Czy Inspektor Danych Osobowych będzie “świętą krową”

Inspektor Ochrony Danych (IOD) w świetle prawa  nie może być odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań.

Jest to w mojej ocenie dość niejasne sformułowanie. Czytając zapis literalnie administrator danych nie może odwołać IOD z funkcji czy w jakikolwiek sposób ukarać za wypełnianie przez niego zadań, ale co, gdy IOD wykonuje zadania nieprawidłowo czy wręcz źle. Czy to oznacza, że przyszły IOD będzie miał status nietykalnej “świętej krowy”.

W wytycznych dotyczących IOD opublikowanych przez Grupę Art. 29 d/s Ochrony Danych czytamy:

“Zgodnie z normalnymi regułami, przepisami karnymi i prawa pracy, jak w przypadku każdego innego pracownika, IOD może zostać odwołany w uzasadnionych sytuacjach z przyczyn innych niż wykonywanie obowiązków IOD (np. kradzież, nękanie fizyczne i psychiczne, molestowanie seksualne, ciężkie naruszenie obowiązków).”

W mojej ocenie, jeśli IOD będzie pracownikiem administratora danych będzie on podlegał takim samym regułom oceny jak inni pracownicy określonym w kodeksie pracy również w zakresie prawa pracodawcy do rozwiązania stosunku pracy tak za wypowiedzeniem jak i bez wypowiedzenia.

Sformułowany w treści rozporządzenia zakaz odwoływania oraz karania przez administratora oraz podmiot przetwarzający za wypełnianie swoich zadań należy interpretować w kontekście w/w wspomanianych wytycznych. Przykładowo  “IOD może uznać określone przetwarzanie za wysoce ryzykowne i zalecić administratorowi lub podmiotowi przetwarzającemu, ale administrator lub podmiot przetwarzający nie zgadza się z oceną IOD. W takiej sytuacji IOD nie może zostać odwołany ani karany za udzielenie określonego zalecenia.”

Nie zmienia to faktu, że pracodawca czyli podmiot powołujący IOD nie zostaje pozbawiony prawa oceny jego pracy  i wyciągania wniosków co do jakości tej pracy czy wręcz wyciagania konsekwencji związanych z nienależytym wykonywaniem obowiązków przez Inspektora.

W świetle rozporządzenia skoro to adminstrator danych powołuje IOD jak również weryfikuje komptencje IOD do pełnienia tej funkcji to oczywistym w mojej ocenie jest korelat tego uprawnienia tj. prawo do oceny jakości pracy IOD jak również prawo do rozliczania go w przypadku niewłaściwego wykonywania tychże obowiązków.

Zważywszy na fakt, że wykwalifikowany IOD ma stanowić fundament dla przestrzegania przepisów RODO w organizacji oraz zważywszy na fakt, że odpowiedzialność za to przestrzeganie spoczywa na ADO nie sposób sobie wyobrazić, aby ADO nie posiadał prawa do odwołania inspektora w przypadku braku oczekiwanych kompetencji oraz doświadczenia.

Wiedza fachowa Inspektora Ochrony Danych Osobowych (DPO)

Wiemy już, że dzisiejszego ABI zastąpi DPO czyli inspektor ochrony danych osobowych. Wprawdzie jego powołanie w organizacji nie w każdym przypadku będzie obowiązkiem, jednakże każdy administrator danych osobowych powinien przeanalizować ewentualną potrzebę powołania DPO w swojej organizacji.

Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań.

Wymagany poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być to poziom współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki.

Słowem poziom wiedzy DPO powinien być wprost proporcjonalny do poziomu skomplikowania przetwarzania danych w ramach danej jednostki. Wyższy poziom skomplikowania implikuje wyższy poziom fachowości ABI.

Rekrutacja odpowiedniego dla swojej organizacji DPO spoczywa na administratorze danych, który ponosząc odpowiedzialnośc za zagodność przetwarzania z prawem będzie musiał podołać i temu obowiązkowi.

Powołanie kompetentnego DPO to w mojej ocenie jedna z najważniejszych o ile nie najważniejsza czynność administratora danych osobowych, gdyż to DPO będzie stał na straży  zgodności przetwarzania danych osobowych z przepisami. I to od jego wiedzy, kompetencji oraz doświadczenia będzie zależał poziom zgodności przetwarzania w jednostce.

Z mojego doswiadczenia wynika, iż stan wiedzy z zakresu ochrony danych osobowych w większości firm jest bardzo niski. ABI w chwili obecnej jest chyba jedyną osobą w firmie, która ma jakąś wiedze na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Niestety często nie jest to wiedza w mojej ocenie odpowiednia, z czego sami ABI doskonale zdają sobie sprawę.

W mojej ocenie odpowiednia wiedza i doświadczenie DPO jest jedną z najbardziej kluczowych kwestii nie tylko w kategoriach “być lub nie być”  DPO ale i “być lub nie być” dla administratora danych, który finalnie będzie finansowo odpowidał za błędy swojego DPO.

Reasumując wybór przez administratora danych osobowych DPO bez odpowiedniej wiedzy na temat prawa oraz praktyk w dziedzinie ochrony danych osobowych, może firmę bardzo dużo kosztować.

Dotychczas w polskim porządku prawnym dotyczącym ochrony danych osobowych brakowało tak naprawdę sankcji za brak zgodności przetwarzania danych osobowym z prawem. Brak sankcji przekładał się na stosunek administratorów danych do wymaganych prawem obowiązków, które w ogromnej mierze były lekceważone. Tak samo ABI to częściej osoba z tzw. “łapanki” z przypadkowego rozdania niż naprawdę świadomy wybór stąd braki w zakresie odpowiedniej wiedzy ABI.

Czas szybko mija, do 25 maja 2018 r. zostało już bardzo niewiele czasu ale jednocześnie na tyle dużo, żeby ABI, którzy na poważnie myślą o swojej przyszłości w tym zawodzie dołożywszy odpowiednich starań podniesili poziom swojej wiedzy tak, by był on odpowiedni na podjęcie nowych wyzwań w dziedzinie ochrony danych, a ADO w obawie przed konskewencjami braku tej wiedzy powinien  wysiłki swoich ABI aktywnie wspierać.