Jakiś czas temu światło dzienne ujrzał najnowszy poradnik wydany przez Urząd Ochrony Danych Osobowych poświęcony obowiązkom administratorów związanymi z naruszeniami ochrony danych osobowych. Naszym zdaniem na szczególną uwagę zasługują jednak poglądy Urzędu dotyczące roli Inspektora Ochrony Danych.
Urząd szczególnie podkreślił, że IOD jako profesjonalny doradca wspierający administratorów, musi pozostać niezależny, a zakres jego odpowiedzialności powinien być wolny od konfliktów interesów. Do jego zadań przyporządkowano m.in.: doradzanie organizacji w zakresie ochrony danych osobowych, monitorowanie przestrzegania przepisów RODO, podnoszenie świadomości personelu na temat ochrony danych osobowych, współpraca i pełnienie funkcji punktu kontaktowego dla organu nadzorczego i osób, których dane dotyczą. Ponadto, Inspektor powinien być włączony we wszystkie sprawy dotyczące ochrony danych osobowych, a w szczególności w sprawach dotyczących naruszeń.
Pewne zdziwienie może budzić to, czego Inspektor robić nie powinien – właśnie ze względu na konieczność zachowania niezależności i unikania konfliktów interesów. Wskazano tutaj między innymi takie czynności jak: zgłaszanie naruszeń ochrony danych Prezesowi UODO w imieniu administratorów, zawiadamianie w imieniu administratorów osób, których dane dotyczą, o naruszeniach ochrony danych osobowych, dokumentowanie naruszeń ochrony danych w imieniu administratorów, podejmowanie zobowiązań dotyczących bezpieczeństwa przetwarzania w imieniu administratorów lub podmiotów przetwarzających, a także działanie na podstawie pełnomocnictwa w sprawach dotyczących ochrony danych osobowych.
Urząd wskazał przy tym, że IOD wykonując obowiązki spoczywające na administratorze może tracić obiektywizm i popadać w konflikt interesów. W odniesieniu do pełnomocnictwa podkreślono natomiast, że wiąże się ono ze ścisłym wykonywaniem poleceń, co może naruszać zasadę niezależności IOD.
Jak zatem widzimy, rola Inspektora Ochrony Danych może być znacznie węższa, niż się niektórym wydawało. Nie może on wyręczać administratora w jego obowiązkach. Pełni rolę jedynie doradczą – ma w profesjonalny sposób ma wspierać administratora w poruszaniu się po gąszczu przepisów i zawiłości wynikających z RODO. W związku z tym rekomendujemy, abyście przyjrzeli się roli IOD w swoich organizacjach.
Czy nie jest on obciążony obowiązkami, które zgodnie z prawem spoczywają na administratorze? Jest to szczególnie istotne, biorąc pod uwagę, że naruszenie statusu IOD może skutkować karą pieniężną ze strony Prezesa UODO.
Link do poradnika: Poradniki i wskazówki (od 2025 r.) – UODO