Inspektor ochrony danych pełni funkcję punktu kontaktowego dla osób, których dane osobowe przetwarza administrator. Czy to oznacza, że powinien on realizować prawa podmiotów danych w tym prawo dostępu do danych, którego jednym z aspektów jest informowanie przetwarzania danych? Innymi słowy, czy IOD podpisuje klauzulę informacyjną na podstawie art. 15 RODO? Przedstawiamy wyjaśnienia Urzędu Ochrony Danych Osobowych
Jak wynika z art. 12 i 15 RODO, każda osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarza on jej dane osobowe. Jeżeli to przetwarzanie ma miejsce, wówczas osoba ta ma prawo uzyskania dostępu do danych osobowych, ale też określonych w powołanym przepisie informacji, w szczególności o:
celu przetwarzania,
kategoriach przetwarzanych danych,
odbiorcach tych danych
okresie przechowywania danych.
Jest to obowiązek informacyjny RODO powiązany z prawem dostępu do danych. Za jego wykonanie odpowiada administrator danych osobowych.
Z drugiej strony do zadań inspektora ochrony danych zalicza się kontakt z podmiotami danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw im przysługujących (w tym także z prawem dostępu). IOD pełni więc rolę punktu kontaktowego dla osób, których dotyczą dane przetwarzane przez administratora. Czy zatem inspektor ochrony danych podpisuje informację o przetwarzaniu danych osobowych sporządzoną na podstawie art. 15 RODO?
Jak wskazał Prezes UODO, niewątpliwie realizacja prawa dostępu, w tym zakresie klauzuli informacyjnej RODO, jest obowiązkiem administratora danych osobowych. Z kolei IOD jako punkt kontaktowy ma sprzyjać sprawniejszemu wykonywaniu obowiązków przez administratora. Inspektor ma budować świadomość administratora w zakresie praw podmiotów danych i monitorować skuteczność przyjętych w tych zakresie procedur ewentualnie proponowanie zmian.
Choć podmioty danych mogą kontaktować się z IOD w kwestii dotyczących ich praw, to nie oznacza to, że w realizacji tych uprawnień inspektor powinien zastępować administratora. Prowadziłoby to bowiem do konfliktu interesów. IOD nie mógłby bowiem wykonywać zadań w zakresie monitorowania i doradzania administratorowi w kwestii wykonywania prawa dostępu do danych.
Jako punkt kontaktowy inspektor ochrony danych ma być wsparciem dla podmiotów danych, w sytuacjach, w których takie osoby zgłosiłyby zastrzeżenia, trudności czy wątpliwości co do wykonywania praw wynikających z RODO. Nie powinien natomiast wyręczać administratora w wykonywaniu tych praw.
Oznacza to, że to nie IOD podpisuje klauzulę informacyjną RODO sporządzaną na podstawie art. 15 RODO, ale też art. 13-14 RODO.
Prezes UODO wskazał też, że inspektor ochrony danych nie powinien być pełnomocnikiem administratora danych osobowych. Pełnomocnik ma za zadanie chronić interesy mocodawcy, a więc musi działać według jego wytycznych. Przyjęcie roli pełnomocnika przez IOD w sposób oczywisty godziłoby w jego niezależność gwarantowaną w RODO. De facto IOD musiałby w takiej sytuacji pomijać swoje spostrzeżenia i uwagi sformułowane w toku monitorowania działalności administratora. Jako pełnomocnik administratora inspektor ochrony danych wykonywałby w jego imieniu takie czynności jak choćby realizacja prawa dostępu. W takim przypadku nie mógłby on weryfikować prawidłowości tych działań. Innymi słowy, IOD nie mógłby monitorować sam siebie.
Biuletyn UODO (styczeń 2024)
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
