Czy IOD może ponosić odpowiedzialność za wykonywanie swoich zadań?

300

Zakaz otrzymywania instrukcji i brak ponoszenia odpowiedzialności za wykonywanie zadań inspektora ochrony danych stanowi prawdopodobnie największą nowość w odniesieniu do gwarancji Inspektora Ochrony Danych. Gwarancja ta uregulowana w art. 38 ust.3 RODO umożliwia IOD posiadanie pełnej autonomii decyzyjnej w zakresie nadzoru nad ochroną danych osobowych, nawet jeśli jego zalecenia będą stały w jawnej opozycji do decyzji Administratora danych lub strategii biznesowej danego podmiotu.

reklama

Zakaz przekazywania instrukcji 

IOD nie może otrzymywać żadnych instrukcji dotyczących wykonywania przez siebie zadań określonych w art. 39 RODO. Nie może być on też zobligowany do przyjęcia określonej wykładni przepisów, zrezygnowania z niewygodnych dla Administratora zaleceń lub rekomendowania generujących zasoby zabezpieczeń.

Pomimo szerokiego zakreślenia tej swobody nietrudno także wyobrazić sobie sytuację, gdy organizacja w sposób nieoficjalny przekazuje IOD instrukcje, bądź wiążące zalecenia co do jego pracy. Równie prawdopodobna wydaje się możliwość ignorowania zaleceń IOD, gdy Administrator uzna, że jego zalecenia są zbyt daleko idące lub mogą powodować zbyt wysokie koszty (takich wypadkach powinna zostać sporządzona prze IOD notatka o rozbieżności zdań/decyzji).

Czy IOD może odpowiadać za wykonywanie przez siebie funkcji?

IOD nie ponosi odpowiedzialności za swoje działania związane z wykonywaniem obowiązków. Administrator Danych Osobowych nie możne też na niego wpływać poprzez próbę odwołania lub karania go. IOD nie może być karany w sposób bezpośredni (np. zwolnienie, kary porządkowe itp.) jak i pośredni (np. poprzez opóźnienie awansu, ograniczenie rozwoju zawodowego lub dostępu do benefitów pracowniczych).

Należy wskazać jednak, że brak odpowiedzialności nie ma charakteru bezwzględnego. Brak karalności dotyczy tylko wykonywania obowiązków dotyczących ochrony danych zgodnie z przepisami RODO. IOD może być pociągnięty do odpowiedzialności za nie wykonywanie lub nienależyte wykonywanie swoich powinności (np. brak przeprowadzania szkoleń, brak wyrażania swoich opinii, brak przeprowadzania sprawdzeń ochrony danych) lub uchybianie innym obowiązkom pracowniczym. Inspektor może również odpowiadać za popełnienie deliktów, wykroczeń oraz przestępstw (np. kradzieży danych).

reklama

Kto powinien kontrolować IOD?

RODO nie określa w jakiej sytuacji można uznać, że IOD nieprawidłowo wykonuje swoje obowiązki, ani w jaki sposób kontrolować ich wykonanie. Nie stworzono do tej pory wytycznych w których określono by kto powinien dokonać oceny dotychczasowej pracy IOD – czy Administrator, czy też na jego zlecenie firma zewnętrzna, czy może miarą będzie dopiero negatywny wynik kontroli organu nadzorczego. Z własnego doświadczenia jednak wiem, że audyt RODO wykonany przez zewnętrzną firmę pomaga organizacji oraz powołanemu w niej inspektorowi spojrzeć na ochronę danych osobowych z innej perspektywy, a także odnieść funkcjonujące w niej procesy do doświadczeń pozyskanych podczas obsługi innych firm. Audytu zewnętrznego nie powinno się jednako narzędzie do szukania „haków” na IOD, bowiem może to naruszać prawo i to nie tylko RODO.

Podsumowując, funkcja Inspektora Ochrony Danych powinna cieszyć się jak najszerszym zakresem swobody i niezależności. Nie oznacza to jednak, że Inspektorzy Ochrony Danych mogą czuć się bezkarni, ponieważ ich autonomia ogranicza się tylko do wykonywania obowiązków związanych z nadzorem nad ochroną danych w organizacji. Każdy IOD powinien zatem rzetelnie wykonywać swoją pracę, by nie narazić się na inne zarzuty, które umożliwią organizacji odwołanie go. Administratorzy danych oraz podmioty przetwarzające mają obowiązek zapewnić IOD możliwość niezależnego wykonywania swoich zadań oraz nie wpływać na jego wybory i decyzje. Administratorzy mogą jednak kontrolować sposób wykonywania tych obowiązków przez IOD w tym sprawdzać czy są one faktycznie wykonywane.

 

 

Administratorem podanych przez Pana/ Panią danych osobowych jest Data Legal Solutions z siedzibą w Warszawie (02-566), przy ul. Puławskiej 12/3. Dane będą przetwarzane w celu wysyłki newslettera oraz celu wysyłania przez administratora treści marketingowych administratora i podmiotów współpracujących na zasadach określonych w regulaminie portalu. Podanie adresu e-mail jest dobrowolne, lecz jego podanie jest niezbędne do zapisania się do newsletter. Udostępnienie adresu e-mail jest uznawane przez nas jako zamówienie informacji handlowej zgodnie z art. 10 ust. 2 ustawy o świadczeniu usług drogą elektroniczną. Więcej informacji na temat przetwarzania przez nas danych osobowych znajduje się wpolityce prywatności.
Reklama