Inspektor musi wykonywać swoje zadania w niezależny sposób
Inspektor ochrony danych zatrudniony w urzędzie gminy inaczej interpretuje przepisy z zakresu ochrony danych osobowych niż wójt. Czy wójt może nakazać mu przyjęcie określonego stanowiska w tej sprawie?
Nie. W rozporządzeniu 2016/679 przyjęto, że podmiot, który wyznaczył inspektora (np. gmina), powinien zapewnić, aby inspektor nie otrzymywał instrukcji dotyczących wykonywania swoich zadań. Do zadań inspektora należy m.in. monitorowanie przestrzegania przepisów o ochronie danych. W wytycznych Grupy Roboczej ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych (por. https://uodo.gov.pl) zwrócono uwagę, że w związku z wypełnianiem swoich zadań inspektor nie może otrzymywać np. instrukcji dotyczących sposobu rozpoznania danej sprawy, środków jakie trzeba podjąć, czy celu jaki powinien zostać osiągnięty. Nie można także nakazać mu przyjęcia określonego stanowiska w sprawie z zakresu ochrony danych, np. określonej wykładni przepisów. Inspektor powinien mieć możliwość przedstawienia swojej odrębnej opinii. Nie można także ukarać go ani odwołać za wypełnianie swoich zadań. Jak podkreślono we wskazanych wyżej wytycznych, kary mogą przybrać wiele form i mogą być bezpośrednie albo pośrednie. Mogą polegać np. na braku albo opóźnieniu awansu, utrudnieniu rozwoju zawodowego czy ograniczeniu dostępu do korzyści oferowanych pozostałym pracownikom. Są one jednak niedozwolone tylko w razie nałożenia ich w związku z wypełnianiem obowiązków przez inspektora. Nie można np. ukarać lub odwołać inspektora za udzielenie zalecenia, z którym nie zgadza się wójt. Natomiast, zgodnie z właściwymi przepisami, inspektor może zostać ukarany lub odwołany z innych przyczyn.
O zmianie inspektora trzeba zawiadomić prezesa urzędu
Gmina chciałaby przyjąć rozwiązanie polegające na tym, że w razie dłuższej przeszkody w wykonywaniu obowiązków przez inspektora ochrony danych (np. choroba powyżej 30 dni), jego obowiązki przejmowałby zastępca. Czy nowe przepisy regulują ustanowienie zastępcy dla inspektora?
Nie. W art. 8 nowej ustawy o ochronie danych przyjęto, że inspektora wyznacza się w przypadkach i na zasadach określonych w art. 37 rozporządzenia 2016/679. W uzasadnieniu nowej ustawy o ochronie danych zwrócono uwagę, że ustawodawca unijny przewidział możliwość wyznaczenia jednego inspektora dla kilku podmiotów, ale nie przewidział możliwości wyznaczenia kilku inspektorów czy zastępcy inspektora w jednym podmiocie. Zgodnie z art. 37 rozporządzenia 2016/679 do zadań inspektora należy m.in. współpraca z organem nadzorczym (czyli Prezesem Urzędu Ochrony Danych Osobowych) i pełnienie funkcji punktu kontaktowego dla tego organu. W myśl art. 10 ust. 1 nowej ustawy o ochronie danych podmiot, który wyznaczył inspektora, zawiadamia o tym Prezesa Urzędu. Prezesa Urzędu trzeba zawiadomić także o zmianie danych inspektora oraz o odwołaniu inspektora, w terminie 14 dni od zaistnienia zmiany lub odwołania (art. 10 ust. 4 nowej ustawy o ochronie danych). W uzasadnieniu tej ustawy przyjęto zatem, że w sytuacji, gdy podmiot, który wyznaczył inspektora, poweźmie wiadomość o jego długiej nieobecności, powinien wyznaczyć nową osobę do pełnienia tej funkcji oraz zawiadomić o tym Prezesa Urzędu. Stwierdzono także, że w razie krótszej, okresowej nieobecności podmiot, który wyznaczył inspektora, powinien upoważnić innego pracownika do podejmowania działań inspektora.
Definicje
W rozporządzeniu 2016/679 (RODO) przyjęto, że: ? dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, ? możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających tożsamość fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną, przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie bądź niszczenie.