Nowy sposób kontroli UODO – czy odpowiesz na pytania dotyczące przestrzegania przepisów dotyczących IOD?

Na początku 2022 roku UODO skierowało do około 20 podmiotów ankietę zawierającą 27 pytań związanych z przestrzeganiem przepisów dotyczących inspektora ochrony danych (IOD). Co ciekawe w ramach korespondencji organ nadzorczy powołał się na swoje uprawnienia wynikające z art. 58 RODO (prawo do kontroli). Brak odpowiedzi na pytania Urzędu będzie więc mógł zostać potraktowany jako brak współpracy z UODO, a w konsekwencji doprowadzić do otrzymania administracyjnej kary pieniężnej. Jest to swego rodzaju nowość, ponieważ dotychczas UODO nie kontrolowało Administratorów i Podmiotów przetwarzających za pomocą ankiet.

Zgodnie z informacjami opublikowanymi na stronie Urzędu (https://uodo.gov.pl/pl/138/2336) pytania zawarte w ankiecie wynikają z doświadczeń zebranych w ramach dotychczas zrealizowanych kontroli oraz sygnałów przekazywanych do UODO przez IOD. UODO zapewnia również, że to nie jedyna iteracja tego typu działań, oraz że obejmie ona podmiotu zarówno z sektora publicznego jak i prywatnego.

Pytania jakie znalazły się w ankiecie to:

  1. Czy u administratora został wyznaczony inspektor ochrony danych (IOD)?
  2. Czy na administratorze ciąży obowiązek wyznaczenia IOD (jeżeli tak, to na jakiej podstawie prawnej), czy też IOD został wyznaczony mimo braku takiego obowiązku?
  3. Czy administrator opublikował imię i nazwisko oraz kontakt do IOD na swojej stronie internetowej lub – jeżeli nie prowadzi swojej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności?
  4. Czy ww. informacje znajdują się w ogólnie dostępnym miejscu (proszę wskazać to miejsce, w przypadku strony internetowej proszę wskazać jej adres oraz link do tej informacji) ?
  5. Czy Inspektor Ochrony Danych jest pracownikiem administratora, a jeśli nie, to na jakiej podstawie prawnej wykonuje swoje obowiązki?
  6. Czy IOD został powołany na wyłączność u administratora, czy wykonuje swoje obowiązki również u innych administratorów?
  7. Na podstawie jakich kwalifikacji administrator wyznaczył IOD (np. wykształcenie, doświadczenie, wiedza)?
  8. Jakie niezbędne zasoby, o których mowa w art. 38 ust. 2 rozporządzenia 2016/679 administrator zapewnia IOD?
  9. W jaki sposób administrator zapewnia zasoby na utrzymanie wiedzy fachowej IOD?
  10. Jakie stanowisko zajmuje IOD i komu podlega w strukturze organizacyjnej administratora?
  11. Czy administrator powołał zastępcę IOD, jeżeli tak, to kiedy?
  12. Czy u administratora funkcjonuje zespół IOD lub inna forma stałego wsparcia IOD w zakresie wykonywania jego zadań?
  13. W jaki sposób administrator zapewnia by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (np. czy zostały opracowane zasady dotyczące tego, jakie sprawy mają być konsultowane z IOD, kto i w jakich sytuacjach powinien zgłaszać się w celu uzyskania konsultacji IOD, czy i na jakich zasadach IOD bierze udział w naradach kierownictwa)
  14. W jaki sposób administrator zapewnia IOD dostęp do danych osobowych i operacji przetwarzania?
  15. Czy administrator przyjął jakiekolwiek regulacje wewnętrzne dotyczące funkcjonowania IOD (w szczególności w celu zapewnienia poszanowania gwarancji jego niezależności oraz jego uprawnień w zakresie dostępu do danych osobowych i operacji przetwarzania, włączania we wszystkie sprawy dotyczące ochrony danych osobowych, unikania konfliktu interesów), a jeżeli tak, to w jakim akcie wewnętrznym zostały one przewidziane?
  16. W jaki sposób administrator zapewnia, aby IOD nie były wydawane instrukcje co do wykonywania zdań przez IOD?
  17. W jaki sposób administrator zapewnia, aby IOD nie były karany i odwoływany za wykonywanie swoich zadań?
  18. W jaki sposób ADO postępuje w przypadku, gdy nie uwzględnia wskazówek lub rekomendacji IOD, np. czy dokumentuje powody niezastosowania tych wskazówek?
  19. W jaki sposób osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych zgodnie z art. 38 ust. 4 rozporządzenia 2016/679 ?
  20. Czy inspektor ochrony danych wykonuje również inne obowiązki lub sprawuje inną funkcję poza obowiązkami związanymi z ochroną danych osobowych, jeżeli tak to:
    a) jakie oraz w jakim wymiarze czasu pełni funkcję IOD, a w jakim inne zadania,
    b) w jaki sposób administrator ocenił, że w przypadku każdego z tych zadań nie występuje konflikt interesów, o którym mowa w art. 38 ust 6 rozporządzenia 2016/679 ?
    c) Czy w zakresie wykonywania innych zadań IOD podlega innym osobom niż najwyższe kierownictwo administratora?
  21. Czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów?
  22. Czy IOD wykonuje swoje zadania jedynie w siedzibie administratora, a jeżeli nie, to w jakim miejscu i w jaki sposób zapewniona jest stała dostępność IOD dla kierownictwa i pracowników administratora
  23. Czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń, audytów?
  24. Czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny, czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami
  25. Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?
  26. Czy administrator występował do IOD o udzielenie zaleceń co do oceny skutków dla ochrony danych, a jeśli tak, to w jakich sytuacjach?
  27. Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób

Pytania jak widać ukierunkowane są w większość na niezależność oraz zapewnienie właściwych kompetencji, zasobów oraz mocy oddziaływania na organizację IOD. Dla wielu Administratorów i Podmiotów przetwarzających pytania te mówiąc kolokwialnie są dość niewygodna. Wynika to z faktu, że w wielu sytuacjach nasz IOD w rozumieniu ADO raczej w biznesie „przeszkadza” aniżeli pomaga. Powie, że dany proces jest niebezpieczny, że czegoś nie wolno, że trzeba coś zabezpieczyć, a w IT zawsze za dużo roboty… Dużo łatwiej tego IOD po prostu nie słyszeć, schować go i zakopać głęboko w organizacji. Tym sposobem problem magicznie znika. UODO mówi jednak sprawdzam!

O czym warto więc pamiętać:

  • jeśli otrzymasz ankietę od UODO, nie warto jej ignorować – postaraj się odpowiedzieć w wyznaczonym terminie (zwykle jest to 14 dni),
  • wykonaj analizę konieczności wyznaczenia IOD, a jeśli go powołasz nie zapomnij, że jego imię i nazwisko oraz sposób kontaktu powinno zalesić się na stronie www,
  • w dokumentacji wewnętrznej zaadresuj i dokładnie opisz jakie ma prawa, obowiązki i jak w organizacji powinien być traktowany IOD,
  • pozwól IOD komunikować się bezpośrednio z najwyższym kierownictwem – warto tu skorzystać z mechanizmu przeglądu zarządzania wynikającego z standardu ISO 27001,
  • zapewnij, że IOD ma możliwość zaangażowania innych pracowników w celu realizacji procesów wymaganych RODO np. wyjaśnianie naruszeń ochrony danych osobowych,
  • kształć swojego IOD i mądrze umieść go w strukturze organizacyjnej lub zleć te usługę na zewnątrz 😉- pamiętaj to ADO ponosi odpowiedzialność za działania IOD!

Jak cennym zasobem dla Organizacji jest dobry IOD?

Administratorzy i Podmioty przetwarzające zwykle orientują się dopiero w sytuacjach kryzysowych, gdy jest już za późno na podjęcie działań doskonalących. Nie bądź jedną z TYCH organizacji i zapewni sobie profesjonalną obsługę w zakresie outsourcingu IOD.

Ochrona danych osobowych
Chcesz dowiedzieć się jak wypadniesz podczas kontroli?
Przeprowadź audyt RODO arrow
Chcesz zatrudnić profesjonalnego Inspektora Ochrony Danych?
Zapoznaj się z usługą arrow
Potrzebujesz wsparcia lub informacji?
Skontaktuj się z nami arrow