Realizacja zadań IOD wymaga dostępu do dokumentacji RODO i nie tylko

Do ustawowych zadań inspektora ochrony danych należy:

• informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
• monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
• udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych (DPIA) oraz monitorowanie jej wykonania;
• współpraca z Prezesem Urzędu Ochrony Danych Osobowych;
• pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach (art. 39 ogólnego rozporządzenia o ochronie danych).

Zgodnie z przepisami RODO na inspektora ochrony danych mogą także zostać nałożone dodatkowe zadania, o ile nie wygenerują one konfliktu interesów.

Aby IOD mógł być w stanie wykonywać swoje zadania, administrator (podmiot przetwarzający) musi:

• zapewnić, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (art. 38 ust. 1 RODO);
• wspierać IOD w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.

Praktycznie każde zadanie inspektora ochrony danych wymaga dostępu do dokumentacji administratora. Będzie to nie tylko dokumentacja ochrony danych (m.in. polityki bezpieczeństwa, instrukcje, umowy powierzenia przetwarzania danych), ale każdy inny dokument, w którym administrator (procesor) przetwarza dane osobowe. Innymi słowy, IOD musi mieć dostęp do dokumentacji wiążącej się z czynnościami przetwarzania danych. Osoby, których dane dotyczą, nie mogą takiemu dostępowi się sprzeciwić.

W ramach swoich zadań IOD może dokonywać m.in. doraźnych sprawdzeń mających na celu zapoznanie się z tym jak dany pracownik (współpracownik) przetwarza dane osobowe, czy nie ma ryzyka wycieku, czy przestrzega regulacji wewnętrznych itp. Inspektor może w związku z tym żądać dostępu do dokumentów elektronicznych znajdujących się na służbowej poczcie e-mail pracowników. Przy czym przegląd taki może mieć na celu jedynie analizę czy dochodzi do wycieku danych osobowych poza organizację.

Warto poświęcić odrębną uwagę kwestii dostępu do dokumentacji pracowniczej. Otóż inspektor ochrony musi mieć zagwarantowany wgląd także w taką dokumentacją, w tym akta osobowe pracowników. Wprawdzie mogłoby wydawać się, że jest to kompetencja zarezerwowana dla inspekcji pracy. Niemniej jednak jeśli dostęp do dokumentacji pracowniczej wiąże się z realizacją zadań IOD, wówczas jak najbardziej należy go inspektorowi zapewnić.