Wraz z rozpoczęciem stosowania ogólnego rozporządzenia o ochronie danych (RODO) wiele podmiotów stanęło przed koniecznością wyznaczenia Inspektora Ochrony Danych - osoby pełniącej specjalną funkcję w systemie ochrony danych osobowych funkcjonującym w każdym podmiocie przetwarzającym dane osobowe.

Praktyczne problemy w prawidłowym wyznaczeniu inspektora ochrony danych.

Zgodnie z art. 37 ust. 5 ogólnego rozporządzenia o ochronie danych (RODO) inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych.

Kim więc powinien być inspektor ochrony danych? Jednocześnie prawnikiem, jak i informatykiem, wyspecjalizowanym przy tym w kwestiach dotyczących ochrony danych osobowych. Każdy administrator danych osobowych, który szukał kompetentnego inspektora ochrony danych wie, że na rynku funkcjonuje bardzo niewielka liczba takich osób.

Jaka jest praktyka większości podmiotów zobowiązanych do wyznaczenia inspektora ochrony danych? Wyznaczają na tę funkcję jednego ze swych pracowników, najczęściej jednego z informatyków lub pracowników działu kadr. Czy osoba taka posiada kompetencje niezbędne do pełnienia funkcji inspektora ochrony danych? Najczęściej nie. Kto ponosi za to odpowiedzialność? Naturalnie, administrator danych osobowych. W przypadku bowiem wyznaczenia inspektora ochrony danych niespełniającego wymogów art. 37 ust. 5 RODO, organ nadzorczy uznać może, iż doszło do naruszenia przepisów RODO, ze wszelkimi wynikającymi z tego konsekwencjami. Wyrzucić więc do kosza można mit mówiący, że wyznaczając inspektora ochrony danych administratorzy zrzucają ze swych barków ryzyko związane z naruszeniem zasad ochrony danych osobowych. Inspektor ochrony danych jest bowiem co do zasady jedynie konsultantem administratora ochrony danych (bądź podmiotu przetwarzającego dane), pełniącym przy tym określone funkcje nadzorcze i ponosi odpowiedzialność jedynie za naruszenie ciążących na nim obowiązków (co do zasady konsultacyjnych oraz nadzorczych) a nie za naruszenie zasad ochrony danych osobowych, którego dopuszcza się zatrudniający go podmiot.

Jak poradzić sobie z powyższym problemem?

Zgodnie z art. 38 ust. 2 RODO, administrator (oraz podmiot przetwarzający) wspierają inspektora ochrony danych w wypełnianiu ciążących na nim zadań, zapewniając mu zasoby niezbędne do wykonywania tych zadań. Wniosek płynący z art. 38 ust. 2 RODO jest oczywisty. W sytuacji, w której administrator wyznaczył inspektora ochrony danych niebędącego prawnikiem, zapewnić powinien mu co do zasady wsparcie prawnika specjalizującego się w kwestiach dotyczących ochrony danych osobowych. Warto przy tym zauważyć, iż za brak realizacji obowiązku wynikającego z art. 38 ust. 2 RODO grożą podobne sankcje jak za naruszenie wcześniej wspomnianego art. 37 ust. 5 RODO.

Podsumowując, administrator który wyznaczył na inspektora ochrony danych zatrudnionego przez siebie informatyka (najczęstsza praktyka) lub innego ze swych pracowników, powinien zapewnić mu wsparcie prawne w zakresie realizacji obowiązków ciążących na inspektorze ochrony danych.

Co oferujemy?

Oferujemy bieżące wsparcie prawne inspektorów ochrony danych w zakresie realizacji ciążących na nich obowiązków. Jesteśmy radcami prawnymi specjalizującymi się w kwestiach dotyczących ochrony danych osobowych, posiadamy również podstawy wiedzy dot. technologicznych środków bezpieczeństwa danych osobowych, co ułatwia znacząco dialog z inspektorem ochrony danych oraz działem IT naszego Klienta. Pomagamy nie tylko w realizacji obowiązków formalnych ciążących na administratorze danych osobowych, ale także w doborze odpowiednich zabezpieczeń chroniących dane osobowe, likwidacji podatności zwiększających ryzyko wystąpienia naruszeń ochrony danych osobowych, a także w dialogu z kontrahentami, pracownikami, klientami i innymi osobami, których dane przetwarzane są przez naszego Klienta.

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

RODO | Kancelaria prawna Poznań