konieczność przydzielenia konkretnych zadań w ramach procesów przetwarzania danych określonym osobom w organizacji oraz weryfikację poprawności ich wykonania. Tylko dzieląc zadania, a następnie weryfikując, czy ten podział gwarantuje osiągnięcie określonych efektów w zakresie ochrony danych osobowych, możliwe jest spełnienie wymogu, który stawia przed organizacjami prawodawca unijny w przepisach rodo.

Artykuł 24 rodo, który nakłada na ADO obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z rodo, musi być interpretowany zgodnie z dyrektywą wskazaną w motywie 78 rodo, który konkretyzuje, że przyjęte środki muszą być efektywne i skuteczne. Bez względu na fakt, czy organizacja powołuje IOD, czy buduje zgodność przetwarzania bez IOD, przydzielanie odpowiedzialności w zakresie ochrony danych powinno następować na różnych poziomach w organizacji. Pracownicy różnych szczebli mogą być odpowiedzialni za działania o różnej wadze i różnym wpływie na przetwarzanie danych osobowych w związku z wykonywaniem zadań służbowych.

Wyznaczenie IOD a odpowiedzialność ADO

Wyznaczony przez administratora IOD istotnie wzmacnia organizację w realizacji zasady rozliczalności. Czy to oznacza, że z chwilą wyznaczenia IOD to on ponosi lub nawet przejmuje odpowiedzialność za przetwarzanie danych osobowych zgodnie z przepisami rodo (lub przepisami branżowymi)? Bez względu na podstawę prawną zatrudnienia IOD, treść umowy IOD z ADO czy sposób organizacji ochrony danych w danej organizacji, IOD nigdy nie ponoszą odpowiedzialności za zastosowanie przez ADO określonych środków technicznych lub organizacyjnych ochrony danych. Jak czytamy w wytycznych GR 29 WP 243:


„DPO nie ponoszą odpowiedzialności w przypadku niezgodności z RODO. Z rozporządzenia jasno wynika, że to administrator lub podmiot przetwarzający zobowiązany jest do zapewnienia i udowodnienia zgodności przetwarzania danych osobowych z przepisami prawa. (…) Do obowiązków administratora i podmiotu przetwarzającego należy również umożliwienie efektywnego wykonywania zadań przez DPO. Wyznaczenie DPO jest jedynie pierwszym krokiem, istotne jest również zapewnienie wystarczającej niezależności i środków umożliwiających skuteczne wykonywanie obowiązków”.

Z praktycznego punktu widzenia zagwarantowanie przez ADO właściwych warunków pracy IOD, a zatem stworzenie takiej relacji prawnej z IOD, która jasno określa ramy współpracy, jego zadania i odpowiedzialności – tak aby relacja ta dawała również bezpieczeństwo prawne osobie, która wykonuje tę funkcję – jest punktem wyjścia do zbudowania efektywnego systemu zarządzania ochroną danych osobowych w organizacji. Wadliwe ukształtowanie relacji z IOD, brak realnych możliwości wykonywania przez niego zadań, w tym brak prawnych i organizacyjnych gwarancji, aby mógł wykonywać właściwie przydzielone mu odpowiedzialności, jest naruszeniem art. 37–39 rodo. Naruszenie tych przepisów może prowadzić do odpowiedzialności ADO. Te okoliczności będą negatywnie wpływały na procesy biznesowe w organizacji, kształtując mało efektywny dla organizacji model wykonywania funkcji przez IOD, co przekłada się ostatecznie na obniżenie standardów ochrony danych osobowych.

Status i zadania IOD

Przepisy rodo określają, jakie zadania ma IOD w organizacji oraz jaki jest jego status, aby możliwe było wykonywanie przez niego wyznaczonych mu zadań. Artykuł 39 rodo określa minimum zadań dla IOD. Nie ma jednak przeszkód, aby IOD wykonywał również inne zadania w zakresie ochrony danych osobowych, jeśli jest to w danej organizacji uzasadnione ze względu na organizację procesu ochrony danych, a przyjęte rozwiązanie pozostaje w zgodzie z treścią art. 37–39 rodo. Praktyka pokazuje, że wśród dodatkowych zadań dla IOD administratorzy najchętniej widzą: współtworzenie rejestrów czynności przetwarzania, współudział w wydawaniu upoważnień do przetwarzania danych oraz udział IOD na różnych etapach w zgłaszaniu naruszeń ochrony danych do organu nadzorczego. Prawidłowe funkcjonowanie IOD możliwe jest tylko w ramach prawno-organizacyjnych, które ADO dla niego stworzy przez uwzględnienie wszystkich elementów statusu, jaki mu przysługuje zgodnie z rodo.

Na status IOD składają się dyrektywy:

  • działanie w warunkach wolnych od konfliktu interesów wobec ADO,
  • bezpośrednia podległość najwyższemu kierownictwu,
  • niezależność merytoryczna,
  • zakaz karania za wykonywanie obowiązków.

[...]

 

Autorka jest radcą prawnym, pełni funkcję IOD; w latach 2016–2018 była członkiem Komisji Ekspertów do spraw reformy prawa ochrony danych osobowych w UE przy GIODO.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.