Na stronie GIODO zegar odlicza czas do 25 maja 2018 r. przypominając, że czas upływa i na dostosowanie się do wymogów RODO jest go coraz mniej.

W temacie reformy ochrony danych osobowych mówi się coraz więcej w szczególności na szkoleniach, konferencjach, ale coraz więcej też o reformie słychać w różnych mediach. W tym tygodniu pojawiły się projekty przepisów krajowych regulujące kwestie pozostawione państwom członkowskim do szczegółowego określenia. Mamy więc projekt nowej ustawy o ochronie danych osobowych oraz projekt ustawy przepisy wprowadzające ustawę o ochronie danych osobowych.

W jakim więc punkcie jesteśmy rzeczywiście i czy proces przygotowywania się do RODO można uznać za ogólnie zaawansowany. Okazuje się, że na tak postawione pytanie nie ma jednoznacznej odpowiedzi.

Na jednej z ostatnich konferencji tematycznych poświęconej projektom nowych przepisów krajowych  wybrzmiało kilka interesujących kwestii, z którymi nie sposób się nie zgodzić. Podzielę się niektórymi z nich.

Zagadnienia stanu przygotowania przedsiębiorców do RODO komentowali zaproszeni na konferencję przedstawiciele MAC, GIODO a także prawnicy praktycy i inni eksperci, którzy na co dzień zajmują się pomocą w porządkowaniu obszaru ochrony danych osobowych. Byli oni zgodni co do jednego, że stan przygotowania w firmach jest bardzo zróżnicowany.

Są organizacje, które od miesięcy analizują procesy związane z przetwarzaniem danych w celu należytego ich rozpoznania i doprowadzenia do stanu zgodności. Są też takie, które takich działań nie rozpoczęły. Czyli mamy całe spektrum możliwości, jeśli chodzi o stan przygotowań.

Według jednego z ekspertów organizacja, która nie rozpoczęła jeszcze w ogóle  porządkowania obszaru ochrony danych osobowych, może już nie zdążyć, aby do 25 maja 2018 r. dostosować się w sposób należyty.  Osobiście zgadzam się z tak postawioną tezą. Jako prawnik praktyk, który na co dzień obserwuje obszary związane z ochroną danych osobowych w różnych organizacjach, widzę jak często jest to obszar zapomniany.

Uczestniczący w konferencji dr. Sibiga stwierdził, iż proces, który powinien aktualnie toczyć się w organizacjach nie jest tak naprawdę procesem dostosowawczym do RODO a często jest to proces naprawczy mający na celu naprawienie tych wszystkich uchybień i niezgodności z dotychczas obowiązującym prawem. W moje ocenie brak zgodności z dotychczasowym prawem to meritum problemu , jeśli chodzi o dostosowanie się do wymogów RODO.

Trudno bowiem dostosowywać organizację w zakresie nieznanych dotychczas instytucji, gdy procesy przetwarzania danych osobowych zawierają podstawowe niezgodności na przykład w zakresie zapewnienia legalności przetwarzania danych.

O RODO mówi się często jako o rewolucji w ochronie danych osobowych, ale jest to pewne uogólnienie związane z nowym podejściem do ochrony danych i wyjątkowo wysokimi karami. RODO jednak w znaczącej części pokrywa się z dotychczas obowiązującymi przepisami o ochronie danych osobowych. Podstawowe instytucje, zasady oraz pojęcia dotychczasowych regulacji zostały zachowane. Pojawiły się co prawda nieznane czy nie wyartykułowane wcześniej instytucje prawne i one aktualnie są głównym przedmiotem analiz i debat.

Jak wiadomo GIODO  nie miał ani możliwości ani środków, aby zapewnić egzekwowanie przepisów ustawy o ochronie danych osobowych. Stan faktyczny był więc taki, że większość administratorów danych nie zapewniała zgodności przetwarzania danych z przepisami.

Wyobraźmy sobie znaczną organizację, z rozbudowaną strukturą prawną i organizacyjną, z wieloma procesami przetwarzania danych, dużym systemem informatycznym i brak odniesienia do wymogów obowiązującej od dwudziestu już lat polskiej ustawy o ochronie danych osobowych.

Każdy prawnik, który zetknął się z taką organizacją chociaż raz wie, że proces naprawczy w takiej organizacji jest żmudny, problematyczny i często bardzo kosztowny.

Przedstawiciel GIODO obecny na konferencji rozwiewał krążące mity, że po 25 maja 2018 r. będzie jeszcze czas na udzielanie upomnień a nie czas kar jak również i ten, że od pierwszego dnia będą wymierzane kary w najwyższym wymiarze. Komunikat był czytelny czas na dostosowanie do RODO właśnie płynie a potem już nie jest przewidywany jakiś dodatkowy okres przejściowy. Nie oznacza to z drugiej strony nastawienia na karanie od 25 maja 2018 r., ale też i tego nie wyklucza.

Pojawiły się też uzasadnione w mojej opinii, uwagi pod adresem GIODO za jego zbyt małą aktywność i pomoc w zakresie udzielania przedsiębiorcom konkretnych wskazówek i wytycznych, dotyczących nowych rozwiązań prawnych. Wskazywano na dużo większą aktywność w tym zakresie innych europejskich organów ochrony danych osobowych, co jest zgodne z prawdą.

I tak na koniec. Z moich doświadczeń wynika, iż większość firm zupełnie nie zdaje sobie sprawy, iż proces dostosowawczy czy proces naprawczy w obszarze przetwarzania danych wymaga czasu, pracy i kosztów. Wśród wielu przedsiębiorców panuje wręcz przeświadczenie, że proces naprawczy w tym obszarze nie może zająć dużo czasu. Trudno im pojąć, iż ustalenie stanu zgodności jest pracochłonne i czasochłonne.

Temat jest niszowy i aktualnie wciąż jeszcze panuje ogólny brak świadomości w temacie o co tak naprawdę chodzi z tymi danymi osobowymi i o co tyle hałasu.

Aktualnie administratorzy danych osobowych niedostatecznie respektują prawa osób, których dane są przetwarzane choćby w zakresie realizacji obowiązków informacyjnych o administratorze danych, celach przetwarzania, przysługujących im prawach.

Większość z nas otrzymuje telefony z ofertami nabycia przeróżnych towarów lub usług. Bezpłatne badania, darmowe konsultacje, promocyjne ceny towarów lub usług itd. itd. Jednak rzadko  podczas takich połączeń przekazywane są wymagane prawem informacje. A zapytanie osoby dzwoniącej o podstawę prawną przetwarzania danych z reguły powoduje przerwanie połączenie lub niejasne wyjaśnienia.

Już w świetle aktualnie obowiązujących przepisów administrator danych ma szereg obowiązków informacyjnych, które powinien wypełnić wobec osób, których dane przetwarza. Jednak RODO wprowadza kilka nowych obowiązków a także szczegółowo precyzuje niektóre kwestie np. w zakresie sposobu przekazywania informacji.

Zgodnie z RODO administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich wymaganych informacji.

RODO przyznaje osobom, których dane są przetwarzane szereg uprawnień takich jak:

  • prawo do bycia poinformowanym o operacjach przetwarzania,
  • prawo dostępu,
  •  prawo do sprostowania/uzupełnienia danych,
  • prawo do usunięcia danych,
  • prawo do ograniczenia przetwarzania,
  • prawo do przenoszenia danych,
  • prawo do sprzeciwu,
  • prawo do tego, by nie podlegać profilowaniu.

Ważne, aby wdrożone przez Ciebie procedury przetwarzania danych uwzględniały możliwość realizacji
tych praw przez osoby, których dane przetwarzasz.

Jak radzi GIODO:

„To jest  dobry moment by sprawdzić skuteczność zastosowanych procedur i wypracować sposób reakcji, np. w sytuacji, w której ktoś poprosi o usunięcie swoich danych osobowych.”

Aktualnie u wielu administratorów danych ten obszar nie jest  uporządkowany stąd pytania o dane osobowe są kłopotliwe oraz budzą niepokój, co dowodzi braku wypracowanych procedur oraz sposobów reakcji na żądanie osób, którzy dane są przetwarzane.

Istotną kwestią będzie ustalenie kto w organizacji będzie odpowiedzialny za usunięcie danych, kto będzie władny podjąć taką decyzję. Jest to w praktyce bardzo istotna kwestia i bardzo zaniedbana a świadomość prawna w tym zakresie znikoma, co powoduje, że większość administratorów przetwarza dane o wiele dłużej niż jest to uzasadnione celem, dla którego dane zostały zebrane a niektórzy wręcz myślą, że raz zebrane dane można przetwarzać wiecznie.

Wdrażanie RODO – Zabezpieczenia

Każdy administrator danych odpowiedzialny jest za bezpieczeństwo i ochronę przetwarzanych danych osobowych przede wszystkim przed przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

RODO jednak nie zawiera szczegółowych wymogów w zakresie środków technicznych i organizacyjnych, które powinny być przez administratorów wdrażane w celu odpowiedniego zabezpieczenia danych. Decyzja o zastosowaniu odpowiednich środków będzie należała do administratora danych.

Dobierając odpowiednie zabezpieczenia administrator danych powinien przede wszystkim uwzględnić ryzyko związane z przetwarzaniem danych w swojej organizacji wynikające np. z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Środki organizacyjne i techniczne stosowane w celu zapewnienia bezpieczeństwa danym aktualnie mogą pozostać aktualne również po 25 maja 2018 r., jeśli oczywiście administrator danych uzna, że zapewnią one zgodność przetwarzania danych z wymogami RODO.

Więcej na zasygnalizowany temat przeczytasz na stronach GIODO Tutaj.

W świetle RODO zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Zgodnie z RODO nowością będzie wyrażenie zgody przez „wyraźne działanie potwierdzające” z tym jednak zastrzeżeniem, iż przyzwolenie na przetwarzanie danych powinno być jednoznaczne, a więc nie budzić wątpliwości co do zamiaru osoby, która takie działanie podejmuje.

Zgodnie z dotychczasowymi przepisami zgoda nie może być dorozumiana lub domniemana z oświadczeń woli innej treści. Co do zasady więc musi stanowić odrębną klauzulę od na przykład regulaminu świadczenia usługi.

Jednakże również na podstawie RODO w przypadku zgody wyrażanej w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Oznacza to, że nie będzie można ukrywać oświadczenia o zgodzie pośród innych oświadczeń, treść oświadczenia dotyczącego zgody powinna być czytelna.

W RODO nie ma wymogu pisemności nawet dla zgody na przetwarzanie danych wrażliwych, jednakże jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie  wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

Zgoda może być więc wyrażona ustnie a także pisemnie w tym w formie elektronicznej poprzez zaznaczenie okienka wyboru podczas przeglądania strony internetowej lub poprzez dokonanie wyboru ustawień technicznych korzystania z usługi.

W każdym przypadku jednak administrator musi być w stanie  wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych

Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie będą oznaczać zgody.

Przetwarzanie, które w dniu rozpoczęcia stosowania  RODO już się toczy, powinno w terminie dwóch lat od wejścia go w życie, zostać dostosowane do jego przepisów.

Zgodnie z powyższym czas na wdrażanie postanowień RODO właśnie płynie, co oznacza, że przegląd stanu ochrony danych osobowych należy rozpocząć tak, aby za rok móc wykazać zgodność z nowymi przepisami.

GIODO podpowiada jak powinien wyglądać prawidłowy przegląd stanu ochrony danych osobowych publikując systematycznie kolejne zagadnienia, które należy sprawdzić w firmie. Zachęcam do lektury.

Zgodnie z zasadą rozliczalności za rok ADO będzie musiał wykazać, że przetwarza dane osobowe w zgodzie z zasadami przyjętymi w rozporządzeniu. Tę zgodność można wykazać na przykład poprzez wdrożenie polityk i procedur przetwarzania danych.

I to teraz właśnie jest czas na przeglądy, audyty, sprawdzenia na przykład w zakresie  jakie dane osobowe przetwarzasz, skąd pochodzą i co cię uprawnia do ich wykorzystywania, czy i komu je udostępniasz oraz jak zabezpieczasz”.

Kolejne istotne zagadnienie, które należy dokładnie sprawdzić to wywiązywanie się z obowiązków informacyjnych wobec podmiotów danych.  Rozporządzenie zwiększa zakres informacji, które należy przekazać.

Od 25 maja 2018 r. administratorzy danych będą musieli poinformować również m.in. o okresie, przez który dane osobowe będą przetwarzane (retencja danych), o ewentualnym fakcie profilowania i jego konsekwencjach czy też o danych kontaktowych inspektora ochrony danych, jeśli został on wyznaczony. Szerszy katalog informacji, które należy przekazać wymusza aktualizację obecnie stosowanych klauzul informacyjnych.

Począwszy do 25 maja 2018 r. będziesz zobowiązany wykazać już zgodność z RODO. Niestety w przypadku braku takiej zgodności organ nadzorczy będzie uprawniony do rozliczenia ADO ze stwierdzonych uchybień i nałożenia stosownych kar pieniężnych. Z tego powodu jest tak ważne, aby przegląd w obszarze danych osobowych rozpocząć już dziś.

Pierwsze wyniki sprawdzeń ABI

Są już pierwsze wyniki ze sprawdzeń ABI. Sprawdzenia zostały przeprowadzone w bankach i przede wszystkim wykazały błędy w formułowaniu treści klauzul zgody.

Okazuje się, w treści jednej klauzuli łączone są zgody na przetwarzanie marketingowe, przesyłanie informacji handlowych drogą elektroniczną oraz używanie telekomunikacyjnych urządzeń końcowych. Do tego dochodzi jeszcze łączenie zgód na przetwarzanie w celach własnych i podmiotów trzecich.

Zgoda na przetwarzanie danych nie może mieć charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania. Osoba nie może być  wprowadzona w błąd. Jeżeli zatem oświadczenie woli dotyczyć ma różnych celów przetwarzania, zgoda powinna być wyrażona wyraźnie pod każdym z tych celów przetwarzania.

Chodzi o to, aby osoba, której dane dotyczą miała swobodę wyboru wyrażenia zgody na przetwarzanie jej danych osobowych w różnych celach. Zgoda nie może być wymuszona.

Jak poradzili sobie ABI ze sprawdzeniami i sprawozdaniami z nich. Czytamy więc:

Treść sprawozdań wskazywała także na niepełną wiedzę ABI w zakresie ochrony danych osobowych niezbędną do sporządzenia sprawozdania ze sprawdzenia, w szczególności w zakresie zgromadzenia adekwatnych dowodów w stosunku do istniejącego stanu faktycznego.”

i kolejna ciekawostka:

Spośród 20 administratorów bezpieczeństwa informacji, którzy dokonali sprawdzenia przetwarzania danych osobowych przez banki w zakresie marketingu kierowanego do klientów oraz osób nie będących klientami banków, tylko jeden z nich stwierdził naruszenie przepisów o ochronie danych osobowych, mimo iż w wielu przypadkach ustalenia dokonane przez administratorów bezpieczeństwa informacji w toku sprawdzeń dawały podstawę do stwierdzenia takich uchybień

Czy mnie to dziwi? A więc nie dziwi zupełnie. W środowisku od początku nowelizacji uodo mówiło się, że sprawozdania ABI dla GIODO to będą laurki, co aktualne wyniki potwierdziły.

Pełen raport w powyższym temacie znajdziesz Tutaj.

W ramach sprawdzianu gotowości do RODO na stronach GIODO publikowane są w odcinkach pomocne we wdrażaniu RODO wyjaśnienia.

Czy RODO to rewolucja, czy zmiany będą zasadnicze, na czym będą polegały i co to oznacza dla administratora danych tego dowiemy się w kolejnym odcinku pomocnych wyjaśnień GIODO, które znajdziesz Tutaj.

Z mojej praktyki wynika, że ogólny stan świadomości o RODO jest w dalszym ciągu bardzo niski, dlatego takie edukacyjne akcje GIODO są bardzo ważne. Administratorzy danych zwłaszcza Ci mali i średni, ale więksi też często nie mają świadomości o istnieniu RODO a jeśli nawet niektórzy coś słyszeli, to już na pewno nie zdają sobie sprawy z wagi problemu.

Został rok, aż rok a może tylko rok, aby się przygotować na rewolucję. W przygotowaniu na pewno bardzo pomocne są wszelkie wytyczne i wyjaśnienia GIODO.

GIODO publikuje zestaw pytań

Biuro GIODO wychodząc na przeciw oczekiwaniom przedsiębiorców zwłaszcza tych mniejszych aktywnie edukuje w zakresie RODO. Tym razem na stronie GIODO znajdziesz listę pytań pomocniczych, które pozwolą Ci ocenić swoją gotowość w zakresie stosowania RODO.

W załączeniu ( Tutaj ) link do listy dla tych, którzy jeszcze się nie zapoznali. Rok to naprawdę już mało czasu w szczególności dla tych, którzy tak naprawdę nigdy porządnie nie uporządkowali sfery ochrony danych osobowych w swojej organizacji.

Warto zatem skorzystać z zestawu pytań opracowanych przez GIODO i w oparciu o nie sprawdzić stan gotowości swojej firmy na przyjęcie i stosowanie nowych przepisów w zakresie ochrony danych osobowych już za rok.

Obowiązki informacyjne w RODO

Jednym z kluczowych obowiązków administratora danych, wynikających z rozporządzenia unijnego o ochronie danych osobowych (RODO), jest obowiązek informowania osób, których dane dotyczą o przetwarzaniu ich danych osobowych.

Zgodnie z RODO dane osobowe powinny być przetwarzane w sposób przejrzysty dla osoby, której dotyczą.

„Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem  danych osobowych były łatwo dostępne i zrozumiałe, oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem”

Zakres informacji, który ma być udzielany zgodnie z RODO jest obszerny, znacznie szerszy, niż przewidują to aktualne  przepisy i można je podzielić na dwie grupy:

W pierwszej grupie mieszczą się informacje:

1) identyfikujące administratora;

2) o celach przetwarzania danych oraz podstawie prawnej przetwarzania;

3) o okresie, przez który dane osobowe będą przechowywane, a gdy podanie takich informacji nie jest możliwe, kryteria ustalania tego okresu;

4) o prawie żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania;

5) o prawie wniesienia skargi do organu nadzorczego;

6) czy podanie danych osobowych jest wymogiem ustawowym albo umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

W drugiej grupie mieszczą się informacje, które administrator danych będzie miał obowiązek przekazać osobie, której dane dotyczą, jeżeli zaistnieją następujące okoliczności:

1) jeżeli administrator z państwa trzeciego wyznaczył w Polsce swojego przedstawiciela, wówczas powinien podać informacje identyfikujące tego przedstawiciela;

2) jeżeli administrator powołał inspektora ochrony danych, powinien podać dane kontaktowe takiej osoby;

3) jeżeli przetwarzanie odbywa się na podstawie zgody, administrator powinien podać informacje o prawie do cofnięcia zgody w dowolnym momencie;

4) w sytuacji, gdy przetwarzanie danych odbywa się w oparciu o prawnie uzasadniony interes realizowany przez administratora lub przez stronę trzecią, administrator powinien wskazać ten interes;

5) jeżeli przetwarzanie danych (jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi bądź przetwarzanie odbywa się w oparciu o prawnie uzasadniony interes realizowany przez administratora lub przez stronę trzecią), administrator powinien podać informacje o prawie wniesienia sprzeciwu wobec przetwarzania;

6)jeżeli przetwarzanie odbywa się na podstawie zgody lub umowy i jest dokonywane w sposób zautomatyzowany, to administrator powinien przekazać podmiotowi danych informacje o prawie do przenoszenia danych;

7) jeżeli dane będą przekazywane odbiorcom, wówczas administrator powinien poinformować osobę, której dane dotyczą, o odbiorcach lub o kategoriach odbiorców danych;

8) jeżeli administrator zamierza przekazać dane do państwa trzeciego bądź organizacji międzynarodowej, powinien poinformować o zamiarze przekazania danych i warunkach tego przekazania;

9) jeżeli administrator stosuje mechanizmy podejmowania zautomatyzowanych decyzji oraz profilowania, to powinien podać informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Dodatkowo należy pamiętać, że  jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, to zgodnie z przepisami RODO przed dalszym przetwarzaniem powinien poinformować osobę, której dane dotyczą, o innym celu, oraz udzielić jej wszelkich innych stosownych informacji.

Na koniec omawiania tego istotnego obowiązku nie można pominąć faktu, iż  przepisy RODO za naruszenie przepisów dotyczących m.in. obowiązków informacyjnych przewidują możliwość wymierzenia przez organ nadzorczy administracyjnej kary pieniężnej w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Wprowadzenie tak wysokich kar pieniężnych ma mieć m.in. charakter odstraszający i skłonić administratorów danych do wypełniania obowiązków nałożonych przepisami RODO.

Wobec powyższego  nie opłaca się oszczędność informacyjna wobec osób, których dane przetwarzasz.

 

Inspektor Ochrony Danych (IOD) w świetle prawa  nie może być odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań.

Jest to w mojej ocenie dość niejasne sformułowanie. Czytając zapis literalnie administrator danych nie może odwołać IOD z funkcji czy w jakikolwiek sposób ukarać za wypełnianie przez niego zadań, ale co, gdy IOD wykonuje zadania nieprawidłowo czy wręcz źle. Czy to oznacza, że przyszły IOD będzie miał status nietykalnej „świętej krowy”.

W wytycznych dotyczących IOD opublikowanych przez Grupę Art. 29 d/s Ochrony Danych czytamy:

„Zgodnie z normalnymi regułami, przepisami karnymi i prawa pracy, jak w przypadku każdego innego pracownika, IOD może zostać odwołany w uzasadnionych sytuacjach z przyczyn innych niż wykonywanie obowiązków IOD (np. kradzież, nękanie fizyczne i psychiczne, molestowanie seksualne, ciężkie naruszenie obowiązków).”

W mojej ocenie, jeśli IOD będzie pracownikiem administratora danych będzie on podlegał takim samym regułom oceny jak inni pracownicy określonym w kodeksie pracy również w zakresie prawa pracodawcy do rozwiązania stosunku pracy tak za wypowiedzeniem jak i bez wypowiedzenia.

Sformułowany w treści rozporządzenia zakaz odwoływania oraz karania przez administratora oraz podmiot przetwarzający za wypełnianie swoich zadań należy interpretować w kontekście w/w wspomanianych wytycznych. Przykładowo  „IOD może uznać określone przetwarzanie za wysoce ryzykowne i zalecić administratorowi lub podmiotowi przetwarzającemu, ale administrator lub podmiot przetwarzający nie zgadza się z oceną IOD. W takiej sytuacji IOD nie może zostać odwołany ani karany za udzielenie określonego zalecenia.”

Nie zmienia to faktu, że pracodawca czyli podmiot powołujący IOD nie zostaje pozbawiony prawa oceny jego pracy  i wyciągania wniosków co do jakości tej pracy czy wręcz wyciagania konsekwencji związanych z nienależytym wykonywaniem obowiązków przez Inspektora.

W świetle rozporządzenia skoro to adminstrator danych powołuje IOD jak również weryfikuje komptencje IOD do pełnienia tej funkcji to oczywistym w mojej ocenie jest korelat tego uprawnienia tj. prawo do oceny jakości pracy IOD jak również prawo do rozliczania go w przypadku niewłaściwego wykonywania tychże obowiązków.

Zważywszy na fakt, że wykwalifikowany IOD ma stanowić fundament dla przestrzegania przepisów RODO w organizacji oraz zważywszy na fakt, że odpowiedzialność za to przestrzeganie spoczywa na ADO nie sposób sobie wyobrazić, aby ADO nie posiadał prawa do odwołania inspektora w przypadku braku oczekiwanych kompetencji oraz doświadczenia.