Inspektor Ochrony Danych, aby mógł właściwie wykonywać nałożone na niego przepisami RODO obowiązki, został wyposażony w specjalne uprawnienia określone w art. 38 RODO. Jedna z przyznanych gwarancji dotyczy zapewnienia Inspektorowi odpowiedniego dostępu do danych oraz procesów, w których są one przetwarzane.

W jakich sprawach należy informować IOD?

Art. 38 ust. 1 RODO brzmi: Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

Literalne brzmienie cytowanego przepisu wskazuje, że IOD powinien być włączany w cały przekrój spraw dotyczących danych osobowych – dosłowna interpretacja przepisu nie pozostawia bowiem miejsca Administratorowi danych do decydowania o pomijaniu, jego zdaniem, mniej ważnych aspektów przetwarzania danych.

W którym momencie powinien być informowany IOD?

Użyte pojęcia »właściwość« i »niezwłoczność« wskazują, że organizacje muszą włączać IOD na tyle wcześnie, by mógł on efektywnie oraz odpowiednio do zagrożeń wykonywać swoje zadania w stosunku do okoliczności sprawy¹. Udział Inspektora Ochrony Danych w jak najwcześniejszych etapach planowania procesów przetwarzania jest niezwykle ważny dla całej organizacji, nie tylko ze względu na doniosłość zasad privacy by default oraz privacy by design, ale też ze względu na jego właściwe wdrożenie w te procesy oraz możliwość przeprowadzenia efektywnych konsultacji.

W opinii Grupy Roboczej art. 29, IOD:

1. powinien brać regularny udział w spotkaniach wyższej oraz średniej kadry zarządzającej;

2. powinien brać odpowiednio udział we wszystkich etapach, na których podejmowane są decyzje co do kształtu projektowanych założeń. Powinien on przy tym być na tyle wcześniej o nich informowany, by mógł rekomendować adekwatne rozwiązania;

3. powinno się niezwłocznie informować o zaistniałych naruszeniach danych lub innych incydentach,

Nic nie mówiliśmy, bo nie wiedzieliśmy, że trzeba

Praktycznym problemem związanym z przywołanym przepisem jest nieodpowiednie włącznie IOD w kwestie dotyczące ochrony danych osobowych wynikające z niewiedzy pracowników o tym, że dana kwestia wchodzi w zakres prawa ochrony danych osobowych. Z tego powodu ważne jest też przeprowadzanie przez IOD odpowiednich szkoleń oraz dbanie o odpowiedni poziom znajomości przepisów dot. ochrony danych wśród pracowników organizacji. W przypadku niedopełnienia tych obowiązków IOD może napotkać problemy związane z efektywną współpracą z pracownikami organizacji, w której pełni funkcję „strażnika danych”.

Ustalić i udokumentować proces

W celu zapewnienia sobie odpowiedniego poziomu informacji na temat przetwarzania danych w organizacji IOD powinien także opracować oraz wdrożyć odpowiedni proces konsultacji nowych inicjatyw, który zapewni mu notyfikację o procesach przetwarzania danych, nawet jeśli pracownicy ich właściwie nie zidentyfikują. Innym rozwiązaniem może być stworzenie procedury, która ułatwi pracownikom zakwalifikowanie odpowiednich czynności jako procesów przetwarzania danych.

Każdy Administrator danych powinien pamiętać, że wyznaczenie IOD wiąże się nie tylko z jego obowiązkami, ale także z przyznanymi przez przepisy uprawnieniami, których nie można pominąć. Inspektor Ochrony Danych nie może być postacią istniejącą tylko w dokumentacji organizacji. Celem wykonywania swoich obowiązków musi żywo uczestniczyć w działalności firmy, znać jej procesy oraz zasady działania. IOD nie jest bowiem „złem koniecznym”, ale postacią, która może mieć decydujący wpływ na ochronę danych i zgodność organizacji z przepisami. Administratorzy powinni zatem współpracować z nim i jak najwcześniej wdrażać go we wszystkie elementy, które mogą być związane z ochroną danych.

Nawet najlepszy IOD nie będzie w stanie efektywnie wykonywać swoich obowiązków bez odpowiedniego poziomu wiedzy o wewnętrznych strukturach i działaniach organizacji, w której go wyznaczono.