19/01/2024
Inspektor ochrony danych nie może równocześnie wykonywać zadań, które ograniczałyby jego niezależność. Zatem nie może między innymi zajmować w firmie stanowiska wyższego szczebla, które wiąże się z określaniem sposobów i celów przetwarzania danych, a nawet zajmować niższych stanowisk, jeśli biorą one udział w określaniu celów i sposobów przetwarzania danych.
Inspektor ochrony danych, czyli IOD, to najważniejszy podmiot w przedsiębiorstwie, jeśli chodzi o przetwarzanie danych osobowych. Stanowisko to może zajmować wyłącznie osoba fizyczna – prawo nie dopuszcza opcji powierzenia tej roli osobie prawnej. Zgodnie z motywem 97 RODO, osoba ta powinna dysponować wiedzą fachową na temat prawa i praktyk związanych z ochroną danych. Przy czym, „niezbędny poziom wiedzy fachowej należy ustalić w szczególności w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe przetwarzane przez administratora lub podmiot przetwarzający” (motyw 97, RODO). Przedsiębiorca może wybrać inspektora ochrony danych spośród pracowników, zatrudnić osobę na takim stanowisku lub powierzyć zadania podmiotowi zewnętrznemu. Bez względu na to, czy IOD łączy z właścicielem firmy stosunek pracy, musi wykonywać swoje zadania w sposób niezależny i obiektywny, z uwzględnieniem ryzyka związanego z operacjami przetwarzania danych.
Zgodnie z art. 11 ustawy o ochronie danych osobowych, przedsiębiorca, który wyznaczył inspektora ochrony danych udostępnia jego dane na swojej stronie internetowej niezwłocznie po jego wyznaczeniu. Najczęściej dane inspektora ochrony danych zamieszczane są w treści regulaminów lub polityk prywatności. Jeżeli właściciel firmy nie prowadzi własnej strony internetowej, musi udostępnić dane inspektora ochrony danych w sposób ogólnie dostępny w miejscu prowadzenia działalności. Ponadto, obowiązkiem przedsiębiorcy jest powiadomienie Prezesa Urzędu Ochrony Danych Osobowych (UODO) o wyznaczeniu takiej osoby.
Większość firm w Polsce nie ma obowiązku wyznaczania inspektora ochrony danych – mogą, ale nie muszą skorzystać z takiej opcji. Rozporządzenie o ochronie danych osobowych narzuca ten wymóg tylko wybranym grupom przedsiębiorców. Zgodnie z art. 37 ust 1 RODO, obowiązek wyznaczenia IOD zachodzi wtedy, gdy:
główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 przetwarzanie szczególnych kategorii danych osobowych ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa”.
Inspektor ochrony danych zostaje powołany do realizacji różnych zadań, które zostały wymienione w art. 39 ust. 1 RODO. Po pierwsze, do jego kompetencji należy powiadamianie administratora danych w konkretnej firmie oraz pracowników przetwarzających dane osobowe, o ciążących na nich obowiązkach wynikających z obowiązujących przepisów prawa. Jego zadaniem jest również doradzanie tym osobom przy wypełnianiu ciążących na nich obowiązków. Po drugie, do kompetencji IOD należy monitorowanie przestrzegania przepisów rozporządzenia o ochronie danych osobowych w firmie. Inspektor ochrony danych powinien podejmować działania mające na celu informowaniepracowników przetwarzających dane oraz zwiększanie świadomości wśród zatrudnionego personelu w zakresie ochrony danych. Do zadań IOD należy również przeprowadzanie audytów oraz:
W praktyce zakres kompetencji IOD jest często znacznie szerszy niż ten wynikający z RODO. Wiele firm, zwłaszcza tych z ograniczonym budżetem, powierza inspektorowi ochrony danych wszystkie obowiązki związane z przetwarzaniem danych, jakie narzuca na przedsiębiorców prawo. Właściciele firm powinni jednak zdawać sobie sprawę, że art. 38 ust. 6 RODO wprowadził pewne ograniczenia w tym zakresie. Zgodnie ze wspomnianym przepisem prawa „inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów”. Wynika to z konieczności zapewnienia IOD pewnej autonomii i niezależności w wykonywanych czynnościach.
W praktyce konflikt interesów, który ograniczy niezależność inspektora ochrony danych powstanie wtedy, kiedy będzie on pełnić równocześnie zadania związane z określaniem celów i sposobów przetwarzania danych. Na tym nie koniec. Do konfliktu interesów może dojść również wtedy, kiedy IOD będzie łączył swoją funkcję z równoczesnym zajmowaniem stanowiska kierowniczego w firmie. Kolejnym przykładem wystąpienia konfliktu interesów w pewnych sytuacjach może byćrównoczesne łączenie obowiązków inspektora ochrony danych z tymi, które należą do administratora systemu informatycznego. Czego jeszcze powinien unikać IOD? W praktyce inspektor ochrony danych powinien łączyć swojej funkcji ze stanowiskiem, na którym odpowiedzialny jest za nadawanie upoważnień. Problematyczne jest również wykonywanie funkcji IOD z równoczesnym opiniowaniem umów z zakresu przetwarzania danych osobowych i opracowywaniem dokumentacji dotyczącej ochrony danych osobowych.
Grupa robocza ds. ochrony osób fizycznych była niezależnym podmiotem o charakterze doradczym, powołanym na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Jej zadaniem było między innymi wydawanie opinii i zaleceń. Według jej oceny, można wymienić stanowiska, których zajmowanie z równoczesnym pełnieniem funkcji IOD będzie prowadziło do konfliktu interesów. „Co do zasady, za powodujące konflikt interesów uważane będą stanowiska kierownicze, jak dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych” (Grupa Robocza art. 29 ds. ochrony danych).
W interesie firm leży ograniczenie konfliktu interesu. Wykluczenie go jest warunkiem prawidłowej realizacji zadań należących do inspektora ochrony danych. Nie jest to jedyny powód, dla którego przedsiębiorca powinien zadbać o jego brak. Wykluczenie konfliktu jest również wymogiem przepisów prawa. Firma, która nie będzie stosować się do zapobiegania konfliktowi interesów i przyznawa obowiązki należące do IOD osobie zajmującej stanowisko, którego łączenie z pracą administratora będzie traktowane jako konflikt interesów, może spodziewać się nałożenia na nich administracyjnych kar pieniężnych. Wysokość takiej kary może wynieść do 10 000 000 euro, a w przypadku przedsiębiorstwa – może być wymierzona w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Jak zmniejszyć ryzyko wystąpienia konfliktu interesów w firmie? W tym celu warto zastosować się do dobrych praktyk wskazanych przez Grupę Roboczą. Zgodnie z jej rekomendacjami można „zidentyfikować stanowiska niekompatybilne z funkcją inspektora ochrony danych, zadeklarować, że nie istnieje konflikt interesów w pełnieniu funkcji obecnego IOD, opracować wewnętrzne zasady, które uniemożliwiają łączenie stanowisk w firmie będących w konflikcie interesów, a także wprowadzić zabezpieczenia do wewnętrznych zasad organizacji w celu zapewnienia, by ogłoszenia o rekrutacji na stanowisko IOD czy też umowy o świadczenie usług były wystarczająco jasne i precyzyjne, aby niwelować ryzyko powstania konfliktu interesów” (https://uodo.gov.pl/pl/495/2415, dostęp na 13.3.2024 r.).
15/04/2024
Czy ESOP możliwy jest tylko w spółkach akcyjnych?Wdrożenie programu opcyjnego w spółce z o.o. jest możliwe, ale bardziej złożone niż w spółkach akcyjnych. ESOP w typowej postaci jest nieosiągalny dla spółek z o.o., ale przedsiębiorcy mogą zdecydować się na, między innymi, na program oparty na zobowiązaniu...
28/05/2024
Na co zwróci uwagę fundusz VC przed zainwestowaniem w Twój startup?Inwestowalność to w najprostszym ujęciu brak „trupa w szafie”, czyli problemów, które mogą uniemożliwić zainwestowanie w Twój biznes. Od lutego 2024 fundusze VC, obecne lub przyszłe, mogą aplikować po środki w ramach nowych programów PFR Ventures. W ciągu najbliższych...
18/06/2024
NIS2 – co to jest, kogo dotyczy i czemu warto przygotować się już dziś?Dyrektywa NIS 2 ( (UE) 2022/2555) ma na celu znaczną poprawę poziomu odporności na cyberataki, wzmocnienie ochrony danych osobowych oraz zwiększenie zaufania do usług cyfrowych w Unii Europejskiej. Państwa członkowskie mają czas do 17 października 2024 roku na wdrożenie...
