DOL.060.4.2024 - Odpowiedź Prezesa UODO na pismo SIODO

Bardzo uprzejmie dziękuję za przedstawione w piśmie z 29 maja br. stanowisko Stowarzyszenia Inspektorów Ochrony Danych Osobowych (SIODO) w sprawie niezależności inspektora ochrony danych oraz zaangażowanie na rzecz właściwego rozumienia i stosowania przepisów dotyczących IOD.

Doceniam i za niezwykle ważne uznaję, że SIODO dostrzega wagę zapewnienia inspektorom niezależności oraz właściwego ukształtowania ról i rozdzielenia zadań administratora i inspektora ochrony danych. Również w mojej ocenie to kluczowe warunki prawidłowego i efektywnego pełnienia tej funkcji. Jak wskazano w motywie 97 RODO 1 inspektorzy ochrony danych - bez względu na to, czy są pracownikami administratora, czy też nie - powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny. W celu zapewnienia tej niezależności przepisy RODO określają zarówno status inspektora ochrony danych, jak i jego obowiązki.

Podzielam również Państwa obawy, że wyręczanie administratora przez IOD doprowadzić może do regresu świadomości administratora w zakresie odpowiedzialności, która na nim spoczywa, a także do nasilenia tendencji cedowania na IOD zadań spoczywających na administratorze. Jest to szczególnie ważne ze względu na rosnącą liczbę aktów prawnych, zwłaszcza tych dotyczących bezpieczeństwa informacji i cyberbezpieczeństwa, których stosowanie będzie ogromnym wyzwaniem dla wielu podmiotów z sektora prywatnego oraz publicznego.

Z tego względu w mojej ocenie istnieje ciągła potrzeba budowania świadomości administratorów i podmiotów przetwarzających co do ich obowiązków i odpowiedzialności za przestrzeganie obowiązującego w tych obszarach prawa, a także co do właściwej roli i pozycji inspektora ochrony danych. Budowanie tej świadomości jest jedną z priorytetowych misji inspektorów ochrony danych, którzy powinni być w tym zakresie wspierani przez zrzeszające ich organizacje.

Organ nadzorczy od wejścia w życie przepisów RODO stoi na straży niezależności IOD, gwarantującej prawidłowe i efektywne pełnienie tej funkcji. Znaczenie niezależności inspektorów nieustannie jest podkreślane przy okazji różnych działań zarówno Prezesa UODO, jak i innych organów nadzorczych (np. w ramach skoordynowanego egzekwowania prawa dotyczącego wyznaczania i pozycji IOD - CEF DPO), czy też orzeczeniach Trybunału Sprawiedliwości UE. W wyroku z 9 lutego 2023 r., wydanym w sprawie C-453/21, Trybunał Sprawiedliwości wskazał, że gdyby IOD nie był, lub przestał być, w stanie wykonywać swoich zadań w sposób całkowicie niezależny z powodu konfliktu interesów, zagrażałoby to realizacji celu RODO, jakim jest zapewnienie wysokiego poziomu ochrony osób fizycznych w Unii w związku z przetwarzaniem ich danych osobowych (pkt 33, 34 wyroku).

Urząd Ochrony Danych Osobowych, doceniając rolę inspektorów ochrony danych w procesie zapewnienia prawidłowej ochrony danych osobowych, z uwagą podchodził i podchodzi do realizacji przez administratorów ich obowiązków dotyczących funkcjonowania IOD i identyfikuje występujące w tym obszarze trudności i wątpliwości.

Opracowanych zostało wiele wytycznych i wskazówek dotyczących zapewnienia IOD warunków do prawidłowego funkcjonowania i wykonywania zadań. W ostatnich latach były one sukcesywnie publikowane na stronie internetowej Urzędu, przede wszystkim w zakładce Inspektor Ochrony Danych, gdzie zamieszczane były odpowiedzi na pytania, czy w Newsletterze UODO dla IOD (Biuletynie UODO), np. w Wydaniu 4 (kwiecień 2022), a ostatnio w sprawozdaniu krajowym polskiego organu nadzorczego przygotowanym w związku z udziałem w 2023 r. w CEF DPO. Publikowane przez UODO materiały mają na celu ułatwienie zarówno administratorom, jak i inspektorom wywiązywania się z nałożonych na nich przepisami RODO obowiązków oraz wypracowanie odpowiednich, dostosowanych do ich organizacji rozwiązań umożliwiających inspektorowi niezależne i efektywne sprawowanie tej funkcji.

Jednocześnie uważam, że materiały tego typu, zamieszczane na stronie organu ochrony danych osobowych powinny być aktualne, zrozumiałe i powinny odpowiadać na kluczowe problemy naszych partnerów a także przedstawicieli biznesu, instytucji, organizacji społecznych i społeczeństwa. Dlatego też w maju br. uruchomiliśmy na stronie UODO (zob. https://uodo.gov.pl/pl/138/3098) służące temu publiczne konsultacje dwóch poradników UODO, tj. poradnika o przetwarzaniu danych przy zatrudnianiu "Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców" z 2018 r. oraz poradnika o reagowaniu na naruszenia danych osobowych "Jak administratorzy powinni postępować w przypadku naruszeń ochrony danych" z 2019 r. Przeglądowi i konsultacjom poddawane będą kolejne poradniki. Bardzo liczę na uwagi i sugestie Państwa Stowarzyszenia w tych konsultacjach.

W tym miejscu warto zauważyć, że - jak pokazała akcja 27 pytań, służąca weryfikacji przez UODO przestrzegania przepisów dotyczących inspektorów ochrony danych - wiele organizacji włożyło dużo wysiłku w prawidłowe wdrożenie przepisów dotyczących funkcjonowania 1OD w swoich organizacjach, na dowód czego przedstawiło rzetelne i poparte odpowiednimi dowodami wyjaśnienia dotyczące funkcjonowania u nich odpowiednich rozwiązań.

Jednocześnie chciałbym podkreślić, że - tak jak wspominaliśmy na spotkaniu zorganizowanym 9 kwietnia br. - organizacje zrzeszające i wspierające inspektorów ochrony danych są dla organu nadzorczego ważnym partnerem w działaniach na rzecz zwiększania świadomości, zarówno wśród inspektorów, jak i wśród administratorów czy podmiotów przetwarzających, co do roli i statusu 1OD, w szczególności co do przewidzianych w RODO gwarancji niezależnego wykonywania tej funkcji. Jednym z ważnych działań służących temu celowi mogłoby być upowszechnianie przez Państwa stowarzyszenie stanowisk i wskazówek wypracowanych przez UODO.

Ponadto organ nadzorczy rolę organizacji, które zrzeszają inspektorów, we wspieraniu niezależności 1OD dostrzega w podejmowaniu przez nie takich działań, jak:

* sprawowanie pieczy nad zgodnym z prawem wykonywaniem funkcji 1OD,

* upowszechnianie postrzegania funkcji 1OD jako funkcji zaufania społecznego, stojącej na straży praw i wolności człowieka,

* upowszechnianie standardów wynikających z przepisów prawa i praktyk zapewniających ich przestrzeganie w organizacjach o różnym profilu (np. w ujęciu sektorowym),

* kształtowanie norm i zasad etycznych w postaci kodeksów etyki 1OD,

* prowadzenie edukacji nastawionej na etykę związaną z zagrożeniami, jakie inspektorzy mogą spotkać w kontekście ich niezależności.

W mojej ocenie to właśnie stowarzyszenia związane ze środowiskiem 1OD mogą odgrywać bardzo istotną rolę w propagowaniu niezależności inspektorów oraz upowszechnianiu wiedzy na temat prawidłowego wykonywania tej funkcji.

Jednocześnie warto, aby w działania na rzecz niezależności 1OD włączali się również sami inspektorzy. Od specjalistów w dziedzinie ochrony danych osobowych, jakimi są, powinno się bowiem oczekiwać odpowiedzialnej postawy, stania na straży przestrzegania przepisów prawa oraz zwiększonej rzetelności w zakresie funkcji doradczej i monitorowania przestrzegania prawa. Zawodowy charakter tej funkcji powinien za sobą pociągać zwiększony zakres wymagań co do umiejętności, wiedzy i zapobiegliwości w dziedzinie ochrony danych osobowych. Przykładowo inspektor ochrony danych - ze względu na swoją rolę fachowego doradcy i podmiotu monitorującego w sposób niezależny przestrzeganie przepisów o ochronie danych osobowych - powinien ze swej strony odpowiednio wcześnie identyfikować i sygnalizować administratorowi zagrożenia dla niezależności 1OD (np. ryzyko wystąpienia konfliktu interesów), by możliwe było odpowiednio wczesne im zapobieganie.

Jako Prezes UODO zapewniam, że dołożę wszelkich starań, aby te standardy nadal upowszechniać w świadomości adresatów przepisów i by były one przez nich przestrzegane. Obowiązkiem organu nadzorczego jest bowiem również monitorowanie i egzekwowanie obowiązującego w tym zakresie prawa.