Strona główna IOD w organizacji Gwarancje IOD Prawo IOD do uzyskania niezbędnych środków

Prawo IOD do uzyskania niezbędnych środków

0
Prawo IOD do uzyskania niezbędnych środków

Przyznana w art. 38 RODO gwarancja dotyczy, mogłoby się wydawać, oczywistych aspektów dotyczących umożliwienia IOD pełnienia jego obowiązków poprzez dostarczenie niezbędnych zasobów i dostępu do informacji. Podobne postanowienia zawierała funkcjonująca wcześniej w polskim obrocie prawnym ustawa o ochronie danych osobowych, zgodnie z którą Administrator danych musiał zapewnić ABI-emu (poprzednikowi IOD) „środki niezbędne do niezależnego wykonywania jego ustawowych zadań”.

Należy jednak zwrócić uwagę, że zakres obowiązków oraz zasobów, których będzie potrzebował IOD, jest zależny od rozmiaru, charakteru oraz specyfiki danej organizacji. Z tego względu przepisy RODO ogólnie statuują potrzebę zapewnienia odpowiednich zasobów, nie podejmują jednak próby wylistowania ich lub skonkretyzowania.

Artykuł ten jest częścią cyklu o gwarancjach przyznanych IOD. Więcej podobnych artykułów znajdziesz tutaj.

Jaki konkretnie zasoby powinno się zapewnić?

Zgodnie z art. 39 ust. 1. RODO Inspektor ochrony danych między innymi zobowiązany jest:

  • informować administratora, podmioty przetwarzające oraz pracowników o ich obowiązkach związanych z ochroną danych osobowych,

  • monitorować przestrzegania przepisów o ochronie danych,

  • zwiększać świadomość prawną wśród personelu przetwarzającego dane,

  • udzielać na żądanie zaleceń co do oceny skutków dla ochrony danych oraz współpracować z organem nadzorczym.

Nie ulega wątpliwości, że tak szeroki zakres obowiązków wymaga stałego wspomagania IOD w pełnieniu jego funkcji poprzez dostarczanie odpowiedniego zaplecza w postaci zasobów:

  • finansowych (np. odpowiednich budżetów na szkolenia, zewnętrzne opinie prawne, a także niezależne audyty RODO)

  • infrastrukturalnych (np. systemów wspierających wykonywanie zadań przez IOD) czy

  • godzinowych (np. pełnego etatu lub osoby do pomocy).

Czas jako zasób

Należy zwrócić uwagę, że osoby pełniące funkcję IOD powinny mieć zapewnioną odpowiednią ilość czasu na realizację powyższych powinności, zwłaszcza, jeśli muszą dodatkowo wykonywać inne obowiązki związane z zatrudnieniem. Dostarczanie odpowiednich zasobów obejmuje także zasoby ludzkie, bowiem w dużych organizacjach niezbędne może się okazać wyznaczenie całych zespołów ds. ochrony danych, którym będzie przewodniczył IOD.

Nabycie oraz utrzymanie wiedzy przez IOD

Powyżej cytowany przepis odnosi się także do posiadanej przez IOD wiedzy, wskazując, że należy zapewnić jej „utrzymanie”. Według przedstawicieli doktryny oznacza to po pierwsze konieczność zachowania już posiadanego poziomu wiedzy IOD – na przykład poprzez cykliczne szkolenia przypominające. Jednakże w związku z szybkim rozwojem prawa ochrony danych oraz technologii ich przetwarzania niezbędne jest także zapewnienie IOD możliwości rozwoju, aby jego wiedza nie uległa dezaktualizacji.

Kompetencje, które powinny cechować IOD, związane są nie tylko z prawem ochrony danych, powinny one obejmować także wiedzę na temat środków technicznych, zabezpieczeń informatycznych a także zarządzania projektami czy kompetencji miękkich. Umiejętności tych można nauczyć się np. na kursach dla IOD. Różnorodny charakter obowiązków IOD w pełni uzasadnia konieczność zapewnienia IOD środków na rozwijanie niejednokrotnie mało oczywistych umiejętności.

Jakie inne zasoby pomagają w wykonywaniu funkcji IOD

Grupa Robocza Art. 29 (dzisiejszy EROD) wskazuje, że w zależności od charakteru czynności przetwarzania, działalności i wielkości organizacji należy przekazać IOD następujące zasoby:

  1. aktywne wsparcie funkcji IOD przez kierownictwo wyższego szczebla;

  2. odpowiednie wsparcie finansowe, infrastrukturalne (pomieszczenia, urządzenia, wyposażenie) i kadrowe, w stosownych przypadkach;

  3. dostęp do innych działów organizacji, dzięki czemu IOD mogą uzyskać niezbędne wsparcie, wkład lub informacje z tych innych działów;

Grupa Robocza Art. 29 nie wprowadza rewolucji w interpretacji pojęcia zasobów, które należy zapewnić IOD, jednakże jeszcze raz podkreśla doniosłość tej funkcji oraz elementarny charakter wymienionych w tym artykule zasobów. Inspektor Ochrony Danych pozbawiony wsparcia Administratora lub swojej organizacji nie będzie w stanie dobrze wykonywać swoich obowiązków, co niestety z pewnością przełoży się na standard ochrony danych oraz zgodność danego podmiotu z przepisami. Warto również wskazać, że niezastosowanie się do omawianego przepisu może pociągać za sobą odpowiedzialność administracyjną określoną w art. 83 ust. 4 RODO, tj. sankcję sięgającą nawet 10 milionów euro lub 2% rocznego globalnego obrotu w zależności, która z powyższych kwot jest wyższa.

Dodatkowe materiały:

1. Chodorowski M. Rozdział X. Nowe prawa i obowiązki administratorów bezpieczeństwa informacji (inspektorów ochrony danych) w świetle najnowszych opinii wydanych przez Grupę Roboczą art. 29 w: Kawecki M. (red.), Osieja T. (red.), Ogólne rozporządzenie o ochronie danych osobowych. Wybrane zagadnienia, Warszawa 2017 r.;

2. Grupa Robocza Art. 29 ds. ochrony danych, 16/EN WP 243 rew. 01 Wytyczne dotyczące inspektorów ochrony danych (‘DPO’), przyjęte w dniu 13 grudnia 2016 r. w wersji zmienionej i przyjętej w dniu 05 kwietnia 2017 r.

 

Maciej Chodorowski

Prawnik, doświadczony specjalista w dziedzinie ochrony danych osobowych, audytor wewnętrzny ISO 27001, Inspektor Ochrony Danych (IOD), a także prezes zarządu firmy doradczej Data Legal Solutions Sp. z o.o.