Co ciekawe, RODO nie zawiera w swej treści definicji inspektora ochrony danych. Wskazuje jedynie warunki jego powołania, zadania, jakie ma pełnić oraz jego status w strukturze przedsiębiorstwa. Należy zatem przyjąć, że jest to osoba, która z upoważnienia administratora zajmuje się monitorowaniem przestrzegania stosowanych w danej organizacji środków zapewniających ochronę przetwarzania danych osobowych oraz przepisów RODO i innych obowiązujących w dziedzinie danych osobowych.
Niewątpliwie można zatem stwierdzić, że inspektor ochrony danych to taka konstrukcja wprowadzona przez RODO, której założenia zbliżone są do funkcjonującego jeszcze na gruncie przepisów ustawy o ochronie danych osobowych – administratora bezpieczeństwa informacji (ABI). Co jednak istotne zmieni się nie tylko nazwa stanowiska z administratora bezpieczeństwa informacji na inspektora ochrony danych, lecz także, jak już zostało wyżej zasygnalizowane, zmienią się jego kompetencje i zadania. IOD stał się bowiem dla administratorów danych i podmiotów przetwarzających niezwykle ważnym elementem fachowego wsparcia zapewnienia zgodności przetwarzania danych osobowych z RODO.
Co zatem stanie się z obecnym ABI?
Projekt z dnia 8 lutego 2018 r. ustawy o ochronie danych osobowych przewiduje, że osoba pełniąca w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji (ABI), staje się z mocy ustawy inspektorem ochrony danych i pełni swoją funkcje do dnia 1 września 2018 r., chyba, że do tego dnia administrator zawiadomi Prezesa Urzędu o wyznaczeniu innej osoby na inspektora ochrony danych. Ponadto osoba, która pełni dotychczasową funkcję ABI może zostać odwołana przez administratora danych bez zawiadomienia Prezesa Urzędu o wyznaczeniu innej osoby na inspektora ochrony danych, w przypadku gdy na podstawie RODO administrator danych nie ma obowiązku wyznaczenia inspektora ochrony danych.
Oczywiście administrator, który do dnia wejścia w życie nowej ustawy ochronie danych osobowych nie powołał ABI, a na gruncie przepisów RODO spełnia przesłanki zobowiązujące go do powołania inspektora ochrony danych, wyznacza inspektora ochrony danych oraz w terminie do dnia 31 lipca 2018 r. zawiadamia o tym Prezesa Urzędu.
Outsourcing funkcji IOD
Istotnym jest fakt, iż na gruncie przepisów RODO inspektorem ochrony danych może być pracownik bądź współpracownik administratora danych lub podmiotu przetwarzającego dane. RODO wskazuje również wprost, iż IOD może także wykonywać swoje zadania na podstawie umowy o świadczenie usług, a zatem stosownie do art. 37 ust. 6 RODO dopuszczalny jest outsourcing tej funkcji.
Ponadto warto zauważyć, że inspektorem może zostać osoba, która posiada odpowiednie kwalifikacje zawodowe oraz wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Wymagany przepisami poziom wiedzy fachowej nie jest nigdzie szczegółowo określony, ale należy pamiętać, że musi on być adekwatny do charakteru i skomplikowania procesów przetwarzania danych osobowych w ramach konkretnej jednostki.
Warto również wspomnieć, iż nowe przepisy przewidują możliwość powołania jednego inspektora dla kilku przedsiębiorców. A zatem grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych osobowych pod warunkiem jednak, że będzie można z nim łatwo nawiązać kontakt z każdej jednostki organizacyjnej. Niewątpliwie takie rozwiązanie należy uznać za ułatwienie dla przedsiębiorców, którzy prowadzą działalność w oparciu o spółki powiązane ze sobą kapitałowo, osobowo czy też organizacyjnie. Pamiętać oczywiście należy, iż liczba tych organizacji nie może być nadmierna, co mogłoby powodować, że możliwość prawidłowego wykonywania zadań przez IOD stanie się jedynie iluzoryczna.
Co ciekawe, ustawodawca unijny w samej treści RODO przewidział możliwość wyznaczenia jednego inspektora dla kilku podmiotów, nie przewidział natomiast możliwości wyznaczenia kilku inspektorów czy też zastępcy inspektora w jednym podmiocie. Jak jednak wskazuje Grupa Robocza art. 29 w Wytycznych dotyczących inspektorów danych osobowych funkcja IOD na podstawie umowy o świadczenie usług może być pełniona nie tylko przez osobę fizyczną, ale też przez inny podmiot. W takiej sytuacji konieczne jest, aby każdy osoba zespołu sprawującego funkcję IOD spełniała kwalifikacje wskazane w RODO, a także by miała zagwarantowaną przepisami ochronę.
Niezależność IOD
W tym miejscu zwrócić trzeba uwagę na art. 38 RODO, zawierający pewien zakres gwarancji, których założeniem jest umożliwienie IOD wykonywania swoich obowiązków z odpowiednim stopniem autonomii w strukturze przedsiębiorstwa. Jak wskazuje również Motyw 97 do RODO – inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny, tj. nie otrzymywać od administratora lub podmiotu przetwarzającego instrukcji co do wykonywania swoich zadań. Gwarancje te obejmują również (art. 38 ust. 6 RODO) powierzenie inspektorowi innych zadań i obowiązków tylko pod warunkiem braku konfliktu interesów z innymi obowiązkami lub zadaniami.
Nadto, podległość IOD jedynie najwyższemu kierownictwu administratora lub podmiotu przetwarzającego jest jedną z gwarancji niezależnej, wysokiej pozycji inspektora w strukturze jednostki, a ponadto skraca drogę komunikacji w szczególności w razie konieczności podejmowania szybkich działań naprawczych w sytuacji naruszenia procedur ochrony danych osobowych.
Co więcej, art. 38 ust. 3 RODO stanowi, iż IOD „nie jest odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnienie swoich zadań”. Co za tym idzie, jakiekolwiek kary dla IOD w świetle RODO niedozwolone są tylko w przypadkach, gdy nałożone są w związku w wykonywaniem przez inspektora swoich obowiązków.
Natomiast w obszarze niezwiązanym z pełnieniem funkcji inspektora IOD podlega zwykłej odpowiedzialności, w tym np. odpowiedzialności pracowniczej. Do jego odwołania może zatem dojść w przypadku, gdy naruszy on np. przepisy prawa karnego, czy też prawa pracy (kradzież, mobbing, molestowanie, inne ciężkie naruszenie obowiązków pracowniczych). Same przepisy RODO nie wskazują wprost sytuacji oraz w jakim czasie IOD może zostać odwołany bądź zastąpiony przez inną osobę. Można jednak przyjąć, iż w przypadku, gdy z winy inspektora doszło do naruszenia danych osobowych, to będzie to mogło stanowić przesłankę zwolnienia dyscyplinarnego IOD bądź dochodzenia od niego przez administratora roszczenia odszkodowawczego.
Mając na uwadze powyższe, nie możemy jednak zapominać o jeszcze jednej niezwykle ważnej kwestii. Jak zastrzega bowiem Grupa Robocza art. 29 powołanie inspektora ochrony danych nie oznacza nałożenia na niego pełnej odpowiedzialności za naruszenia i za niezgodność działań danego podmiotu z RODO. Zapewnienie tego obowiązku spoczywa bowiem stricte na administratorze lub i podmiocie przetwarzającym dane. Co istotne do katalogu naruszeń, które będą dawały podstawę do nałożenia przez GIODO administracyjnej kary pieniężnej w kwocie do 10 mln euro lub – gdy kara nakładana jest na przedsiębiorstwo – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego należy także sam fakt niewyznaczenia inspektora ochrony danych w przypadkach gdy to wyznaczenie jest obligatoryjne (art. 37 RODO). Warto więc już dziś przygotować się do nadchodzących zmian w dziedzinie ochrony danych osobowych. Zwłaszcza, iż wprowadzają one wiele nowych obowiązków i sankcji w stosunku do podmiotów będących administratorami.
Autor: 
Ewa Buchowiecka
Radca prawny. W Russell Bedford zajmuje się kompleksową obsługą prawną i procesową podmiotów gospodarczych, w tym również obsługą i doradztwem inwestycji budowlanych. Posiada doświadczenie w zakresie prawa cywilnego, gospodarczego oraz prawa pracy, a także w zakresie tworzenia i przekształcania spółek prawa handlowego. Absolwent studiów podyplomowych z Prawa Karnego Skarbowego i Gospodarczego prowadzonych w Katedrze Prawa Karnego Uniwersytetu Jagiellońskiego. Podczas swojej praktyki zawodowej publikowała opinie i artykuły na łamach branżowych pism i serwisów internetowych oraz współpracowała jako redaktor w wydawnictwie C.H. Beck.
