Firmy zapominają, że muszą wskazywać inspektorów ochrony danych z imienia i nazwiska oraz umożliwiać kontakt z nimi. UODO analizuje wyniki pierwszej akcji kontrolnej
Nie wiadomo, ilu inspektorów ochrony danych (IOD) powołano w Polsce - choć trzeba ich zgłaszać do Urzędu Ochrony Danych Osobowych, to ten nie prowadzi związanych z tym statystyk. Wiadomo natomiast, że muszą ich być dziesiątki tysięcy. Kilkadziesiąt tysięcy podmiotów publicznych ma obowiązek ich powołania. Firm prywatnych, które muszą to zrobić, jest mniej, ale wiele zatrudnia takich specjalistów z własnej woli, aby zwiększyć bezpieczeństwo. Jeśli IOD zostanie powołany, to administrator musi wskazać kontakt do niego. Polskie przepisy dodatkowo wymagają podania imienia i nazwiska.
Wiosną UODO wysłał do 20 administratorów zestaw pytań, w których poruszono również kwestię wypełniania tych obowiązków. Wyniki akcji nie są jeszcze znane - trwają analizy odpowiedzi. Zaniepokojenie może jednak budzić już sama reakcja niektórych zapytanych.
- Niestety, część z administratorów podeszła w sposób bardzo lekceważący do zadanych pytań, udzielając bardzo lakonicznych odpowiedzi i nie popierając ich żadnym dokumentem pomimo wyraźnego wezwania do przedstawienia dowodów potwierdzających składane wyjaśnienia. W tych przypadkach ponownie zostali oni wezwani w tym zakresie do złożenia wyjaśnień wraz z dowodami, ale są też przypadki, w których UODO podjęło decyzję o przeprowadzeniu kontroli u takiego administratora, oczywiście w zakresie objętym treścią pytań - mówi Ewelina Janczylik-Foryś, zastępca rzecznika prasowego UODO.
Nie wystarczy sam e-mail
Z sygnałów naszych czytelników wynika, że nie wszystkie firmy ułatwiają kontakt z IOD. Na stronach internetowych części z nich nie sposób odnaleźć adresu e-mail, numeru telefonu, imienia i nazwiska. Część po prostu nie publikuje tych danych, część zaś, celowo lub nie, ukrywa je w takich miejscach, że trudno je wyszukać. Przepisy wprost nie wskazują, gdzie powinny znaleźć się te informacje, ale eksperci nie mają wątpliwości, że tylko przy ich łatwej dostępności można mówić o spełnieniu obowiązku wynikającego z RODO i polskiej ustawy o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781 ze zm.).
- Należałoby przyjąć zasadę, że dostęp do tej informacji powinien być możliwy za pomocą maksymalnie dwóch kliknięć, np. poprzez link „Kontakt” czy wyraźnie oznaczony link „Ochrona danych osobowych”. Niezależnie od wymagań prawnych dzięki łatwo dostępnej informacji o danych kontaktowych do IOD konsumenci i klienci mogą zyskać pozytywne poczucie bezpieczeństwa, gdy mogą nie tylko zaufać, że firma ma inspektora ochrony danych, ale także wiedzieć, kim jest ten inspektor i jak mogą się z nim skontaktować w razie wątpliwości - uważa Tomasz Borys, specjalista ds. ochrony danych osobowych.
UODO nie wskazuje wprost liczby kliknięć, która powinna doprowadzić do danych kontaktowych IOD, ale również uznaje, że muszą być one łatwo dostępne. We wskazówkach opublikowanych na swej stronie internetowej przestrzega przed umieszczaniem ich w miejscu wymagającym długiego przeszukiwania, np. w „Aktualnościach” czy „Polityce prywatności”. Z sygnałów, które do niego docierają, wynika, że dla wielu osób nie jest jasne, gdzie mogą znaleźć dane kontaktowe.
Dodatkowym problemem jest to, że polskie przepisy formułują dodatkowe, nieprzewidziane w RODO obowiązki (patrz: ramka). Dotyczy to zwłaszcza międzynarodowych korporacji.
- W międzynarodowych grupach kapitałowych IOD nie musi być Polakiem i może działać z innego kraju. Jeśli jednak administratorem danych lub podmiotem przetwarzającym jest polska spółka należąca do tej grupy, to musi ona również przestrzegać polskich przepisów. A te, uzupełniając wymagania z RODO podania danych kontaktowych (np. adresu e-mail), obligują również do upublicznienia na stronie internetowej imienia i nazwiska IOD. Niestety, wiele międzynarodowych korporacji to ignoruje lub po prostu nie zdaje sobie sprawy z dodatkowego wymogu wynikającego z polskiej regulacji. Tyle tylko, że to ich nie tłumaczy i muszą liczyć się z konsekwencjami - zwraca uwagę prof. Grzegorz Sibiga z kancelarii Traple, Konarski, Podrecki i Wspólnicy.
- Takie zaniechanie podania danych IOD może stanowić przyczynę nałożenia przez prezesa UODO administracyjnej kary pieniężnej na polskiego administratora lub podmiot przetwarzający, ponieważ polski prawodawca wskazanie imienia i nazwiska traktuje jako element kontaktu z IOD - zaznacza prof. Grzegorz Sibiga.
Dostęp dla pracowników
Równie ważna jest dostępność IOD wewnątrz struktury samej firmy. Z tym też są problemy, bo wiele firm zatrudnia zewnętrznych inspektorów, którzy potrafią obsługiwać nawet po kilkadziesiąt różnych podmiotów. Ich rola sprowadza się czasem do przygotowania dokumentów określających zasady przetwarzania danych, a pracownicy nawet nie wiedzą, że ich firma powołała IOD.
Utrudniony kontakt z IOD bywa również w międzynarodowych korporacjach, gdzie jedna osoba w teorii obsługuje wiele spółek lub oddziałów. W praktyce często w danym kraju zadania te powierzane są innej osobie, która nie ma statusu IOD. Okazuje się, że może to być problematyczne.
- W przypadku jednego IOD w grupie nie jest zabronione, aby w spółkach krajowych do wsparcia IOD były oddelegowane dodatkowe osoby, jednak nie mogą one zastępować IOD. Konieczne jest jego bezpośrednie, formalne i stałe zaangażowanie, co potwierdza m.in. jedna z decyzji luksemburskiego organu ochrony danych - wyjaśnia prof. Grzegorz Sibiga.
W wydanej w 2021 r. decyzji luksemburski organ (CNPD) uznał, że w przypadku działającej w tym kraju córki zależnej kontakt z umiejscowionym za granicą IOD nie był wystarczający. Lokalnie sprawami z zakresu ochrony danych zajmowała się bowiem inna osoba, która jedynie raportowała zagranicznemu IOD. Kara wyniosła 18 tys. euro (decyzja 18FR/2021).
- W polskich spółkach problem ten można rozwiązać, powołując na stałe zastępcę IOD, bowiem taką możliwość przewidują polskie przepisy. W międzynarodowych grupach nie powołuje się takiego zastępcy dla Polski, m.in. dlatego, że nie przewidują tego przepisy samego RODO - tłumaczy prof. Grzegorz Sibiga.
Ważne Zaniechanie podania danych IOD może stanowić przyczynę nałożenia przez prezesa UODO administracyjnej kary pieniężnej na polskiego administratora lub podmiot przetwarzający, ponieważ polski prawodawca wskazanie imienia i nazwiska traktuje jako element kontaktu z IOD
