Zakaz otrzymywania instrukcji i brak ponoszenia odpowiedzialności za wykonywanie zadań inspektora ochrony danych stanowi prawdopodobnie największą nowość w odniesieniu do gwarancji Inspektora Ochrony Danych. Gwarancja ta uregulowana w art. 38 ust.3 RODO umożliwia IOD posiadanie pełnej autonomii decyzyjnej w zakresie nadzoru nad ochroną danych osobowych, nawet jeśli jego zalecenia będą stały w jawnej opozycji do decyzji Administratora danych lub strategii biznesowej danego podmiotu.
Zakaz przekazywania instrukcji
IOD nie może otrzymywać żadnych instrukcji dotyczących wykonywania przez siebie zadań określonych w art. 39 RODO. Nie może być on też zobligowany do przyjęcia określonej wykładni przepisów, zrezygnowania z niewygodnych dla Administratora zaleceń lub rekomendowania generujących zasoby zabezpieczeń.
Pomimo szerokiego zakreślenia tej swobody nietrudno także wyobrazić sobie sytuację, gdy organizacja w sposób nieoficjalny przekazuje IOD instrukcje, bądź wiążące zalecenia co do jego pracy. Równie prawdopodobna wydaje się możliwość ignorowania zaleceń IOD, gdy Administrator uzna, że jego zalecenia są zbyt daleko idące lub mogą powodować zbyt wysokie koszty (takich wypadkach powinna zostać sporządzona prze IOD notatka o rozbieżności zdań/decyzji).
Czy IOD może odpowiadać za wykonywanie przez siebie funkcji?
IOD nie ponosi odpowiedzialności za swoje działania związane z wykonywaniem obowiązków. Administrator Danych Osobowych nie możne też na niego wpływać poprzez próbę odwołania lub karania go. IOD nie może być karany w sposób bezpośredni (np. zwolnienie, kary porządkowe itp.) jak i pośredni (np. poprzez opóźnienie awansu, ograniczenie rozwoju zawodowego lub dostępu do benefitów pracowniczych).
Należy wskazać jednak, że brak odpowiedzialności nie ma charakteru bezwzględnego. Brak karalności dotyczy tylko wykonywania obowiązków dotyczących ochrony danych zgodnie z przepisami RODO. IOD może być pociągnięty do odpowiedzialności za nie wykonywanie lub nienależyte wykonywanie swoich powinności (np. brak przeprowadzania szkoleń, brak wyrażania swoich opinii, brak przeprowadzania sprawdzeń ochrony danych) lub uchybianie innym obowiązkom pracowniczym. Inspektor może również odpowiadać za popełnienie deliktów, wykroczeń oraz przestępstw (np. kradzieży danych).
Kto powinien kontrolować IOD?
RODO nie określa w jakiej sytuacji można uznać, że IOD nieprawidłowo wykonuje swoje obowiązki, ani w jaki sposób kontrolować ich wykonanie. Nie stworzono do tej pory wytycznych w których określono by kto powinien dokonać oceny dotychczasowej pracy IOD – czy Administrator, czy też na jego zlecenie firma zewnętrzna, czy może miarą będzie dopiero negatywny wynik kontroli organu nadzorczego. Z własnego doświadczenia jednak wiem, że audyt RODO wykonany przez zewnętrzną firmę pomaga organizacji oraz powołanemu w niej inspektorowi spojrzeć na ochronę danych osobowych z innej perspektywy, a także odnieść funkcjonujące w niej procesy do doświadczeń pozyskanych podczas obsługi innych firm. Audytu zewnętrznego nie powinno się jednako narzędzie do szukania „haków” na IOD, bowiem może to naruszać prawo i to nie tylko RODO.
Podsumowując, funkcja Inspektora Ochrony Danych powinna cieszyć się jak najszerszym zakresem swobody i niezależności. Nie oznacza to jednak, że Inspektorzy Ochrony Danych mogą czuć się bezkarni, ponieważ ich autonomia ogranicza się tylko do wykonywania obowiązków związanych z nadzorem nad ochroną danych w organizacji. Każdy IOD powinien zatem rzetelnie wykonywać swoją pracę, by nie narazić się na inne zarzuty, które umożliwią organizacji odwołanie go. Administratorzy danych oraz podmioty przetwarzające mają obowiązek zapewnić IOD możliwość niezależnego wykonywania swoich zadań oraz nie wpływać na jego wybory i decyzje. Administratorzy mogą jednak kontrolować sposób wykonywania tych obowiązków przez IOD w tym sprawdzać czy są one faktycznie wykonywane.
Post Czy IOD może ponosić odpowiedzilność za wykonywnaie swoich zadań? pojawił się poraz pierwszy w Jak chronić informacje. Blog o byciu skutecznym IOD.
Przeczytaj więcej: Czy IOD może ponosić odpowiedzilność za wykonywnaie swoich zadań?
