Firmy nie mogą zasłaniać się faktem, że ich inspektor ochrony danych źle wykonywał swoją pracę. Przepisy RODO jasno bowiem wskazują, że odpowiedzialność za naruszenia ponosi administrator.
Wielu administratorów danych osobowych, powołujących inspektorów danych osobowych, nie bardzo zdaje sobie sprawę, jaka jest rola tej osoby w ich organizacjach. Dobitnie potwierdziła to decyzja prezesa Urzędu Ochrony Danych Osobowych o nałożeniu kary w wysokości 50 tys. zł na Szkołę Główną Gospodarstwa Wiejskiego w Warszawie (decyzja nr ZSOŚS.421.25.2019 z 21 sierpnia br.). I choć mowa o naruszeniach dokonanych przez administratora będącego instytucją publiczną, to jednak fragmenty decyzji prezesa UODO mogą być niezwykle istotne również dla przedsiębiorców.
Organ nadzorczy wskazał, że nieprawidłowe jest stanowisko SGGW, że błędy popełnione przez IOD nie mogą być równoznaczne ze stwierdzeniem niewłaściwego nadzoru administratora nad przestrzeganiem bezpieczeństwa danych osobowych. „(...) Uczelnia, jako administrator danych osobowych, jest odpowiedzialna w całości za wdrożenie zasad i procesów wynikających z przepisów o ochronie danych osobowych, w tym za pełnienie nad nimi nadzoru, nawet w sytuacji, gdy został wyznaczony inspektor ochrony danych osobowych” – czytamy w decyzji UODO.
Tomasz Osiej, radca prawny z kancelarii Osiej i Partnerzy, wyjaśnia, że IOD powinien wspomagać administratora w odpowiednim wypełnianiu obowiązków wynikających z RODO. – Jednak to administrator zobligowany jest do zorganizowania całego systemu ochrony danych osobowych w sposób umożliwiający wykazanie jego rozliczalności oraz ocenę zastosowanych środków technicznych czy organizacyjnych i na nim ciąży odpowiedzialność w tym zakresie – dodaje prawnik.
UODO w decyzji dotyczącej SGGW wyraźnie podkreślił, że administratora danych osobowych nie zwalnia z odpowiedzialności fakt, iż to IOD, a nie administrator, nie wykonywał swoich obowiązków wynikających z art. 39 RODO, np. nie monitorował przestrzegania przepisów przez administratora czy nie wypełniał swoich zadań z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania. Dodatkowo urząd zwrócił uwagę, że IOD nie był każdorazowo włączany do prac nad procesami przetwarzania danych, co mogło utrudniać mu wypełnianie swoich obowiązków.
– Umowa administratora z IOD nie przewidywała, aby inspektor miał wykonywać np. analizę ryzyka. Zdaniem UODO ten obowiązek wynika jednak z RODO, gdzie wskazuje się, iż inspektor prowadzi nadzór nad bezpieczeństwem danych. Ten nadzór, według organu nadzorczego, oznacza konieczność jeśli nie wykonywania, to z pewnością skutecznego monitorowania m.in. wspomnianej analizy ryzyka – tłumaczy mec. Tomasz Osiej.
Prawnik zauważa również, że próba przerzucenia odpowiedzialności na IOD przez administratora może być zgubna zwłaszcza dla przedsiębiorców, którzy mają prawny obowiązek wyznaczenia inspektora. Zgodnie z art. 37 ust. 5 RODO inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia swoich zadań. Już sam fakt powołania niekompetentnego IOD może się więc skończyć nałożeniem kary finansowej przez organ nadzorczy. ‒ Wyznaczenie IOD niesie więc ze sobą daleko idące konsekwencje. Ostatnia decyzja prezesa UODO jest kopalnią informacji o tym, jak powinna wyglądać współpraca administratorów z IOD i jakie są de facto oczekiwania UODO w tym zakresie – konkluduje mec. Tomasz Osiej.
Podstawa prawna
• art. 37 ust. 5, art. 39 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; RODO)