Jak zapewnić możliwość kontaktu z inspektorem ochrony danych zgodnie z RODO

Zgodnie z RODO już podczas zbierania danych osobowych należy podać dane kontaktowe do inspektora ochrony danych, jeśli został wyznaczony. Zasada ta wyrażona jest w art. 13 RODO: „Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje, gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych”. Podobnie tę zasadę realizuje również art. 14 RODO. Artykuł 33 RODO wskazuje, że w przypadku naruszenia ochrony danych osobowych, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza się je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W zgłoszeniu z kolei musi znaleźć się imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji. Podobnie też jest w przypadku uprzednich konsultacji z organem nadzorczym – art. 36 ust. 3 RODO, jak również w przypadku realizowania obowiązku z art. 37 RODO, tj. publikowania danych kontaktowych IOD i zawiadamiania o nich organu nadzorczego.

Jak podkreśla Grupa Robocza Art. 29 w wytycznych WP 243, istotą publikowania danych kontaktowych IOD jest łatwy i co najważniejsze – bezpośredni kontakt z inspektorem ochrony danych. Możliwość takiego kontaktu powinny mieć zarówno osoby świadczące pracę w ramach struktury organizacyjnej administratora lub podmiotu przetwarzającego, jak i – jeśli nie przede wszystkim – osoby, których dane dotyczą, np. konsumenci. Chodzi o to, aby potencjalna osoba, której dane dotyczą, nie musiała „poszukiwać” kontaktu do IOD. Dlatego trzeba zadbać o to, aby dane kontaktowe inspektora były łatwo, intuicyjnie dostępne, tak aby można było się z nim porozumieć.

W wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych podkreśla się, że łatwo dostępne dane do IOD to np. adres korespondencyjny, telefon kontaktowy lub dedykowany adres e-mail. Innym przykładem realizowania tego obowiązku jest również dedykowana infolinia lub formularz kontaktowy na stronie internetowej ADO. RODO nie wymaga publikowania imienia i nazwiska IOD, ale może to być pomocne w nawiązaniu z nim kontaktu, dlatego Grupa Robocza Art. 29 zaleca przekazanie również i tych informacji. Dane te mogą zostać udostępnione wewnętrznie np. poprzez intranet, w wewnętrznej książce telefonicznej albo w ramach rozpisanej struktury organizacyjnej. Przekazanie organowi nadzorczemu imienia i nazwiska IOD jest niezbędne, aby inspektor mógł sprawować funkcję punktu kontaktowego (art.  39 ust. 1 pkt e RODO).

Mając na uwadze bezpośrednią wykładnię przepisów RODO regulujących zagadnienie IOD jako punktu kontaktowego, nie można jednoznacznie stwierdzić, że procedura kontaktu z inspektorem ochrony danych jest wymagana. Przepisy nie wprowadzają wszak takiego obowiązku wprost. Trzeba jednak pamiętać o elastycznym charakterze RODO, o tym, że im bardziej skrupulatnie podejdzie się do ochrony danych osobowych i zasady rozliczalności, tym łatwiej będzie uwiarygodnić zaangażowanie w proces ochrony danych osobowych. W związku z tym wydaje się, że ewentualna procedura kontaktu z IOD może z tego punktu widzenia być słusznym rozwiązaniem. Opracowując jej ewentualne zasady, nie można jednak zapomnieć o tym, że kontakt z IOD ma być przede wszystkim łatwy i bezpośredni.

Opracowanie wzoru formularza kontaktowego z inspektorem ochrony danych, czy to w formie tradycyjnej – pisemnej, czy to w formie aktywnego formularza online, nie będzie wpływało negatywnie na realizowanie zasady kontaktu z IOD, jeśli bez utrudnień trafią one do inspektora.