Rola doradcza i wspierająca
Organ postrzega rolę inspektora ochrony danych jako osoby, która:
- ściśle kontaktuje się z kierownictwem, aby ułatwić mu podejmowanie decyzji zgodnych z RODO,
- upowszechnia zasady ochrony danych w organizacji;
- określa w jakich okolicznościach powinien być angażowany, szczególności w odniesieniu do:
- nowych procesów przetwarzania danych (z uwzględnieniem zasady Privacy by Default i Privacy by Design);
- analizy ryzyka oraz oceny skutków dla przetwarzania danych;
- prowadzenia rejestru czynności przetwarzania;
- opracowywania wewnętrznych procedur i zasad przetwarzania danych;
- zarządzania naruszeniami ochrony danych, w szczególności w zakresie oceny naruszeń i środków jakie należy podjąć, ewentualnego poinformowania organu nadzorczego lub podmiotów danych.
Ponadto IOD powinien podnosić świadomość w zakresie ochrony danych osobowych w organizacji poprzez:
- prowadzenie działań komunikacyjnych podnoszących świadomość w zakresie istotnych dla organizacji problemów z zakresu danych osobowych np. poprzez wykorzystanie intranetu albo plakatów informacyjnych;
- informowanie o sobie lub pośrednikach w ramach organizacji jako o wewnętrznym punkcie kontaktowym we wszystkich kwestiach dotyczących ochrony danych;
CNIL podkreśla, że rolą IOD jest przede wszystkim informowanie, doradztwo oraz kontrola, natomiast nie jest to podmiot odpowiedzialny wprost za proces compliance organizacji, prowadzenie rejestrów, analiz skutków.
Compliance
Monitorowanie zgodności organizacji z RODO zdaniem francuskiego organu powinno przybrać formę audytów organizowanych w porozumieniu z osobą trzecią lub bezpośrednio prowadzonych przez IOD. Audyty powinny być w odpowiednich przypadkach prowadzone przy udziale osoby odpowiedzialnej za bezpieczeństwo systemów informatycznych. Monitorowanie powinno odbywać się z uwzględnieniem planu działań, który będzie korygował istniejące procesy przetwarzania.
Celem kontroli powinna być w zależności od ustalonych priorytetów:
- weryfikacja dokładności informacji zawartych w RCP (inwentaryzacja czynności przetwarzania, weryfikacja celów przetwarzania, danych które są przetwarzane, odbiorców, którym przekazywane są dane oraz weryfikacja czy dochodzi do transferu poza EOG, czy dane przetwarzane są zgodnie z ustalonymi okresami retencji, czy wdrożone są odpowiednie środki organizacyjne i techniczne);
- weryfikacja zgodności najbardziej wrażliwych czynności przetwarzania danych ze szczególnym naciskiem na uwzględnienie oceny skutków dla ochrony danych;
- wdrożenie narzędzi do monitorowania i kontroli procesów przetwarzania danych (takich jak analiza logów, wykrywanie przechowywanych danych, których przetwarzanie nie znajduje podstawy prawnej, weryfikacja narzędzi stosowanych do usuwania danych po upływie ustalonego okresu);
- kontrola skuteczności wdrożonych środków techniczno-organizacyjnych.
Kontakty z organem
Inspektor ochrony danych zobowiązany jest na podstawie art. 39 ust. 1 lit. e) RODO do pełnienia funkcji punktu kontaktowego dla organu nadzorczego podczas przeprowadzanej kontroli, przy rozpatrywaniu skargi, w ramach konsultacja poprzedzających DPIA oraz przy okazji zawiadamiania o naruszeniu ochrony danych osobowych.
Ponadto IOD może konsultować się z organem nadzorczym w kwestiach związanych z ochroną danych osobowych. CNIL podkreśla, że niezależnie od tego, w jakiej organizacji IOD pełni swoją funkcję administrator ani podmiot przetwarzający nie mogą zabronić IOD skorzystania z tej możliwości.
Organ podkreśla, że IOD jest odrębnym i samodzielnym podmiotem również w zakresie kontroli, które CNIL może przeprowadzić bez zapowiedzi. To IOD jest odpowiedzialny za przyjęcie protokołu kontroli, zaś organizacja dopiero po otrzymaniu protokołu może się do niego odnieść. Organ podkreśla również, że IOD nie może reprezentować organizacji w postępowaniu prowadzonym przez organ nadzorczy. CNIL podkreśla, że to godziłoby w jego obowiązki i mogłoby powodować konflikt interesów.
Kontakt z podmiotami danych
Inspektor ochrony danych jest również punktem kontaktowym wobec podmiotów danych. Co za tym idzie powinien on zorganizować proces udzielania odpowiedzi na wnioski osób, których dane dotyczą. Celem takiej procedury powinno być udzielenie pełnej odpowiedzi w wyznaczonym przez RODO czasie. IOD może również zwrócić się do podmiotu danych w każdej kwestii dotyczącej przetwarzania jej danych osobowych.
Prowadzenie dokumentacji przetwarzania danych osobowych
CNIL podkreśla, że prowadzenie dokumentacji odgrywa kluczową rolę w kontekście zapewnienia jednej z zasad RODO tj. rozliczalności. Dokumentacja jest niezbędna w celu zagwarantowania i wykazania zgodności z obowiązującym prawem oraz udokumentowania podjętych środków. W Wytycznych podkreślono również jej znaczenie w kontekście zadań Inspektora ochrony danych, ponieważ pozwala mu orientować się w przeprowadzanych procesach przetwarzania danych osobowych.
Wyznaczenie IOD
CNIL analizuje przesłanki określone w art. 37 RODO. Pierwsza przesłanka dotycząca organu lub podmiotu publicznego jest specyficzna dla każdego państwa członkowskiego, dlatego nie będzie szerzej analizowana. Co ciekawe, CNIL wskazuje jednak przykład dobrej praktyki polegającej na wyznaczeniu IOD przez podmioty prywatne, którym powierzono zadania publiczne nawet gdy nie jest to wymagane na gruncie pozostałych przesłanek.
Druga z analizowanych przesłanek dotyczy sytuacji, gdy główna działalność administratora lub podmiotu przetwarzającego polega na prowadzeniu operacji przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Organ analizuje w tym miejscu obydwa pojęcia które budzą wątpliwość, tj. „podstawową działalność” oraz „główną skalę”. Pierwsze z nich wg CNIL zachodzi, jeśli przetwarzanie danych jest niezbędne do osiągnięcia celów organizacji. Przykładem wskazanym przez CNIL jest opieka nad pacjentami jako podstawowa działalność poradni. Działalność ta wiąże się z przetwarzaniem danych dotyczących zdrowia zawartych w dokumentacji pacjenta. Tymczasem działalność pomocnicza takiej przychodni może polegać na obsłudze kadrowej pracowników, zapewnieniu wsparcia IT.
W przypadku dużej skali organ generalnie odwołuje się do interpretacji tego pojęcia przez Grupę Roboczą art. 29 i podkreśla, że każdą sytuację należy ocenić indywidualnie.
Regularny i systematyczny monitoring należy rozumieć jako m.in. śledzenie i profilowanie online w celach prowadzenia reklamy behawioralnej. Organ wskazuje, że cecha regularności jest spełniona w przypadku, gdy monitorowanie jest prowadzone ciągle lub w regularnych odstępach czasu przez pewien czas, zaś systematyczności oznacza metodyczne, zorganizowane przetwarzanie, które odbywa się w ramach ogólnej strategii (np. biznesowej) gromadzenia i przetwarzania danych. CNIL wskazuje przy tym przykłady takie jak m.in.:
- działania marketingowe sprofilowane na podstawie przetwarzania danych osobowych;
- profilowanie i scoring stosowane na potrzeby oceny ryzyka (np. przy udzielaniu kredytu);
- geolokalizacja przez aplikacje mobilne;
- programy lojalnościowe;
- reklama behawioralna;
- monitorowanie danych dotyczących zdrowia i kondycji przez urządzenia przenośne;
- systemy telewizji przemysłowej.
Kto może pełnić funkcję IOD?
RODO wymaga, aby IOD posiadał odpowiednią wiedzę. CNIL zwraca uwagę, że trudno określić obiektywne czynniki, jednak proponuje następujące wskazówki w tym zakresie – osoba taka powinna:
- potrafić przeprowadzić oceny lub ekspertyzy prawne i techniczne w zakresie ochrony danych;
- cechować się znajomością sektora biznesu, przepisów branżowych w których funkcjonuje organizacja;
- rozumieć operacje przetwarzania, systemów informatycznych i potrzeby w zakresie organizacji ochrony i bezpieczeństwa danych.
Jeżeli osoba, do której się zwrócono, nie posiadała całej powyższej wiedzy przed jej wyznaczeniem, konieczne będzie zapewnienie jej możliwości nabycia takiej wiedzy i rozwoju w bardzo krótkim okresie poprzez szkolenie.
Organ zwraca również uwagę na to, że osoba pełniąca funkcję IOD powinna posiadać cechy osobiste takie jak:
- uczciwość,
- wysoki poziom etyki zawodowej,
- komunikatywność.
Co ciekawe wg CNIL wiedza i umiejętności inspektora ochrony danych może różnić się w zależności od wrażliwości złożoności oraz ilości przetwarzanych danych osobowych. W zależności od aktualnej wiedzy osoby, która powinna zostać IOD, należy wdrożyć określone plany szkoleniowe.
Konflikt interesów
CNIL rozpatruje konflikt interesów na dwóch płaszczyznach. Pierwszą z nich jest pełnienie innych funkcji w organizacji.
Organ wskazuje, że IOD przede wszystkim nie powinien mieć decyzyjności w zakresie określenia celów i sposobów przetwarzania danych w organizacji. W ten sposób IOD stawiałby się sytuacji, w której jest sędzią we własnej sprawie. CNIL wskazuje, że konflikt interesów powinien być zbadany indywidualnie dla każdej sytuacji, rekomenduje również udokumentowanie analizy oceniającej istnienie takiego konfliktu.
Przykładowe stanowiska, które mogą w szczególności powodować konflikt interesów to dyrektor generalny, dyrektor operacyjny, naczelny lekarz, kierownik działu marketingu, kierownik kadr, kierownik działu IT.
Inspektorowi ochrony danych można powierzyć inne obowiązki, ale nie mogą one kolidować z jego obowiązkami. W przypadku, w którym zadań tych nie da się pogodzić takich zadań (również w przypadku, w którym inne obowiązki zajmują czas IOD i uniemożliwiają mu tym samym realizacje zadań) dochodzi do konfliktu interesów. CNIL podkreśla jednak, że niektóre zadania są niejako naturalnie przynależne IOD i mogą być mu powierzone. Wymienia przy tym czynności takie jak: prowadzenie Rejestru Czynności Przetwarzania, przeprowadzenie oceny skutków dla ochrony danych, nadzór nad naruszeniami ochrony danych.
Profil inspektora ochrony danych
CNIL wskazuje badanie przeprowadzone przez AFPA[1] zgodnie, z którym ok. 28% IOD pochodzi ze środowiska IT, prawnicy stanowią taki sam odsetek, natomiast, pozostałe 43% IOD pochodzi ze środowisk administracyjnych, finansowych, compliance’owych, audytowych itp.
CNIL wskazuje, że żaden z powyższych profili nie jest wymagany ani preferowany – kluczowe w ocenie czy właściwa osoba została wyznaczona na funkcję IOD są odpowiednie umiejętności i wiedza.
CNIL wskazuje, że IOD może być osoba, która jest jednocześnie podmiotem przetwarzającym. W tym celu konieczne jest jednak jasne rozgraniczenie usług świadczonych przez taką osobę. Organ rekomenduje udokumentowanie oceny, że pełnione funkcje nie będą powodowały konfliktu interesów. Konieczne może być też wprowadzenie odpowiednich środków w celu zagwarantowania niezależności. Może to być m.in. ustalenie różnych punktów kontaktowych, z których jeden jest właściwy do spraw związanych z powierzeniem danych, drugi zaś do spraw związanych z pełnieniem funkcji IOD. Innym sposobem na redukcję powyższego ryzyka może być zawarcie osobnych umów dotyczących kwestii związanych z powierzeniem i pełnieniem funkcji IOD.
CNIL analizuje również, czy jedna osoba może być Inspektorem Ochrony Danych wyznaczonym zarówno przez administratora jak i przez podmiot przetwarzający. Nie jest to bowiem zakazane wprost w RODO. Jednak w takich przypadkach CNIL zaleca ocenę, czy organizacja i podejmowane środki pozwalają na zagwarantowanie niezależności.
Najważniejszym elementem oceny powinno być określenie w jaki sposób można zapewnić niezależność IOD, ponieważ obie struktury mogą mieć rozbieżne interesy, na przykład w kontekście badania umowy pomiędzy administratorem danych a podmiotem przetwarzającym. Taka ocena powinna zostać udokumentowana oraz stanowić część dokumentacji dotyczącej przetwarzania danych osobowych.
CNIL nie widzi natomiast problemu w wyznaczeniu jako IOD tej samej osoby w dwóch organizacjach, w tym nawet w takich, które mogą być wobec siebie konkurencyjne. Organ wskazuje tu na obowiązek inspektora, który musi zachować poufność, przez co nie naraża on konkurencyjnych organizacji.
Inspektorem nie może być również osoba, która jest przedstawicielem administratora lub podmiotu przetwarzającego, który nie ma siedziby na terenie EOG na podstawie art. 27 RODO.
W następnej części dokumentu CNIL odpowiada na konkretne pytania dotyczące osób, które mogą pełnić funkcję IOD. Jak już wskazaliśmy wcześniej CNIL nie uznaje prawników za szczególnie predestynowanych do pełnienia tej funkcji. Zwraca jednak uwagę, że pełniąc funkcję IOD nie powinni oni jako dodatkowo prowadzić spraw organizacji dotyczących przetwarzania danych osobowych, co zdaniem organu może powodować konflikt interesów. CNIL rozstrzyga również kwestię tego czy praktykant lub stażysta może być IOD. Wskazuje przy tym, że praktykant nie zapewnia wiedzy specjalistycznej, którą powinien posiadać IOD, a poza tym jako charakter jego pracy przesądza, że powinien móc on korzystać z rad oraz komentarzy dotyczących jego pracy, co jest sprzeczne z niezależnością IOD. Po trzecie, praktyki z natury są krótkookresowe, zaś funkcja IOD powinna być pełniona w horyzoncie długofalowym.
Zasoby udostępnione inspektorowi ochrony danych
CNIL mając na uwadze doniosłość tej kwestii poświęca jej aż cały rozdział. Zaznacza, iż osoba pełniąca funkcję IOD musi posiadać nie tylko środki niezbędne do wykonywania swoich obowiązków, co oznacza, że musi być zaangażowany we wszystkie działania związane z ochroną danych osobowych, ale również posiadać odpowiednią wiedzę, którą powinna stale poszerzać. Administrator danych powinien mieć to na uwadze i dołączać IOD do wszelkich działań związanych z przetwarzaniem danych osobowych. Jako przykładowe działania mające na celu uwzględnić obecność IOD przy procesach związanych z ochroną danych osobowych CNIL wymienia:
- zapraszanie IOD na spotkania strategiczne, na których podejmuje się decyzje związane z projektami prowadzonymi w organizacji;
- uwzględnianie IOD podczas spotkań z IT, które mają na celu kreowanie kierunku, w jakim organizacja zmierza, czy też wybór narzędzia, które zostanie zaimplementowane w organizacji;
- przekazywanie wszelkich istotnych informacji do IOD, żeby mógł podjąć działania w odpowiednim czasie;
- branie pod uwagę opinii IOD w odniesieniu do przetwarzania danych;
- niezwłoczne konsultowanie wystąpienia naruszeń ochrony danych osobowych, czy też incydentu.
Oczywiście katalog ten jest otwarty i podane tutaj działania mają na celu ukazanie problemu, gdyż wielokrotnie konieczne jest podjęcie innych środków. W naszej ocenie zapewnienie udziału IOD podczas kluczowych spotkań w organizacji pozwala na zapewnienie ADO wiedzy o działaniach związanych z ochroną danych osobowych w organizacji.
CNIL pochyla się również nad obowiązkiem, który wynika bezpośrednio z RODO, zapewnienia przez ADO niezbędnych zasobów do realizacji zadań dla IOD. Zaznacza, że nie można zapomnieć, iż zasoby powinny być dostosowane do wielkości, struktury i działalności organizacji. Należy pamiętać, iż im bardziej złożone lub wrażliwe operacje przetwarzania lub rozbudowana organizacja, to tym więcej powinno zostać przydzielonych zasobów dla IOD. Jako zasoby należy rozumieć nie tylko kwestie dotyczące narzędzi, ale również odpowiedni czas pracy czy też w przypadku uzasadnionej potrzeby stworzenie zespołu do pomocy IOD. Nie można tutaj też zapominać, o zapewnieniu odpowiednich środków finansowych, które to powinny być wykorzystane przez IOD do poszerzania specjalistycznej wiedzy oraz utrzymywania jej na wysokim poziomie, dającym gwarancje świadczenia pracy na wysokim poziomie.
CNIL przychodzi w swoich wytycznych również z pomocą jak powinna być przeprowadzona zasadność przydziału zasobów dla IOD, które to są niezbędne do realizacji przez niego działań. Jak już wcześniej wspomniano, to nie można zapominać, iż pierwszym aspektem, na który trzeba zwrócić uwagę, jest wielkość, struktura oraz specyfika działalności ADO. W konsekwencji należy założyć, iż jeśli w organizacji występują złożone operacje przetwarzania, to istnieje wysokie prawdopodobieństwo wystąpienia naruszenia prywatności osób fizycznych, a co za tym idzie konieczne będzie powierzenie inspektorowi ochrony danych większych zasobów poprzez np. zwiększenie zespołu wspomagającego inspektora.
Nie można zapominać, iż dokonanie analizy przez IOD może być czasochłonne w zależności od specyfiki organizacji. Przykładowo im bardziej rozbudowane proces przetwarzania, tym więcej czasu zajmuje ich dogłębna analiza. Oszacowanie nakładu pracy musi być proporcjonalne do priorytetów przyjętych w organizacji. Dokonanie takiej oceny jest niezbędne do prawidłowego wykonywania zadań IOD, które odbywa się z korzyścią dla organizacji.
Przydział określonego budżetu może stanowić część zasobów materialnych dostępnych do wykorzystania przez IOD. Określenie budżetu powinno uwzględniać możliwości organizacji. Podczas jego konstruowania należy uwzględnić różne składowe, między innymi:
- potrzeby szkoleniowe IOD;
- działania mające na celu podniesienie świadomości organizacji w zakresie ochrony danych osobowych;
- analiza wykorzystywania zleceniobiorców do przetwarzania danych osobowych.
Kolejna kwestia, która została poruszona przez CNIL, to problem w jaki sposób zagwarantować IOD dostęp do danych. CNIL stwierdza, aby IOD mógł pełnić kompleksowo powierzone działania, powinien mieć dostęp do systemów informatycznych organizacji, dokumentacji kontraktowej oraz przetwarzanych przez organizację informacji. Administrator musi zapewnić, iż pracownicy na jego zlecenie związane z konkretnymi podejmowanymi działaniami ułatwią ten dostęp. Ze względu na potencjalne problemy w tym zakresie, IOD i administrator lub jego pełnomocnik powinni stworzyć dokument określający przypadki i warunki, w jakich ten dostęp będzie realizowany. Jako przykład należy tutaj podać między innymi przeprowadzanie audytu, kontroli wyrywkowej, czy też podejmowanie działań mających na celu realizacje wniosku podmiotu danych o realizację jego praw.
Nie można zapominać, iż IOD podlega tajemnicy zawodowej lub obowiązkowi zachowania poufności, a jego dostęp do danych podlega tym samym ogólnym zasadom, które obowiązują wszystkich pracowników. Każdy dostęp do danych powinien być uzasadniony, rozliczalny oraz proporcjonalny. CNIL proponuje by nie tylko zapewnić dostęp do podjętych działań, ale również uwzględnić uprawnienia konkretnego użytkownika takie jak:
- dostęp;
- odczyt/zapis danych;
- dostęp tymczasowy;
- możliwości dostępu z poziomu administratora;
- dostęp do plików na stacji roboczej pracownika;
- dostęp do e-maili;
- dostęp do informacji stanowiących tajemnicę przedsiębiorstwa.
Podsumowanie
Mając na uwadze lekturę wytycznych CNIL, które zostały omówione w niniejszym artykule nasuwa się pytanie, jak szczegółowo tego typu dokumenty powinny opisywać stany faktyczne. Z jednej strony czytając je mamy katalog przykładowych rozwiązań, które to mają na celu zapewnienie zgodności z RODO, a z drugiej strony pojawia się wątpliwość, czy wszelkie zaproponowane rozwiązania mają sens w mojej organizacji. Należy na pewno pochwalić, iż tego typu dokumenty rozwiewają wiele wątpliwości w zakresie działań podejmowanych w organizacji. Są swoistego rodzaju „road map” za pomocą, której możemy poruszać się w gąszczu wymogów wynikających z RODO. Należy pamiętać, z uwagi na fakt, iż są to wytyczne innego organu europejskiego, a nie Prezesa Urzędu Ochrony Danych Osobowych, to nie można ich przyjmować bez jakiejkolwiek analizy. Podane w wytycznych CNIL przykłady działań sprawdzą się na gruncie polskim, a również poszerzą naszą wiedzę w zakresie podejść stosowanych przez inne organy Unii Europejskiej.
[1] Ankieta została przeprowadzona wśród osób zgłoszonych do CNIL-u jako inspektorzy ochrony danych przez AFPA w raporcie pn. „Délégué à la protection des données (DPO) une fonction qui se développe, un métier qui se structure. Źródło: https://travail-emploi.gouv.fr/IMG/pdf/rgpd-metier-dpo-premiers-resultats-072019.pdf, data dostępu: 20.12.2021 r.