Kluczowe jest rozdzielenie funkcji IOD i administratora

Inspektorzy ochrony danych stanowią ważny element systemu ochrony danych osobowych wprowadzonego przez RODO. Aby właściwie pełnili swoje zadania, administratorzy muszą im  zapewnić niezależność, odpowiednie wsparcie, oraz zapobiegać konfliktom interesów. Monika Kurzajewska, główny specjalista w Wydziale Współpracy z IOD, przypomniała najważniejsze elementy roli i pozycji IOD podczas spotkania z inspektorami w ramach akcji „UODO rusza w kraj”.

23 stycznia Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski wraz z innymi pracownikami Urzędu odwiedzili Suwałki. Było to kolejne wydarzenie w ramach akcji „UODO rusza w kraj”, której celem jest przybliżenie działalności UODO mieszkańcom różnych regionów Polski. Prócz debaty na temat zagrożeń i wyzwań dla ochrony danych osobowych oraz otwartego punktu porad dla mieszkańców odbyło się spotkanie z inspektorami ochrony danych oraz administratorami.

Rola i pozycja inspektora

Podczas tego spotkania Monika Kurzajewska, główny specjalista w Wydziale Współpracy z IOD, wygłosiła referat pt. „Rola i pozycja IOD w sektorze publicznym”. Na wstępie ekspertka wskazała, że kompetentny, właściwie usytuowany i niezależny – a przez to skuteczny IOD – to fundament przestrzegania przepisów o ochronie danych osobowych. Podkreśliła również, że od początku obowiązywania przepisów RODO Urząd wypracował wiele wytycznych i wskazówek dotyczących zapewnienia IOD warunków do prawidłowego funkcjonowania i wykonywania zadań.

Były one sukcesywnie publikowane na stronie internetowej UODO, przede wszystkim w zakładce Inspektor Ochrony Danych czy w Newsletterze UODO dla IOD (Biuletynie UODO), ale również w sprawozdaniu krajowym polskiego organu nadzorczego przygotowanym w związku z udziałem w działaniu CEF DPO oraz w podsumowaniu spotkania w UODO pt. Niezależność IOD musi być standardem.

W publikowanych na stronie internetowej UODO materiałach i odpowiedziach na pytania inspektorów i administratorów Urząd w działaniach na rzecz zwiększania świadomości, co do roli i statusu IOD, zwłaszcza co do przewidzianych w RODO gwarancji niezależnego wykonywania tej funkcji wskazywał, np.:

• Jakie gwarancje niezależności zostały przyznane IOD w przepisach RODO?
• Czy możliwe jest łączenie funkcji IOD z obowiązkami administratora systemu informatycznego (ASI)?
• Czy IOD może być osoba pełniąca funkcję kierownika komórki w organizacji?
• Czy IOD może jednocześnie pełnić funkcję pełnomocnika do spraw ochrony informacji niejawnych?
• Czy funkcję IOD można łączyć z wykonywaniem zawodu adwokata lub radcy prawnego?
• Czy z zewnętrznym IOD należy zawrzeć umowę powierzenia?
• Czy administrator jest zobowiązany na podstawie RODO do zapewnienia inspektorowi zespołu IOD?
• Czy obowiązek z art. 38 ust. 2 RODO dotyczy administratora korzystającego z usług zewnętrznego IOD?
• Czy zastępca IOD powinien być wyznaczony na stałe?
• i wiele innych, z których część nadal jest dostępna pod linkiem: https://uodo.gov.pl/pl/506/2579).

UODO w poprzednich latach wielokrotnie odnosił się również do kwestii wykonywania zadań przez IOD, wyjaśniając, np.:

• – Czy administrator może przerzucać swoje obowiązki na IOD?
• – Czy prowadzenie rejestru czynności powinno być zaliczane do zadań IOD?
• – Czy IOD może nadawać upoważnienia?
• – Czy IOD może w imieniu administratora zawierać umowy powierzenia?
• – Kto powinien opracować wewnętrzną politykę ochrony danych osobowych? Administrator czy IOD?

Pytania wraz z odpowiedziami udostępnione były na poprzedniej stronie internetowej naszego Urzędu w zakładce Inspektor Ochrony Danych (https://archiwum.uodo.gov.pl/p/zadania-iod), obecnie znajdują się w Numerze specjalnym Biuletynu UODO.

Kompetencje IOD, wsparcie i niezależność

Aby wykonywać swoje obowiązki, inspektor musi nie tylko znać krajowe i europejskie przepisy o ochronie danych osobowych, ale też rozumieć przeprowadzane procesy przetwarzania danych oraz posiadać wiedzę z zakresu IT i bezpieczeństwa danych. Niezbędna jest także znajomość organizacji i sektora, w którym działa. IOD odgrywa bowiem kluczową rolę w promowaniu kultury ochrony danych w organizacji i przypilnowaniu przestrzegania RODO. Znacznie mają również osobiste cechy IOD – rzetelność i wysoki poziom etyki zawodowej.

Wybór inspektora spełniającego te wymogi należy do administratora. Powinien dokonać starannej analizy i mieć pewność, że osoba wyznaczona przez niego do pełnienia funkcji IOD będzie miała zapewnione właściwe warunki dla prawidłowego wykonywania zadań IOD. Oznacza to, że administrator ma obowiązek właściwego i niezwłocznego włączania IOD we wszystkie sprawy związane z ochroną danych osobowych, wspierania go w wykonywaniu przez niego zadań oraz zagwarantowania niezależności dla prawidłowego i efektywnego realizowania jego zadań.

W praktyce oznacza to, że inspektor powinien być angażowany w najkrótszym możliwym czasie we wszystkie kwestie związane z ochroną danych osobowych, w szczególności brać udział w spotkaniach kierownictwa organizacji oraz mieć możliwość wyrażenia swojej opinii przy podejmowaniu decyzji z zakresu ochrony danych.

– Stanowisko inspektora powinno być zawsze brane pod uwagę. Grupa Robocza art. 29, zaleca w ramach dobrych praktyk dokumentowanie przypadków i powodów postępowania niezgodnego z zaleceniem inspektora – wskazała ekspertka.

Z kolei wsparcie działań inspektora sprowadza się do zapewnienia mu odpowiednich zasobów  zarówno do wykonywania zadań (w przypadku większych organizacji, np. zapewnienie jego zastępcy lub nawet całego zespołu, a także pomieszczeń i infrastruktury dla jego działania), jak i utrzymania fachowej wiedzy (udział w szkoleniach). IOD musi mieć także dostęp do danych osobowych i wystarczający czas umożliwiający mu wykonywanie jego zadań.

Gwarancja niezależności podstawą pozycji IOD w organizacji

Kluczowe dla prawidłowego wykonywania funkcji IOD jest zagwarantowanie inspektorowi niezależności w pełnieniu obowiązków. Oznacza to w szczególności, że powinien on podlegać bezpośrednio najwyższemu kierownictwu organizacji.

– Celem tej bezpośredniej podległości jest skrócenie drogi raportowania. Zapewnienie IOD możliwości bezpośredniego kontaktu, bez pośrednictwa kierownictwa niższego szczebla, daje gwarancję najpełniejszej i najszybszej informacji w kwestii procesów przetwarzania i umożliwia szybką reakcję w sprawach przedstawianych przez inspektora. Inspektor nie może też otrzymywać poleceń dotyczących sposobu załatwienia danej sprawy – tłumaczyła Monika Kurzajewska.

Ponadto IOD nie może być odwoływany lub karany za pełnienie swojej funkcji, np. za wydanie zaleceń sprzecznych ze stanowiskiem administratora. Kary należy tu rozumieć szeroko, także jako utrudnianie IOD awansu lub rozwoju zawodowego czy też ograniczanie dostępu do korzyści przysługujących innym pracownikom.

Bardzo ważne jest również unikanie konfliktu interesów w związku z wykonywaniem zadań IOD. Przede wszystkim nie można powierzać inspektorowi wykonywania obowiązków administratora – gdyż rolą inspektora jest ocena realizacji tych obowiązków pod kątem ich zgodności z przepisami powszechnie obowiązującymi oraz regulacjami wewnętrznymi administratora. W takim przypadku więc IOD kontrolowałby sam siebie. Warto przy tym podkreślić, że IOD nie może określać celów i sposobów przetwarzania danych – decyzja w tych kwestiach należy do administratora. IOD nie może być też pełnomocnikiem administratora przed organem nadzorczym lub sądem.

W wyroku z 9 lutego 2023 r. w sprawie C-453/21 X-FAB Dresden (pkt 41)

TSUE wskazał, że w świetle znaczenia wyrażenia „konflikt interesów” w języku potocznym, należy uznać, że zgodnie z celem realizowanym przez art. 38 ust. 6 RODO nie można powierzyć osobie będącej IOD wykonywania zadań lub obowiązków, które mogłyby zaszkodzić pełnieniu funkcji, które wykonuje jako IOD, a tym samym negatywnie wpłynąć na zapewnienie skuteczności przepisów RODO.

– Ocena zaistnienia konfliktu interesów powinna być dokonywania indywidualnie i z uwzględnieniem konkretnych okoliczności. Należy to badać zarówno przed wyznaczeniem Inspektora, jak i w trakcie pełnienia przez niego funkcji, ponieważ przyczyny zaistnienia takiego konfliktu mogą następować w późniejszym czasie (np. nałożenie dodatkowego zadania). Sam inspektor też powinien odpowiednio wcześniej sygnalizować administratorowi ryzyko wystąpienia takiego konfliktu, by możliwe było odpowiednio wczesne jemu zapobieganie. Gdy inspektor jest niezależny i wyposażony w odpowiednie uprawnienia, jest w stanie skutecznie realizować swoje obowiązki w zakresie monitorowania przestrzegania przepisów przez administratora i wspierania go doradztwem i opiniami w sytuacjach problemowych wymagających fachowej oceny – podkreśliła Monika Kurzajewska.

Art. 57 ust. 1 lit. a RODO zobowiązuje Prezesa UODO do monitorowania i egzekwowania przepisów RODO, w tym tych dotyczących IOD i jego niezależności. Prezes UODO może więc np. nakazać wyznaczenie inspektora, bądź też skorzystać z innych swoich uprawień, gdy gwarancje dotyczące IOD nie są przestrzegane (np. nie podlega on bezpośrednio najwyższemu kierownictwu). Prezes UODO w swoich decyzjach reagował na naruszenia niezależności IOD, m.in. kiedy administrator:

1. nie zapewnił bezpośredniej podległości IOD pod najwyższe kierownictwo (decyzja z 18 grudnia 2024 r DKN.5112.14.2022);

2. zobowiązywał IOD do nadawania upoważnień personelowi w zakresie przetwarzania danych osobowych (decyzja z 22 września 2020 r. ZWAD.405.31.331.2019);

3. nie zapewnił, aby IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (decyzje z: 2 kwietnia 2025 r. DKN.5110.14.2022, 23 czerwca 2025 r. DKN.5130.4179.2020);

4. nie zapewnił zasobów niezbędnych do utrzymania jego wiedzy fachowej (decyzja z 2 kwietnia 2025 r.DKN.5110.14.2022);

5. nie zapewnił, aby w związku z wykonywaniem swoich zadań IOD nie otrzymywał instrukcji dotyczących ich wykonywania oraz nie był odwoływany i karany za wykonywanie tych zadań, (decyzja z 2 kwietnia 2025 r. DKN.5110.14.2022);

6. nie zapewnił, że na IOD nie będą nakładane zadania mogące powodować konflikt interesów: decyzje z: 2 kwietnia 2025 r. DKN.5110.14.2022; 2 kwietnia 2025 r. DKN.5110.16.2022, 12 września 2025 r. DKN.5131.7.2025, 2 stycznia 2026 r. DKN.5131.4.2025);

7. pełnienie funkcji IOD powierzył osobie zajmującej stanowisko prezesa zarządu w strukturze organizacyjnej podmiotu (decyzja z 12 września 2025 r. DKN.5131.7.2025).

Zadania Inspektora – audyt, edukacja i pośrednictwo

Zadania IOD polegają na monitorowaniu działań i decyzji podejmowanych przez administratorów i podmioty przetwarzające dane (rola audytorska), informowaniu, szkoleniu, oraz doradzaniu, w tym w zakresie oceny skutków dla ochrony danych (rola edukacyjno-doradcza) oraz pośredniczeniu w kontaktach między administratorem a organem nadzorczym lub osobami, których dane dotyczą.

IOD odgrywa ważną rolę w przypadku naruszenia ochrony danych osobowych. Powinien być o nich niezwłocznie informowany, by móc monitorować obsługę przez administratora takich incydentów. Pamiętać jednak należy, że nie może działać w imieniu administratora, np. zgłaszając naruszenie do UODO czy zawiadamiając o naruszeniu osoby, których dane dotyczą. Nie może również w imieniu administratora podejmować zobowiązań co do bezpieczeństwa przetwarzania, ani dokumentować naruszeń ochrony danych.

Sposoby na zapewnienie przestrzegania przepisów UODO w odniesieniu do IOD

Administrator lub podmiot przetwarzający musi zapewnić i móc wykazać, że przetwarzanie danych osobowych jest wykonywane zgodnie z przepisami określonymi w RODO. Zgodnie zaś z art. 83 ust. 4 RODO administrator i podmiot przetwarzający odpowiadają za naruszenie obowiązków określonych w art. 37–39 RODO (wyznaczenia IOD, w tym dokonania wyboru IOD o odpowiednich kwalifikacjach zawodowych, zapewnienia IOD gwarancji niezależności i udzielania mu wsparcia oraz zapewnienie prawidłowego wykonania zadań IOD).

Administrator lub podmiot przetwarzający powinien zatem przyjąć odpowiednie rozwiązania mające na celu zapewnienia IOD warunków do prawidłowego funkcjonowania i wykonywania zadań (np. odpowiednie regulacje w polityce ochrony danych, opracowanie polityki zarządzania konfliktem interesów zgodnie ze wskazówkami zawartymi w Wytycznych GR Art. 29 dot. IOD, opracowanie procedury dot. przypadków wymagających konsultacji z IOD konsultacji z IOD czy też lista 27 pytań jako lista kontrolna odnosząca się do zagwarantowania IOD prawidłowego statusu i wykonywania zadań).

Inspektorzy mogą liczyć na wsparcie Prezesa UODO

Ponadto IOD ma prawo zwrócić się do organu nadzorczego o indywidulne konsultacje odnoszące się do problematycznych zagadnień związanych z przetwarzaniem danych osobowych oraz z wykonywaniem swojej funkcji. Ta forma wsparcia IOD przez UODO jest szczególnie istotna dla ciągłego i systematycznego doskonalenia systemu ochrony danych osobowych.

Z kolei administrator powinien konsultować problematyczne zagadnienia dotyczące ochrony danych przede wszystkim ze swoim IOD. Doświadczenia UODO w tym względzie pokazują, że czasami jest jednak inaczej.

– Często bowiem dostajemy pytania od administratorów, którzy – mimo że posiadają wyznaczonego inspektora – nie konsultowali z nim swoich wątpliwości czy możliwych rozwiązań danego problemu. Jest to wbrew obowiązkowi włączania IOD  w sprawy przetwarzania danych – wskazała ekspertka.

Monika Kurzajewska, główny specjalista w Wydziale Współpracy z IOD. Na podstawie wystąpienia podczas spotkania z IOD w ramach akcji „UODO rusza w kraj” w Suwałkach.

PRZYDATNE LINKI:

• – na stronie internetowej UODO: – zamieszczone są materiały dotyczące  wyznaczenia i statusu IOD,
• – Podsumowanie spotkania w UODO „Niezależność IOD musi być standardem”,
• – 27 pytań pozwalających zweryfikować przestrzeganie przepisów dotyczących IOD,
• – Sprawozdanie EROD z badań CEF,
• – Portal orzeczeń UODO.