LexDigital

Czy compliance officer może być inspektorem ochrony danych?

25 maja 2020 roku miną 2 lata odkąd obowiązują wymogi ogólnego rozporządzenia o ochronie danych osobowych (RODO). Funkcja Inspektora Ochrony Danych (IOD) oraz jego zadania zostały dość jasno określone w rozporządzeniu i wydaje się, że po 24 miesiącach funkcjonowania RODO wszystko powinno być jasne. Skąd zatem tyle wątpliwości dotyczących łączenia stanowiska IOD z innymi obowiązkami? I czy możliwe jest łączenie funkcji IOD ze stanowiskiem compliance officera?

Czy compliance officer może być inspektorem ochrony danych?

Zadania Inspektora Ochrony Danych wynikające z RODO

Zadania Inspektora Ochrony Danych zostały opisane w art. 39 ust. 1 oraz art. 38 ust. 4 ogólnego rozporządzenia o ochronie danych osobowych.  Zgodnie z zapisami rozporządzenia należy do nich:

1.     informowanie administratora, a w tym jego pracowników o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów z zakresu ochrony danych osobowych (art. 39 ust. 1 lit. a),

2.     monitorowanie przestrzegania RODO oraz innych przepisów z zakresu ochrony danych osobowych, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty (art. 39 ust. 1 lit. b),

3.     udzielanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania (art. 39 ust. 1 lit. c),

4.     współpraca z organem nadzorczym (art. 39 ust. 1 lit. d),

5.     pełnienie funkcji punktu kontaktowego dla organu nadzorczego (art. 39 ust. 1 lit. e),

6.     pełnienie roli punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia (art. 38 ust. 4).

compliance, compliance officer, inspektor ochrony danych

Z zapisów RODO wynika, że IOD ma pełnić funkcję doradczą, która bezpośrednio powinna się przekładać na podejmowanie przez administratora trafnych i świadomych decyzji.  Należy pamiętać, że aktywność Inspektora Ochrony Danych, zwłaszcza w zakresie monitorowania przestrzegania RODO i zwiększania świadomości personelu musi mieć ciągły charakter

IOD odgrywa także istotną rolę przy przeprowadzaniu oceny skutków dla ochrony danych. Administrator powinien konsultować z IOD  m.in. czy należy przeprowadzać ocenę skutków dla ochrony danych, jaką wybrać metodologię, jakie powinny być zabezpieczenia (w tym środki techniczne i organizacyjne) stosowane do łagodzenia wszelkich zagrożeń praw i interesów osób, których dane dotyczą itp. 

Ponadto w ramach swojej działalności Inspektor Ochrony Danych powinien współpracować z Prezesem Urzędu Ochrony Danych Osobowych w kwestiach związanych z przetwarzaniem danych osobowych. Należy pamiętać, że IOD jest również pośrednikiem pomiędzy administratorem a organem nadzorczym. W tym aspekcie jego rola polega na udzieleniu wsparcia administratorowi danych osobowych w zakresie realizacji wymogów RODO i jednocześnie na wykazaniu słuszności wybranych środków i rozwiązań w ramach prowadzonych przez organ kontroli lub postępowań wyjaśniających. 

Ostatnim, ale równie ważnym zadaniem IOD jest pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą. Należy pamiętać, że osoby te (zarówno z wewnątrz, jak i spoza organizacji), mają mieć łatwy, bezpośredni i poufny kontakt z IOD, bez konieczności kontaktowania się z innymi jednostkami podmiotu. Jak wskazuje Grupa Robocza art. 29 w wytycznych dotyczących Inspektorów Ochrony Danych (dostępne tutaj), w określonych przypadkach rozwiązania te powinny przewidywać wsparcie IOD pracą zespołu powołanego w celu realizacji tego zadania.

Mając na uwadze wszystkie zadania stawiane przed IOD niezwykle ważne jest, żeby osoba taka posiadała odpowiednie kompetencje, wiedzę fachową i przygotowanie merytoryczne, które pozwolą jej na prawidłową realizację wszystkich działań. 

Sprawdź nasz artykuł: Piguła wiedzy o compliance po polsku

Konflikt interesów, czyli łączenie funkcji IOD z innymi obowiązkami – opinie i wytyczne prezesa Urzędu Ochrony Danych Osobowych oraz Grupy Roboczej Art. 29

Zgodnie z art. 38 ust. 6 RODO Inspektor Ochrony Danych może wykonywać inne zadania i obowiązki przy czym administrator lub podmiot przetwarzający powinni zapewnić, by takie zadania i obowiązki nie powodowały konfliktu interesów. Warunek ten jest ściśle związany z wymogiem wykonywania przez IOD swoich zadań w sposób niezależny. 

Grupa Robocza Art. 29 w wytycznych dotyczących inspektorów ochrony danych wpisała wprost, że  IOD nie może zajmować w organizacji stanowiska, na którym określa się sposoby i cele przetwarzania danych. Co więcej wskazano przykłady takich stanowisk: 

  • stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), 
  • niższe stanowiska, jeśli sprawujące je osoby biorą udział w określaniu celów i sposobów przetwarzania danych. Ze względu na indywidualny charakter każdej organizacji ten aspekt powinien być́ analizowany osobno dla każdego podmiotu. 

Grupa Robocza art. 29 jako dobrą praktykę dla organizacji proponuje zidentyfikowanie stanowisk niekompatybilnych z funkcją inspektora ochrony danych oraz opracowanie wewnętrznych zasad uniemożliwiających łączenie stanowisk będących w konflikcie interesów.

07.01.2019 na stronie internetowej Urzędu Ochrony Danych Osobowych opublikowano stanowisko Prezesa UODO w sprawie pełnienia przez IOD funkcji kierownika komórki w organizacji (wytyczne UODO dostępne tutaj).

W opinii zamieszczonej na stronie Urzędu wskazano, że administrator, rozważając wyznaczenie na IOD kierownika komórki w organizacji, powinien uwzględnić, co najmniej trzy kryteria:

  • organizacyjne (IOD powinien podlegać bezpośrednio najwyższemu kierownictwu jednostki organizacyjnej),
  • merytoryczne (inne obowiązki nie powinny negatywnie wpływać na niezależne wykonywanie zadań IOD),
  • czasowe (IOD powinien dysponować czasem wystarczającym do wykonywania swoich zadań, przy uwzględnieniu m.in. liczby obowiązków czy stopnia ich skomplikowania).

Uwzględnienie kryterium czasowego powinno obejmować analizę, czy IOD pełniący jednocześnie inną funkcję, będzie w stanie wykonywać swoje obowiązki we właściwy sposób, biorąc pod uwagę w szczególności stopień skomplikowania i liczbę innych zadań. IOD powinien dysponować czasem pozwalającym mu na prawidłowe realizowanie wszystkich zadań.

 

Rola compliance officer w przedsiębiorstwie

 

W ostatnich latach coraz więcej firm wdraża systemy zarządzania compliance (Compliance Management Systems, czyli CMS) i zatrudnia osoby odpowiedzialne za zarządzanie zgodnością tj. compliance officerów

Praca specjalisty na stanowisku compliance officer polega na sprawowaniu nadzoru nad zgodnością działalności organizacji z prawem. W zakres obowiązków compliance officer wchodzi uporządkowanie, monitoring, kontrola i przewidywanie ryzyka w firmie. Dodatkowo osoba ta powinna zadbać o unikanie konfliktu interesów, przeciwdziałanie praniu pieniędzy, weryfikację przestrzegania prawa w zakresie zawieranych umów.  

Zarządzanie zgodnością ma charakter interdyscyplinarny i wieloaspektowy, dlatego też wykonywanie funkcji compliance officera powinno zostać powierzone osobom spełniającym określone wymogi m.in. posiadającym wiedzę i praktykę prawniczą, z zakresu ekonomii, a także kompetencje z obszaru audytu wewnętrznego. Dodatkowo praca na tym stanowisku wymaga kompetencji miękkich (m. in. umiejętności współpracy z ludźmi), które przydatne będą podczas wprowadzania polityki compliance, nadzorowania przepływu informacji, planowania szkoleń, przeprowadzania wewnętrznych kontroli oraz w trakcie współpracy z organami nadzoru.

 

Łączenie funkcji IOD z compliance oficerem – zdecydowanie nie

Mając na uwadze wysokie wymogi stawiane wobec osoby pełniącej funkcję IOD, wydaje się, że pogodzenie tej roli z compliance officerem będzie nie tylko bardzo trudne, ale może rodzić konflikt interesu. Duża liczba obowiązków nałożonych na Inspektorów Ochrony Danych przepisami RODO w połączeniu z koniecznością aktywnego uczestnictwa IOD w planowaniu działań biznesowych, wymuszałoby konieczność ciągłego wyboru między konfliktującymi obowiązkami. W dłuższej perspektywie mogłoby prowadzić do obniżenia skuteczności działań albo w zakresie ochrony danych osobowych, albo w zakresie compliance. Problem ten szczególnie widoczny jest w dużych organizacjach. Ponadto, w przypadku połączenia obu funkcji może dochodzić do sytuacji, w której IOD monitoruje własną pracę.  

 

Jak sprawa wygląda w innych państwach UE? - decyzja belgijskiego UODO w aspekcie połączenia funkcji IDO i compliance officera

Nie tylko polski organ nadzorczy dostrzega zagrożenia związane z łączeniem funkcji IOD z innymi stanowiskami. Belgijski Urząd Ochrony Danych Osobowych (The Belgian Data Protection Authority -DPA) 28 kwietnia bieżącego roku nałożył grzywnę w wysokości 50,000 EUR na firmę Proximus S.A. m.in. za połączenie funkcji IOD z szefem działu compliance. 

 

Według organu nadzorczego Inspektor Ochrony Danych był niewystarczająco zaangażowany w proces przetwarzania danych osobowych i zarządzania naruszeniami.  Ponadto organizacja nie prowadziła polityki zapobiegającej konfliktom interesów (naruszenie art. 38 ust. 6 RODO), co spowodowało, że wyznaczony Inspektor Ochrony Danych zajmował jednocześnie wiele innych stanowisk, w tym pracował jako dyrektor departamentów audytu wewnętrznego, zarządzania ryzykiem i zgodności (compliance).  W decyzji stwierdzono, że funkcja IOD nie mogła być wykonywana w sposób niezależny, co spowodowało poważny konflikt interesów. 

Ponadto belgijski organ ochrony danych wskazał, że ze względu na jego podwójną rolę, Inspektor Ochrony Danych nie był w stanie zagwarantować pracownikom pełnej poufności. Co więcej, jeżeli IOD, jako szef działu audytu wewnętrznego, posiadał uprawnienia decyzyjne w odniesieniu do zwalniania pracowników, to nie jest to zgodne z rolą IOD jako poufnego doradcy w sprawach związanych z ochroną danych. Jednocześnie organ nadzorczy stwierdził, że jako szef działu compliance osoba wyznaczona jako IOD spółki określała cele i sposoby przetwarzania danych osobowych w kontekście tego działu, a zatem była odpowiedzialna za czynności związane z przetwarzaniem.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk