Rola administratora ochrony danych osobowych wobec pracodawcy
Zatrudnienie osoby na stanowisko inspektora ochrony danych osobowych w przedsiębiorstwie nie jest dla przedsiębiorcy końcem problemów z tym związanych. Jeżeli bowiem taka osoba źle wykonuje swoje obowiązki, pełną odpowiedzialność za ochronę danych osobowych i tak ponosi pracodawca.
Jaka jest zatem rola inspektora ochrony danych osobowych w przedsiębiorstwie?
Otóż wielu administratorów ochrony danych osobowych (czyli w praktyce przedsiębiorców), powołuje zgodnie z ustawą o RODO inspektora ochrony danych osobowych (IOD) w swoim przedsiębiorstwie i tak naprawdę nie bardzo zdaje sobie sprawę jaka jest rola takiej osoby w ich organizacjach.
Takim bardzo dobitnym tego przykładem jest właśnie ostatnia decyzja prezesa Urzędu Ochrony Danych Osobowych (UODO) o nałożeniu kary w wysokości 50 tys. zł na Szkołę Główną Gospodarstwa Wiejskiego (SGGW) w Warszawie (decyzja nr ZSOŚS.421.25.2019 z dnia 21 sierpnia 2020 roku).
Generalnie w tej decyzji mowa jest o naruszeniach dokonanych przez administratora będącego instytucją publiczną, jednakże fragmenty decyzji prezesa UODO mogą być niezwykle istotne również dla przedsiębiorców.
O jakich naruszeniach mówi decyzja prezesa UODO?
Organ nadzorujący przestrzeganie przepisów dotyczących RODO wskazał, iż nieprawidłowe jest stanowisko SGGW, jakoby błędy popełnione przez IOD nie mogą być równoznaczne ze stwierdzeniem niewłaściwego nadzoru administratora nad przestrzeganiem bezpieczeństwa ochrony danych osobowych.
W swej decyzji prezes UODO stwierdza, iż „(…) Uczelnia, jako administrator danych osobowych, jest odpowiedzialna w całości za wdrożenie zasad i procesów wynikających z przepisów o ochronie danych osobowych, w tym za pełnienie nad nimi nadzoru, nawet w sytuacji, gdy został wyznaczony inspektor ochrony danych osobowych”.
Zdaniem Tomasza Osieja, radcy prawnego z Kancelarii Osiej i Partnerzy, zasadniczo powołany przez administratora IOD powinien go wspomagać w odpowiednim wypełnianiu obowiązków wynikających z RODO. Jednakże to właśnie administrator jest zobligowany do zorganizowania całego systemu ochrony danych osobowych w sposób umożliwiający wykazanie jego rozliczalności, jak i ocenę zastosowanych środków technicznych czy też organizacyjnych. I ta odpowiedzialność ciąży właśnie na administratorze.
W swej decyzji prezes UODO wyraźnie podkreślił, iż fakt, że powołany IOD niewłaściwie wykonywał swe obowiązki nie zwalnia z odpowiedzialności samego administratora. W kontekście niewłaściwego wykonywania obowiązków przez IOD mowa była o nie monitorowaniu przestrzegania przepisów, jak i nie wypełnianiu swych zadań z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania danych osobowych. Poza tym, w tym konkretnym przypadku dotyczącym SGGW, prezes UODO wskazał, iż ów IOD nie zawsze był włączany do prac nad procesami przetwarzania danych, co znacząco mogło utrudniać wypełnianie przez niego powierzonych mu obowiązków.
Czego zabrakło we współpracy w tym przypadku pomiędzy IOD, a administratorem?
Otóż umowa administratora z IOD nie przewidywała, by inspektor miał wykonywać analizę ryzyka. A zdaniem prezesa UODO ten obowiązek wynika wprost z ustawy o RODO, gdzie wskazuje się, iż inspektor prowadzi nadzór nad bezpieczeństwem danych.
A taki nadzór oznacza konieczność, jeśli nie wykonywania, to z pewnością skutecznego monitorowania analizy ryzyka.
Ciekawym jest też, na co zwraca uwagę Tomasz Osiej, iż próba przerzucenia odpowiedzialności za IOD przez administratora może być niebezpieczna i zgubna zwłaszcza dla przedsiębiorców, którzy mają prawny obowiązek wyznaczenia IOD.
Zgodnie bowiem z art.37 ust. 5 ustawy o RODO inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, w tym szczególnie wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych, jak i umiejętności wypełniania swych zadań.
W powyższym kontekście już sam fakt powołania niekompetentnego inspektora może skończyć się nałożeniem kary finansowej przez organ nadzorczy. Jak zatem widać, wyznaczenie inspektora ochrony danych niesie ze sobą szereg przeróżnych konsekwencji. Ponadto, ta decyzja prezesa UODO jest już dziś skarbnicą informacji o tym, jak właściwie powinna wyglądać współpraca administratora z IOD oraz jakie są oczekiwania UODO względem takiej współpracy.
Podsumowując, decyzja prezesa UODO dość jasno stawia sprawę wzajemnych relacji pomiędzy powołanym inspektorem ochrony danych osobowych, a administratorem w kontekście przestrzegania przepisów o RODO. Okazuje się bowiem, iż samo powołanie takiego inspektora w przedsiębiorstwie nie zwalnia przedsiębiorcy od odpowiedzialności za ochronę danych osobowych. Wręcz przeciwnie, odpowiada on także za poczynania swego inspektora.
Ekspert Łukasz swoje wieloletnie doświadczenie na rynku pracy postanowił przekazać także na naszym blogu. Jego artykuły dotyczą aktualnych zmian gospodarczych a także tych na rynku pracy. Z chęcia udzieli porad pracodawcą, którzy prężnie rozwijają swoje firmy.