Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

Czy IOD może w imieniu administratora zawierać umowy powierzenia?

Czy administrator może upoważnić inspektora ochrony danych do zawierania w jego imieniu wskazanych w art. 28 ust. 3 RODO umów powierzenia z podmiotami zewnętrznymi? Czy obowiązujące przepisy, w tym w szczególności przepisy RODO, wytyczne itp. umożliwiają wdrożenie ww. rozwiązań, czy też jasno wskazują na niemożność ich zastosowania?

Przepisy RODO wymagają przeprowadzenia w tym zakresie oceny pod kątem wypełnienia przez administratora obowiązku określonego w art. 38 ust. 6. Przepis ten wskazuje, że IOD może wykonywać inne (niż te które zostały mu przypisane w RODO) zadania i obowiązki. W dalszej części przepisu występuje jednak zastrzeżenie, iż administrator lub podmiot przetwarzający zobowiązani są zapewnić, by takie zadania i obowiązki nie powodowały konfliktu interesów.

Konflikt interesów następuje m.in. wtedy, gdy nie można pogodzić prawidłowego wykonywania zadań inspektora, przypisanych mu w art. 38 ust. 4 oraz art. 39 RODO, z realizacją innych zadań, gdyż pomiędzy zadaniami występuje sprzeczność, uniemożliwiająca odpowiednią ich realizację. W przypadku inspektora sprzeczność taka może wynikać z występowania przez niego jednocześnie w dwóch rolach lub podejmowanie przez niego działań lub decyzji, które następnie muszą podlegać jego ocenie w zakresie zgodnie z art. 39 ust. 1 lit. a RODO. Może się tak stać zwłaszcza w sytuacji, gdy inspektor jest obciążany obowiązkami, które przepisy nakładają na administratora. Konflikt interesów może być również rezultatem nadmiaru obowiązków przydzielonych do wykonania IOD, jeśli IOD musi wybrać między obowiązkami, jakie będzie realizował, a którym nie podoła z powodu braku czasu koniecznego na ich wykonanie. Powyższe sytuacje często wynikają z problemu błędnego postrzegania inspektora jako osoby, która jako jedyna w organizacji odpowiedzialna jest za wykonywanie obowiązków z zakresu ochrony danych osobowych.

Inspektor ochrony danych to funkcja, która ma szczególny status w świetle RODO. W związku z monitorowaniem przestrzegania przepisów o ochronie danych osobowych, inspektor musi mieć zagwarantowane odpowiednie warunki funkcjonowania, a więc takie, które pozwolą mu na efektywną, niezależną oraz prawidłową realizację swojej roli i obowiązków wynikających wprost z przepisów prawa.

Dlatego w opisanym przypadku konieczne jest zbadanie, na czym konkretnie miałyby polegać czynności, które inspektor miałby podjąć w związku z zawieraniem umów powierzenia przetwarzania. Trzeba ustalić, czy np. inspektor nie został obarczony zadaniem sporządzenia projektu umowy i w związku z tym, czy to do niego nie należało określenie, w jaki sposób ukształtowana będzie relacja między administratorem i podmiotem przetwarzającym oraz prawa i zobowiązania stron tej umowy. Taka sytuacja powodowałaby konflikt interesów, ponieważ IOD następnie w ramach swoich ustawowych obowiązków zobowiązany byłby ocenić prawidłowość i zgodność z przepisami podjętych w tym zakresie decyzji.

Inspektor nie powinien zatem podejmować zadań, które mogą stać się następnie przedmiotem dokonywania przez niego czynności monitorowania ani podejmować decyzji w zakresie celów i środków dotyczących przetwarzania i zabezpieczania danych. Zwraca na to uwagę Grupa Robocza art. 29 w Wytycznych dotyczących inspektorów ochrony danych (https://uodo.gov.pl/pl/10/7, str. 17) wskazując, że inspektor nie może zajmować w organizacji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. Ze względu na indywidualny charakter każdej organizacji ten aspekt powinien być analizowany osobno dla każdego podmiotu.

Wiele informacji na temat kryteriów oceny, czy osoba pełniąca funkcję IOD może pełnić również inne funkcje i obowiązki można znaleźć w zakładce IOD/Wyznaczenie i status IOD na stronie internetowej UODO (https://uodo.gov.pl/p/wyznaczenie-i-status-iod).

2020-12-29 Metadane artykułu
Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację: Monika Młotkiewicz 2020-12-29
Wprowadził‚ informację: Izabela Pawelczyk 2020-12-29 11:12:55
Ostatnio modyfikował: Izabela Pawelczyk 2020-12-29 11:33:58