Szukaj

Kary wynikające z RODO i rola inspektora ochrony danych

Katarzyna Celińska
28 sty
2 minut(y) czytania

Polski organ ochrony danych nałożył karę administracyjną zgodnie z RODO w sprawie, która porusza ważną kwestię: niezależność inspektora ochrony danych.

Niestety, publicznie dostępny opis tej sprawy jest dość ograniczony, co utrudnia szczegółową analizę. Jednak sama decyzja dotyczy fundamentalnej kwestii zarządzania.

Na podstawie komunikatu UODO organ zakwestionował, czy organizacja zapewniła:

➡️ odpowiednią niezależność,

➡️ oraz czy sposób organizacji tej funkcji nie może prowadzić do konfliktu interesów.

Jest to zgodne z RODO, które wymaga, aby inspektor ochrony danych:

➡️ wykonywał swoje zadania w sposób niezależny,

➡️ nie otrzymywał instrukcji dotyczących wykonywania swoich obowiązków,

➡️ oraz nie zajmował stanowiska, które skutkuje określaniem celów i środków przetwarzania.

Obraz autorstwa creativeart na Freepik

Moim zdaniem niezależność inspektora ochrony danych jest niepodważalna, ale należy ją właściwie rozumieć.

Inspektor ochrony danych nie powinien łączyć swojej roli z funkcjami, które bezpośrednio decydują o przetwarzaniu danych osobowych, takimi jak:

➡️ HR,

➡️ operacyjne zarządzanie IT,

➡️ własność przedsiębiorstwa,

➡️ administracja lub operacyjne funkcje decyzyjne.

Funkcje te w oczywisty sposób powodują strukturalny konflikt interesów.

Niezależność nie wyklucza jednak automatycznie wszystkich innych ról.

Bezpieczeństwo i prywatność

Zdecydowanie nie zgadzam się z nadmiernie rygorystyczną interpretacją, zgodnie z którą inspektor ochrony danych nie może łączyć swoich obowiązków z obowiązkami w zakresie bezpieczeństwa informacji.

Jeśli spojrzymy na to pragmatycznie:

➡️ bezpieczeństwo informacji nie określa celów przetwarzania,

➡️ bezpieczeństwo koncentruje się na poufności, integralności i dostępności, a cele w zakresie prywatności i bezpieczeństwa są w dużej mierze zbieżne.

Szczególnie w mniejszych organizacjach połączenie funkcji CISO i DPO może mieć sens. W takich przypadkach dostrzegam raczej synergię niż konflikt.

Konflikty dotyczące czasu, możliwości i budżetu

Prawdziwy problem często pojawia się gdzie indziej.

Jeśli w praktyce:

➡️ osoba formalnie mianowana na stanowisko DPO poświęca tylko 10% swojego czasu na zadania związane z tą funkcją,

➡️ podstawowe obowiązki wynikające z RODO nie są wypełniane,

➡️ a przydział czasu jest uzależniony od priorytetów operacyjnych innego stanowiska,

➡️ mamy do czynienia z funkcjonalnym konfliktem interesów, a niekoniecznie strukturalnym.

Jest to niepowodzenie w zarządzaniu związane z alokacją zasobów, a nie stanowiskami.

Modele zarządzania

Z punktu widzenia zarządzania:

➡️ inspektor ochrony danych nie jest trzecią linią obrony,