Data Protection Officer in the Company — Role, Duties and Common Mistakes

Rola i znaczenie IOD

Rozpowszechniona na polskim rynku praktyką jest traktowanie Inspektora Ochrony Danych (IOD) jako dodatkowego obowiązku administracyjnego, najczęściej przypadającego asystentce kierownika lub pracownikowi działu zasobów ludzkich. Tymczasem, zgodnie z Rozporządzeniem Ogólnym o Ochronie Danych (RODO) i wytycznymi Europejskiej Rady Ochrony Danych (EDPB), IOD to kluczowa, niezależna funkcja, która powinna mieć dostęp do zarządzenia, zasoby oraz autorytet konieczny do skutecznego wykonywania swoich zadań.

Kiedy IOD jest obowiązkowy

Artykuł 37 RODO określa, kiedy wyznaczenie Inspektora Ochrony Danych jest obowiązkowe. Po pierwsze, dla organów publicznych i instytucji publicznych — praktycznie każda instytucja sektora publicznego musi mieć IOD. Po drugie, dla podmiotów, których główną działalność stanowi przetwarzanie danych na skalę, która wymaga regularnego i systematycznego monitorowania, takiego jak prowadzenie agencji ochrony, firmy zajmujące się przetwarzaniem danych, dostawcy usług w chmurze czy operatorzy telekomunikacyjni. Po trzecie, dla podmiotów, których główną działalność stanowi przetwarzanie specjalnych kategorii danych lub danych dotyczących skazań i naruszeń. Artykuł 37 przewiduje również możliwość wyznaczenia IOD przez organizacje, które nie spełniają przytoczonych kryteriów — jest to zalecane dla każdej organizacji przetwarzającej znaczne ilości danych osobowych.

IOD powinien być wyznaczony jak najprędzej.

Wytyczne EDPB, opublikowane w 2017 roku i regularnie aktualizowane, wyjaśniają, że IOD powinien być wyznaczony jak najprędzej, jeśli organizacja jest zobligowana go mieć. Badania z 2023 roku przeprowadzone przez PUODO wykazały, że wciąż znaczna część polskich organizacji, która jest zobligowana mieć IOD, tego nie robi, narażając się na potencjalne kary regulacyjne. Zaniedbanie wyznaczenia IOD, gdy jest to obowiązkowe, może skutkować karą do 10 milionów euro lub 2 procent globalnego przychodu rocznego, w zależności od tego, która kwota jest wyższa.

Status i niezależność IOD

Artykuł 38 RODO definiuje status i pozycję IOD. IOD może być pracownikiem wewnętrznym lub pracownikiem zatrudnionym przez zewnętrznego dostawcę usług — obie opcje są dozwolone, choć organizacje muszą zapewnić, że IOD będzie w stanie niezależnie wykonywać swoje zadania. Kluczowym wymogiem jest niezależność IOD, wyrażona w artykule 38 ust. 3, która wymaga, aby IOD nie otrzymywał instrukcji dotyczących wykonywania funkcji z zakresu ochrony danych od nikogo w organizacji. To oznacza, że IOD nie może być jednocześnie dyrektorem IT, dyrektorem HR czy każdą inną osobą zajmującą stanowisko, które mogłoby być w konflikcie interesów z bezstronnością ochrony danych. IOD musi mieć bezpośredni dostęp do zarządu organizacji — co najmniej do poziomu dyrektora lub członka zarządu.

Obowiązki IOD

Artykuł 39 RODO określa zadania i obowiązki IOD. Po pierwsze, IOD monitoruje zgodność z RODO, w tym weryfikuje, czy organizacja prawidłowo zbiera, przetwarza i przechowuje dane osobowe, czy ma odpowiednie umowy z procesorami danych i czy realizuje obowiązki zawarte w regulacji. Po drugie, IOD wspiera pracowników w zrozumieniu wymagań RODO poprzez szkolenia, poradnictwo i wdrażanie procedur. Po trzecie, IOD pełni rolę punktu kontaktu z Prezesem Urzędu Ochrony Danych (PUODO) — to właśnie IOD odbiera kontrole, wspomagają śledztwa regulacyjne i komunikuje z organami ochrony danych. Po czwarte, IOD wspiera przeprowadzanie ocen wpływu na bezpieczeństwo (DPIA) — złożonych procesów oceny ryzyka dla przetwarzania danych mogących powodować wysokie ryzyko dla praw i wolności osób fizycznych.

IOD musi mieć bezpośredni dostęp do zarządu organizacji.

Niezwykle istotną funkcją IOD, choć często zaniedbywane w polskich organizacjach, jest wspieranie organizacji w wypełnieniu obowiązków wynikających z artykułu 31 RODO, które dotyczy konsultacji z PUODO. W przypadku przetwarzania mogącego powodować wysokie ryzyko dla praw i wolności osób fizycznych, organizacja musi przeprowadzić DPIA i, jeśli ryzyko nie zostanie w pełni wyeliminowane, skonsultować się z PUODO przed faktycznym rozpoczęciem przetwarzania. IOD jest odpowiedzialny za identyfikację sytuacji wymagających takiej konsultacji i jej przeprowadzenie.

Typowe błędy w funkcjonowaniu IOD

Najczęstszym błędem, jaki obserwujemy w polskich firmach, jest przypisanie funkcji IOD jako dodatkowego obowiązku pracownikowi zatrudnionemu na pełnym etacie na innym stanowisku. Przykładem może być pracownik działu HR, któremu przydzielono funkcję IOD, podczas gdy pierwotne obowiązki HR są równie obciążające. Konsekwencją jest, że IOD poświęca ochronie danych zaledwie kilka godzin tygodniowo, jeśli w ogóle, co praktycznie uniemożliwia efektywne wykonywanie funkcji. EDPB jednoznacznie stanowi, że jeśli IOD nie ma wystarczającej czasu na wykonanie swoich obowiązków, to organizacja nie spełnia wymogów niezależności IOD, a IOD powinien zgłosić to braku w swoim rocznym raporcie.

Innym poważnym błędem jest umieszczenie IOD w strukturze podległości, która zagraża jego niezależności. Na przykład, jeśli IOD podlega dyrektorowi IT, który jest głównym decydentem w kwestiach przetwarzania danych, to IOD praktycznie nie ma możliwości bezstronnie oceniać ryzyka czy podnosić zastrzeżeń. To szczególnie problematyczne, gdy IT director wprowadza nowy system, którego IOD miałby pilnować zgodności. Artykuł 38 RODO wyraźnie zabrania tego typu konfiguracji.

Trzecim częstym błędem jest brak dostępu IOD do kierownictwa. Jeśli IOD musi raportować poprzez wiele warstw organizacyjnych, jego wiadomości mogą być filtrowane, dilutowane lub całkowicie zignorowane. Artykuł 38 ust. 4 RODO wyraźnie mówi, że organizacja musi zapewnić, aby IOD mógł wykonywać funkcje bez przeszkód — to oznacza bezpośredni dostęp do kierownictwa. W praktyce, IOD powinien mieć regularnie spotkania z zarządem firmy, gdzie może raportować zagrożenia i niezgodności.

Czwartym błędem jest niedofinansowanie funkcji IOD. IOD potrzebuje narzędzi do monitorowania zgodności, dostępu do specjalistycznego oprogramowania, zasobów na szkolenia i aktualizacje wiedzy, oraz możliwości zatrudnienia dodatkowego personelu, jeśli organizacja jest duża lub bardzo złożona. IOD, któremu dano budżet 0 złotych rocznie, praktycznie nie może funkcjonować.

Piąty błąd to brak wyraźnej polityki, która definiuje role i obowiązki IOD. Pracownik wyznaczony na IOD często nie wie dokładnie, co powinien robić, a kierownictwo ma niejasne wyobrażenie o zakresie funkcji. Organizacja powinna opublikować wewnętrzną politykę ochrony danych, która wyraźnie definiuje uprawnienia i obowiązki IOD.

Szósty błąd — konflikt interesów z członkami zarządu lub dyrektorami. Jeśli IOD mówi nie zaproponowanemu projektowi przetwarzania danych, a dyrektor naciskać będzie na realizację projektu „kosztem zgodności", to niezależność IOD jest zagrożona. W takim scenariuszu IOD powinien być w stanie zgłosić konflikt i otrzymać wsparcie od wyższych organów zarządzających.

Ostatni, lecz nie mniej ważny błąd, to brak świadomości pracowników o istnieniu IOD i jego roli. Jeśli pracownicy nie wiedzą, do kogo się zwrócić z pytaniami dotyczącymi ochrony danych, lub nie wiedzą, że mogą zgłosić podejrzenie niedozwolonego przetwarzania danych, to funkcja IOD jest praktycznie niewidoczna w organizacji.

Podsumowanie

Dobrze funkcjonujący IOD to gwarancja, że organizacja będzie przestrzegać RODO, co pozwala na uniknięcie potencjalnych kar i utrzymanie zaufania klientów do firmy. IOD powinien być postrzegany nie jako biurokratyczny obowiązek, ale jako strategiczny partner zarządu w zarządzaniu ryzykiem związanym z ochroną danych. Organizacje, które postrzegają IOD w ten sposób, będą na dużo lepszej pozycji do spełnienia wymogów RODO i ochrony danych swoich klientów i pracowników.