DOL.060.3.2024 - Odpowiedź Prezesa UODO na pismo SABI, SPOD i ZFODO

Odpowiadając na Państwa pismo z dnia 26 kwietnia br., dotyczące m.in. propozycji zorganizowania Grupy Roboczej ds. 1OD, której celem byłoby wypracowanie standardów i wytycznych dotyczących wykonywania funkcji inspektora ochrony danych (dalej również jako "1OD"), oraz deklaracji uczestnictwa w pracach takiej Grupy Roboczej, uprzejmie dziękuję za Państwa aktywną postawę i zaangażowanie w działania na rzecz środowiska inspektorów ochrony danych.

Prezes Urzędu Ochrony Danych Osobowych stoi na stanowisku, że inspektorzy ochrony danych, dysponujący odpowiednią wiedzą i umiejętnościami, a także mający odpowiednią pozycję w organizacji, w której funkcjonują, stanowią fundament skutecznego systemu ochrony danych osobowych. Podstawowym warunkiem prawidłowego i efektywnego pełnienia tej funkcji jest zapewnienie inspektorowi niezależności. Jak wskazano w motywie 97 RODO 1 inspektorzy ochrony danych - bez względu na to, czy są pracownikami administratora, czy też nie - powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny. W celu zapewnienia tej niezależności przepisy RODO określają zarówno status inspektora ochrony danych, jak i jego obowiązki. Ponadto RODO nakłada na administratora i podmiot przetwarzający bardzo konkretne obowiązki dotyczące nie tylko wyznaczania inspektora ochrony danych o właściwych kwalifikacjach, ale przede wszystkim zapewnienia mu gwarancji niezależności tak, aby mógł on prawidłowo realizować swoje zadania.

Znaczenie niezależności IOD, zwłaszcza w kontekście nowych regulacji unijnych i wyzwań cyfrowych, było również wielokrotnie podkreślane w opublikowanym w dniu 17 lutego br. sprawozdaniu Europejskiej Rady Ochrony Danych ze skoordynowanego działania dotyczącego pozycji i wyznaczania inspektorów ochrony danych "CEF DPO". Zarówno EROD, jak i uczestniczące w tym działaniu organy nadzorcze wskazywały, że:

* rola IOD musi być rozwijana w niezależny sposób, a zarówno organy nadzorcze, jak i wewnętrznie same organizacje, muszą prowadzić więcej działań uświadamiających i egzekucyjnych dotyczących niezależności IOD,

* inspektorzy ochrony danych powinni mieć możliwość gromadzenia dowodów w przypadku ingerencji w ich niezależność,

* istnieje ciągle aktualna potrzeba właściwego rozumienia roli IOD i jego znaczenia w zapewnianiu zgodności przetwarzania z prawem,

* konieczne jest rzeczywiste rozumienie roli IOD jako niezależnego doradcy, któremu nie wolno udzielać instrukcji, w czym dużą rolę odgrywa właściwe zadbanie zarówno o odpowiednie ukształtowanie stosunku umownego z zewnętrznym IOD, jak i o jego autonomię budżetową,

* przestrzeganie wymogów służących zapewnieniu IOD możliwości prawidłowego wykonywania swojej funkcji jest szczególnie ważne wobec konieczności stosowania przepisów UE w dziedzinie cyfrowej. Zauważyć bowiem można tendencję do powierzania inspektorom nowych zadań związanych z usługami cyfrowymi, sztuczną inteligencją, zarządzaniem danymi i przestrzeniami danych na mocy tych przepisów (akt o sztucznej inteligencji, akt o usługach cyfrowych, akt o rynku cyfrowym lub akt w sprawie danych). Te nowe role mogą wzmocnić wiele z wyrażonych w sprawozdaniu obaw, dotyczących możliwości wystąpienia konfliktu interesów lub niewystarczających zasobów, którymi dysponują inspektorzy ochrony danych.

Do kwestii niezależności IOD odnosił się również Trybunał Sprawiedliwości Unii Europejskiej. W wyroku z dnia 9 lutego 2023 r., wydanym w sprawie C-453/21, Trybunał wskazał w szczególności, że gdyby IOD nie był lub przestał być w stanie wykonywać swoich zadań w sposób całkowicie niezależny z powodu konfliktu interesów, zagrażałoby to realizacji celu RODO, jakim jest zapewnienie wysokiego poziomu ochrony osób fizycznych w Unii w związku z przetwarzaniem ich danych osobowych (pkt 33, 34 wyroku).

Urząd Ochrony Danych Osobowych, doceniając rolę inspektorów ochrony danych w procesie zapewnienia prawidłowej ochrony danych osobowych, z uwagą podchodzi do realizacji przez administratorów ich obowiązków dotyczących funkcjonowania IOD i identyfikuje występujące w tym obszarze trudności i wątpliwości. Od początku obowiązywania przepisów ogólnego rozporządzenia o ochronie danych wypracował wiele wytycznych i wskazówek dotyczących zapewnienia IOD warunków do prawidłowego funkcjonowania i wykonywania zadań. W ciągu ostatnich lat były one sukcesywnie publikowane na stronie internetowej Urzędu, przede wszystkim w zakładce Inspektor Ochrony Danych, gdzie zamieszczane były odpowiedzi na pytania, jakie przedstawiali inspektorzy oraz administratorzy, czy w Newsletterze UODO dla IOD (Biuletynie UODO), np. w Wydaniu 4 (kwiecień 2022). a ostatnio w sprawozdaniu krajowym polskiego organu nadzorczego przygotowanym w związku z udziałem w przywołanym powyżej działaniu CEF DPO. Publikowane przez UODO materiały mają na celu ułatwienie zarówno administratorom, jak i inspektorom, wywiązywania się z nałożonych na nich przepisami RODO obowiązków oraz wypracowanie odpowiednich, dostosowanych do ich organizacji rozwiązań umożliwiających inspektorowi niezależne i efektywne sprawowanie tej funkcji.

W tym miejscu warto zauważyć, że - jak pokazała akcja 27 pytań, służąca weryfikacji przez UODO przestrzegania przepisów dotyczących inspektorów ochrony danych - wiele organizacji włożyło dużo wysiłku w prawidłowe wdrożenie przepisów dotyczących funkcjonowania IOD w swoich organizacjach, na dowód czego przedstawiło rzetelne i poparte odpowiednimi dowodami wyjaśnienia dotyczące funkcjonowania u nich odpowiednich rozwiązań.

Jako Prezes UODO zapewniam, że dołożę wszelkich starań, aby te ww. standardy nadal upowszechniać w świadomości adresatów przepisów i by były one przez nich przestrzegane. Obowiązkiem organu nadzorczego jest bowiem również monitorowanie i egzekwowanie obowiązującego w tym zakresie prawa.

Jednocześnie chciałbym podkreślić, że - tak jak wspominaliśmy na spotkaniu zorganizowanym w UODO dnia 9 kwietnia br. - organizacje zrzeszające i wspierające inspektorów ochrony danych są dla organu nadzorczego ważnym partnerem w działaniach na rzecz zwiększania świadomości, zarówno wśród inspektorów, jak i wśród administratorów czy podmiotów przetwarzających, co do roli i statusu IOD, w szczególności co do przewidzianych w RODO gwarancji niezależnego wykonywania tej funkcji. Jednym z ważnych działań służących temu celowi mogłoby być upowszechnianie przez reprezentowane przez Państwa stowarzyszenia stanowisk i wskazówek wypracowanych przez UODO w tym zakresie.

Ponadto organ nadzorczy rolę organizacji, które zrzeszają inspektorów, we wspieraniu niezależności IOD dostrzega w podejmowaniu przez nie następujących działań:

* sprawowanie pieczy nad zgodnym z prawem wykonywaniem funkcji IOD,

* upowszechnianie postrzegania funkcji IOD jako funkcji zaufania społecznego, stojącej na straży praw i wolności człowieka i obywatela,

* upowszechnianie standardów wynikających z przepisów prawa i praktyk zapewniających ich przestrzeganie w organizacjach o różnym profilu (np. w ujęciu sektorowym),

* kształtowanie norm i zasad etycznych w postaci kodeksów etyki IOD,

* prowadzenie edukacji nastawionej na etykę związaną z zagrożeniami, jakie inspektorzy mogą spotkać w kontekście ich niezależności.

Dodatkowo należy zauważyć, że warto, aby w działania na rzecz niezależności IOD włączali się również sami inspektorzy. Od specjalistów w dziedzinie ochrony danych osobowych, jakimi są, powinno się bowiem oczekiwać odpowiedzialnej postawy, stania na straży przestrzegania przepisów prawa oraz zwiększonej rzetelności w zakresie funkcji doradczej i monitorowania przestrzegania prawa. Zawodowy charakter tej funkcji powinien za sobą pociągać zwiększony zakres wymagań co do umiejętności, wiedzy i zapobiegliwości w dziedzinie ochrony danych osobowych. Przykładowo, inspektor ochrony danych - z uwagi na swoją rolę fachowego doradcy i podmiotu monitorującego w sposób niezależny przestrzeganie przepisów o ochronie danych osobowych - powinien ze swej strony odpowiednio wcześnie identyfikować i sygnalizować administratorowi zagrożenia dla niezależności IOD (np. ryzyko wystąpienia konfliktu interesów), by możliwe było odpowiednio wczesne im zapobieganie.

Mając na uwadze powyższe wyrażam przekonanie, że wypracowywane przez lata, we współpracy z inspektorami ochrony danych i administratorami, wskazówki zamieszczane na stronie internetowej organu nadzorczego są i nadal będą dla organizacji zrzeszających inspektorów ochrony danych niezbędną podbudową dla działań mających na celu doskonalenie i upowszechnianie standardów w zakresie zgodnego z prawem realizowania obowiązków administratorów wobec IOD, a z drugiej strony kompetentnego wykonywania zadań przez inspektorów.

Jednocześnie uważam, że materiały tego typu, zamieszczane na stronie organu ochrony danych osobowych powinny być aktualne, zrozumiałe i powinny odpowiadać na kluczowe problemy naszych partnerów a także przedstawicieli biznesu, instytucji, organizacji społecznych i społeczeństwa. Dlatego też w maju br. uruchomiliśmy na stronie UODO (zob. https://uodo.gov.pl/pl/138/3098) służące temu publiczne konsultacje dwóch poradników UODO, tj. poradnika o przetwarzaniu danych przy zatrudnianiu "Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców" z 2018 r. oraz poradnika o reagowaniu na naruszenia danych osobowych "Jak administratorzy powinni postępować w przypadku naruszeń ochrony danych" z 2019 r. Przeglądowi i konsultacjom poddawane będą kolejne poradniki. Bardzo liczę na uwagi i sugestie Państwa organizacji w tych konsultacjach. Jednocześnie liczę, że ewentualne powołanie proponowanej przez Państwa grupy będziemy mogli omówić podczas kolejnego wydarzenia organizowanego przez Urząd, np. przy okazji planowanej prezentacji zaktualizowanych podręczników.

Jako organ nadzorczy zamierzam również wspierać wszelkie inicjatywy dotyczące profesjonalizacji funkcji inspektora ochrony danych. Wobec tego jeśli reprezentowane przez Państwa stowarzyszenia - zgodnie z deklaracją złożoną na spotkaniu w dniu 9 kwietnia br. - chcą kontynuować projekt profesjonalizacji IOD z uwzględnieniem wszystkich wypracowanych i opublikowanych dotychczas przez organ nadzorczy wskazówek i zaleceń, to te działania również będziemy wspierać. W mojej ocenie to właśnie stowarzyszenia związane ze środowiskiem IOD mogą odgrywać bardzo istotną rolę w propagowaniu niezależności inspektorów oraz upowszechnianiu wiedzy na temat prawidłowego wykonywania tej funkcji.