Niezależność inspektora to warunek skutecznej ochrony danych osobowych

Zadaniem inspektora nie jest wykonywanie poleceń przełożonych. Tymczasem w wielu firmach wciąż funkcjonuje on w strukturze zależnej od działów IT, HR czy bezpieczeństwa, co jest sprzeczne z przepisami. Ostatnie decyzje prezesa UODO i sądów wskazują, że takie błędy mogą kosztować przedsiębiorców setki tysięcy złotych.

Zgodnie z art. 38 RODO inspektor ochrony danych (IOD) musi być niezależny i jego działania nie mogą prowadzić do konfliktu interesów. Tylko wtedy system ochrony danych w organizacji jest skuteczny. W praktyce jednak często dochodzi do sytuacji, które tę niezależność podważają. Inspektorzy raportują do kierowników działów odpowiedzialnych za przetwarzanie danych, nadzorują systemy, którymi zarządzają lub są członkami organów najwyższego kierownictwa administratora (np. zarządu) – a więc organu, którego działania sami powinni monitorować. Tego rodzaju zależności są sprzeczne z wymogami RODO i mogą ograniczać skuteczność funkcji IOD. Co więcej, niosą również poważne ryzyko finansowe dla organizacji.

Przykłady z orzecznictwa

W ostatnim czasie zapadły dwa ważne rozstrzygnięcia dotyczące niezależności IOD – jedno przed Wojewódzkim Sądem Administracyjnym, drugie w postępowaniu przed prezesem Urzędu Ochrony Danych Osobowych (PUODO). W obu przypadkach zostały stwierdzone poważne nieprawidłowości w usytuowaniu IOD, które miały bezpośredni wpływ na skuteczność ochrony danych osobowych.