Dobry wieczór!
Dzisiaj chciałbym wam odpowiedzieć na pytanie:
Czy jest możliwy „zbiorowy” Inspektor Ochrony Danych?
Możecie zastanawiać się w swoich organizacjach, w szczególności tych dużych czy możliwe jest powołanie jednego specjalisty i zgłoszenie go jako naszego inspektora dla kilku podmiotów. Poniżej przeczytacie jak to wygląda w RODO.
Pierwsze informacje w mojej ocenie odnoszące się do możliwości aby funkcja inspektora ochrony danych była pełniona przez jednego specjalistę dla kilku przedsiębiorstw możemy odnaleźć w artykule 37 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. Możemy w nim przeczytać:
„Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.”
Zgodnie z artykułem 4 pkt 19 RODO grupa przedsiębiorstw oznacza przedsiębiorstwo sprawujące kontrole i podmioty kontrolowane. Co istotne motyw 37 podpowiada:
„Grupa przedsiębiorstw powinna obejmować przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa kontrolowane, przy czym przedsiębiorstwo sprawujące kontrolę powinno być przedsiębiorstwem, które może wywierać dominujący wpływ na pozostałe przedsiębiorstwa ze względu na przykład na strukturę właścicielską, udział finansowy lub przepisy regulujące jego działalność, lub też uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych. Za grupę przedsiębiorstw należy uznać przedsiębiorstwo kontrolujące przetwarzanie danych osobowych w przedsiębiorstwach powiązanych z nim, wraz z tymi przedsiębiorstwami.”
Nie ma więc możliwości aby uznawać za grupę przedsiębiorstw jedynie podmioty powiązane ze sobą kapitałowo. Należy pamiętać, że termin grupy przedsiębiorstw ma przede wszystkim być ułatwieniem dla administratorów.
Warunkiem koniecznym pozwalającym na powołanie wspólnego IODy opisywanym w rozporządzeniu jest łatwość kontaktu z każdej jednostki organizacyjnej. Istotne jest co możemy przez ten termin rozumieć. Łatwość odnosi się bez wątpienia do możliwości sprawnego kontaktu z inspektorem, możliwości zadania mu pytań dotyczących ochrony danych i jego sprawnej odpowiedzi, dzięki której wątpliwości powstające w grupie będą rozwiązywane bez zbędnej zwłoki. Łatwość powinna również odnosić się do kontaktu z organem nadzorczym oraz osobami, których dane dotyczą. W związku z tym inspektor powinien umieć komunikować się w języku, którego używa się w kraju, w którym pełni swoje obowiązki. Rozwiązaniem, które byłoby możliwe w mojej opinii to sprawna procedura przedsiębiorstwa w zakresie tłumaczenia zapytań stawianych przez osoby fizyczne lub organ nadzorczy. Taka forma wymagałaby niewątpliwie niezwykle sprawnie działającej organizacji i zaangażowania większej ilości osób.
Kolejne przyzwolenie na „zbiorowego” IODę znajdziemy w trzecim ustępie artykułu 37 RODO. Czytamy w nim
„Jeżeli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych.”
Pytanie jakie się nasuwa na początku jest takie czy słowo kilka należy interpretować zgodnie z definicją słownika języka polskiego. Możemy w nim przeczytać, że jest to zaimek oznaczający w sposób przybliżony liczbę większą niż 2 i mniejszą niż 10. Wydaje się jednak, że celem regulacji nie było ograniczenie ilości możliwych podmiotów do nie większej niż 10 poprzez zastosowanie słowa „kilka”. Decydującą role zgodnie z cytowanym artykułem ma struktura i wielkość organizacji a nie ich ilości, ponieważ to te czynniki właśnie wpływają na możliwości pełnienia funkcji inspektora w sposób efektywny i rzetelny. Administratorzy powinni mieć pewność, że inspektora będzie w stanie realizować zadania przewidziane w art. 37-39 poprzez odpowiednią analizę wielkości, struktury oraz zakresu działania podmiotu publicznego tak aby specjalista rzeczywiście był w stanie realnie czuwać nad bezpieczeństwem przetwarzanych danych osobowych.
Trzecim potwierdzeniem, że IODa może świadczyć swoje usługi na rzecz większej ilości administratorów lub podmiotów przetwarzającym jest artykuł 37 ust. 6. Określone w nim zostało na jakiej zasadzie inspektor ochrony danych może świadczyć swoje usługi. We wskazanym ustępie czytamy, że
„Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.”
Jeżeli więc specjalista z zakresu danych osobowych może wykonywać zadania IODy na podstawie umowy o świadczenie usług to nic nie stoi na przeszkodzie aby robił to w większej ilości podmiotów przez co będzie poniekąd „zbiorowy”. Administratorzy muszą oczywiście pamiętać, że przed ostatecznym wyborem specjalisty należy potwierdzić jego kwalifikacje zawodowe, w szczególności fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania zadań, o których mowa w artykule 39 RODO.
Podsumowując, występowanie „zbiorowego” inspektora ochrony danych jest możliwe. Potwierdzenie tej tezy znajdujemy w artykule 37 ust. 2, 3 i 6 RODO. Jeśli zdecydujemy się na takie rozwiązanie należy pamiętać jednak o wymaganiach jakie stawia przed nami Rozporządzenie. Kluczowymi wymogami jakie należy spełnić jest łatwość nawiązywania kontaktu z każdej organizacji co staje się większym wyzwaniem przy podmiotach z różnych państw członkowskich w przypadku występowania grupy przedsiębiorstw. Kolejnym niezbędnym warunkiem jest struktura i wielkości organizacji w ogólnym tego słowa znaczeniu w przypadku organów lub podmiotów publicznych oraz realne możliwości inspektora ochrony danych w rzetelnym wykonywaniu swoich codziennych obowiązków oraz odpowiednie umiejętności interpersonalne i kwalifikacje osoby, które zadania IODowania powierzamy.
Jeśli macie jakieś pytania, śmiało piszcie w komentarzach poniżej!
Pozdrawiam,
Piotr
Zostaw Komentarz