Obowiązki związane z wyznaczeniem IOD

Na podstawie art. 37 ust. 7 RODO administrator lub podmiot prze-twarzający zawiadamiają organ nadzorczy o danych kontaktowych in-spektora, a tym samym o jego wyznaczeniu. Z rozporządzenia nie wy-nika, jakie konkretnie dane powinny być przekazane organowi nadzorczemu, określa to natomiast art. 10 ust. 1 u.o.d.o. z dnia 10 maja 2018 r., przewidując, że podmiot, który wyznaczył inspektora, zawiada-mia Prezesa UODO o jego wyznaczeniu w terminie 14 dni od dnia wy-znaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora. Zawiadomienie może zostać dokonane przez pełnomocnika podmiotu, wówczas do zawiadomienia należy peł-nomocnictwo udzielone w formie elektronicznej. W treści zawiadomie-nia wskazuje się ponadto:

1) imię i nazwisko oraz adres zamieszkania, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna;

2) firmę przedsiębiorcy oraz adres miejsca prowadzenia działalno-ści gospodarczej, w przypadku gdy administratorem lub pod-miotem przetwarzającym jest osoba fizyczna prowadząca dzia-łalność gospodarczą;

3) pełną nazwę oraz adres siedziby, w przypadku gdy administra-torem lub podmiotem przetwarzającym jest podmiot inny niż wskazany w pkt 1 i 2;

4) numer identyfikacyjny REGON, jeżeli został nadany admini-stratorowi lub podmiotowi przetwarzającemu.

Na podmiocie, który wyznaczył inspektora, ciąży obowiązek za-wiadamiania Prezesa UODO o każdej zmianie danych objętych zakresem art. 10 ust. 1 i 3 u.o.d.o. oraz o odwołaniu inspektora, w terminie 14 dni od dnia zaistnienia zmiany lub odwołania. Poza tym w razie wyznacze-nia jednego inspektora przez organy lub podmioty publiczne albo przez

grupę przedsiębiorców każdy z tych podmiotów dokonuje stosownego zawiadomienia. Zawiadomienie sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.

Zgodnie z art. 11 u.o.d.o. podmiot, który wyznaczył inspektora, udostępnia dane inspektora, o których mowa w art. 10 ust. 1, niezwłocz-nie po jego wyznaczeniu, na swojej stroniezwłocz-nie internetowej, a jeżeli niezwłocz-nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miej-scu prowadzenia działalności.

7. Status IOD i miejsce w strukturze organizacyjnej

Status IOD i miejsce w strukturze organizacyjnej w głównej mierze określa art. 38 RODO. Po jego myśli administrator oraz podmiot prze-twarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (art. 38 ust. 1), nadto IOD ma podlegać bezpośrednio najwyż-szemu kierownictwu administratora lub podmiotu przetwarzającego (art. 38 ust. 3).

Status IOD w określają obowiązki, które względem niego ma speł-niać administrator i procesor. Należą do nich:

1) zapewnienie niezależności, w tym poprzez takie usytuowanie w strukturze organizacyjnej, by IOD podlegał bezpośrednio najwyższemu kierownictwu administratora lub podmiotu prze-twarzającego;

2) właściwe i niezwłoczne włączanie we wszystkie sprawy doty-czące ochrony danych osobowych;

3) zapewnienie wsparcia IOD w wypełnianiu przez niego zadań, o których mowa w art. 39;

5) zapewnienie dostępu do danych osobowych i operacji przetwa-rzania;

6) zapewnienie zasobów niezbędnych do utrzymania wiedzy fa-chowej IOD;

7) zapewnienie, by IOD nie otrzymywał instrukcji dotyczących wykonywania jego zadań;

8) zapewnienie, by IOD nie był odwołany ani karany za wypełnia-nie swoich zadań;

9) zapewnienie zachowania przez IOD tajemnicy lub poufności co do wykonywania swoich zadań ‒ zgodnie z prawem Unii lub prawem państwa członkowskiego;

10) niepowierzanie IOD zadań powodujących konflikt interesów; 11) zapewnienie kontaktu z osobami, których dane dotyczą, we

wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO83.

Jednym z podstawowych przymiotów IOD jest gwarantowana mu niezależność84. Z motywu 97 RODO wynika, że inspektorzy ochrony danych bez względu na to, czy są pracownikami administratora, powin-ni być w stapowin-nie wykonywać swoje obowiązki i zadapowin-nia w sposób powin- nieza-leżny. Niezależność sprowadza się do braku podporządkowania, wyłą-czenia spod wpływów, wolności od nacisków, a przez to obiektywizmu w ocenach i działaniach.

Prawny wymóg niezależności działań IOD oznacza, że pracodawca nie będzie mógł w pełni korzystać z uprawnień kierowniczych w zakre-sie określania przedmiotu wykonywania pracy przez IOD. Jego możli-wości działań władczych doznają ograniczeń, co na płaszczyźnie

83 Zob. M. Sakowska-Baryła, Komentarz do art. 38, [w:] M. Sakowska-Baryła (red nauk.), op. cit., s. 419-420.

84 E. Bielak-Jomaa, Komentarz do art. 38, [w:] E. Bielak-Jomaa, D. Lubasz (red. nauk.),

stosunków pracy można uzasadniać, odwołując się do koncepcji „auto-nomicznego podporządkowania”85. Niezależność IOD sprowadzać nale-ży do autonomii działania w zakresie zadań określonych w art. 39 RODO. To nieuleganie wpływom, zarówno z zewnątrz, jak i wewnątrz organi-zacji, i działanie w sprawach dotyczących ochrony danych w sposób wolny od nacisków. Tak określona pozycja umożliwi IOD wolne od in-gerencji i nacisków, oparte na wiedzy i doświadczeniu dokonywanie ustaleń i formułowanie zaleceń w ramach realizowanych zadań i pełnio-nych obowiązków. Jednakże w przypadku IOD zatrudnionego w charak-terze pracownika należy wskazać, że „praca” w rozumieniu prawa pracy musi być w jakimś zakresie podporządkowana i regułą jest, że powinna być świadczona na ryzyko pracodawcy. Ustawodawca wyposażył przecież pracodawcę w prawo do kierowania procesem pracy (art. 22 k.p.).

Włącznie IOD we wszelkie sprawy dotyczące ochrony danych osobowych zakwalifikować należy jako założenie spójne z wymogiem uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych wynikającym z art. 25 RODO, które odnoszą się także do podmiotów z sektora publicznego. Dlatego też także te podmioty przy planowaniu zadań związanych z przetwarzaniem danych osobowych czy realizacji procesów wymagających przetwarzania zobowiązane są uwzględ-niać stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikających z przetwarzania, w których to kwestiach najlepiej powinien orientować się IOD. Publiczny administrator i podmiot przetwarzający powinien zadbać o to, aby zaangażowanie IOD miało następujące cechy:

1) powinno być „właściwe”, a więc adekwatne, odpowiednie, w spo-sób zapewniający możliwie kompleksowe zapoznanie się IOD z okolicznościami przetwarzania danych osobowych – kontekstem,

celami, zakresem, charakterem, uwarunkowaniami czasowymi, technicznymi, prawnymi;

2) powinno odbywać się niezwłocznie – a więc bez nieuzasadnio-nej zwłoki, możliwie szybkie, na możliwie najwcześniejszym etapie – najlepiej – o ile to możliwe – zanim jeszcze zaczną być dokonywane operacje przewarzania;

3) powinno dotyczyć wszystkich spraw ochrony danych osobowych. Ze względu na powyższe IOD należy informować i angażować we wszystkie sprawy z zakresu ochrony danych osobowych bez względu na to, jakich kategorii danych i kategorii osób dotyczą, oraz czy należą do istoty działalności administratora lub podmiotu przetwarzającego, czy też mają wyłącznie charakter pomocniczy. Przykładowo zaangażowanie IOD powinno być podstawową procedurą przy w przygotowaniu zamó-wienia publicznego, przy planowaniu nowych zadań, funkcjonalności systemów informatycznych, zmian w organizacji lub zabezpieczeniach.