Opublikowany w ostatnich dniach poradnik Urzędu Ochrony Danych Osobowych dotyczący obowiązków administratora związanych ze zgłaszaniem naruszeń ochrony danych osobowych wywołał m.in. ponowną dyskusję na temat statusu Inspektora Ochrony Danych. Treść poradnika, jak i związaną z tym wymianę zdań trudno uznać za zadowalającą. Nie chodzi przy tym o to, kto ma rację, ale o to, że trudno w tej dyskusji znaleźć argumentację opartą o to, co dla prawnika kluczowe, czyli o konstrukcje prawne i ustalenie znaczenia pojęć prawnych.
Przeanalizuję kluczowe dla poradnika stwierdzenie, zgodnie z którym „Inspektorzy ochrony danych (IOD) to profesjonalni doradcy wspierający administratorów i podmioty przetwarzające w zapewnieniu zgodności z przepisami RODO”, wskazując na liczne błędy zawarte w tym stwierdzeniu.
Po pierwsze, jeśli już, to IOD doradza także pracownikom administratorów lub procesorów, co wynika wprost z treści art. 39 lit. a) RODO. To ważne, albowiem oznacza, że IOD wchodzi w bezpośrednie relacje prawne z pracownikami, a nie tylko administratorami, a raczej organami jednostek organizacyjnych administratorów.
Po drugie, „informowanie i doradzanie” jest obowiązkiem prawnym IOD-a. Obowiązek ten wynika ze źródła prawa obowiązującego powszechnie (RODO) i leży w interesie publicznym. Tym samym informowanie i doradzanie przez IOD jest wykonywaniem zadania publicznego, czyli zadania państwa. Wniosek ten ma wielkie znaczenie praktyczne, do czego jeszcze wrócimy.
Po trzecie, RODO przyznaje IOD-owi kompetencje władcze w postaci uprawnienia do monitorowania, czyli kontrolowania. Nie wchodząc w szczegóły, uprawnienie do przeprowadzania kontroli przyznane aktem powszechnie obowiązującym jest postacią władztwa administracyjnego, czyli innymi słowy publicznego. Z tego powodu prawnym obowiązkiem administratora jest zapewnienie IOD-owi „dostępu do danych osobowych i operacji przetwarzania” pod rygorem odpowiedzialności z art. 83 ust. 1 RODO. Podsumowując, organy administratora podlegają władztwu administracyjnemu IOD-a. A jeszcze inaczej: IOD jest organem nadrzędnym w stosunku do organów administratora w zakresie, w jakim prowadzi kontrolę. Nie ma to nic wspólnego z doradztwem.
Po czwarte, wbrew treści poradnika zadaniem IOD-a nie jest „podnoszenie świadomości personelu na temat ochrony danych osobowych”. Z treści art. 39 lit b) RODO, zwłaszcza z wersji angielskiej wynika bowiem jasno, że IOD kontroluje (audytuje), czy administrator podejmuje „działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania”. Inną rzeczą jest to, że skoro prawnym obowiązkiem IOD-a jest „doradzanie”, to przeprowadzenie szkolenia nie stoi z tym zadaniem w sprzeczności, choć sprawa nie jest jednoznaczna.
Po piąte, uznanie IOD-a za doradcę znajduje się w całkowitej sprzeczności z jego prawnym obowiązkiem współpracy z organem nadzorczym i bycie jego punktem kontaktowym, do czego jeszcze wrócę.
Nie wchodząc w dalsze rozważania, IOD nie jest doradcą, ale tzw. organem administrującym wykonującym zadania określone w prawie i mające na celu interes publiczny (tak zresztą jak całe RODO). W zakresie uprawnienia, a zarazem obowiązku prowadzenia monitoringu (audytu), IOD jest organem kontrolnym. Takie instytucje są dobrze znane prawu polskiemu: służba BHP czy też społeczna inspekcja pracy. Natomiast w zakresie w jakim IOD nie prowadzi kontroli, jest „organem doradczym”. Organ doradczy to podmiot zupełnie inny niż doradca, nawet profesjonalny.
Zatrzymam się więc na roli „organu doradczego”. UODO ma bowiem rację twierdząc, że IOD nie zajmuje się stosowaniem RODO, choć administrator danych osobowych ma obowiązek włączyć IOD-a w procesy decyzyjne i organizacyjne dotyczące przetwarzania danych osobowych. Ów obowiązek nie służy jednak temu, aby IOD podejmował decyzje lub wykonywał czynności techniczno-organizacyjne, ale temu, aby te procesy monitorował, doradzał i opiniował. Zadaniem IOD-a nie jest więc zgłaszanie incydentów w imieniu administratora, ale prowadzenie monitoringu m.in. po to, aby incydenty wykrywać.
Nadto, prawny obowiązek „doradzania”, o którym mowa w art. 39 lit a) RODO to także obowiązek oceny wszelkich działań podejmowanych przez administratora. Dodam od razu, że taka regulacja jest znana w prawie polskim od kilkudziesięciu lat i dotyczy służby BHP. Służba ta z mocy prawa musi być angażowana do każdego procesu, który dotyczy bezpieczeństwa dla życia i zdrowia, jednak jedynie z głosem opiniodawczym.
Przejdę do korzyści, jaką uzyskuje administrator z faktu posiadania IOD-a. Rzecz w tym, że opinia organu jakim jest IOD, ma zupełnie inny walor niż opinia „doradcy”. Opinia organu korzysta bowiem z domniemania jej poprawności, której to cechy nie ma opinia doradcy. Dlatego należy przyjąć, że administrator, który naruszy RODO na skutek błędnej opinii IOD-a, nie ponosi odpowiedzialności z art. 83 RODO z powodu braku winy. Z kolei zapewniona przez prawo niezależność IOD-a służy temu, aby nie ponosił on konsekwencji wydania opinii dla administratora lub procesora. Z drugiej strony IOD będzie odpowiadał karnie za wydawanie korzystnych opinii w zamian za korzyści majątkowe. Dodam zarazem, że opinia IOD-a nie jest oczywiście wiążąca dla administratora. Jeśli ten ostatni uzna, że IOD nie ma racji, to może podejmować działania według własnego uznania, tyle że na własne ryzyko.
To jednak nie wszystko. Administrator nie poniesie odpowiedzialności z art. 83 lub poniesie ją w mniejszym wymiarze, jeśli IOD nie „poinformował administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych”.
Powyższe rozumowanie nie jest oparte jedynie na analizie prawa i nauki prawoznawstwa, ale także na argumencie z zakresu racjonalności prawa. Państwo nie może oczekiwać, aby przedsiębiorca znał się na wszystkich dziedzinach prawa. Skoro więc państwo nakłada na przedsiębiorstwa coraz to nowe zadania publiczne (m.in. RODO), to powinno też zapewnić rozwiązania, które chronią przedsiębiorcę przynajmniej przed sankcjami karnymi i administracyjnymi. I taką instytucją jest właśnie IOD.
Ujmując prościej, jeśli zatrudnisz IOD-a i poddasz się jego władztwu, oraz jeśli będziesz się stosował do jego opinii i wniosków pokontrolnych, jeśli zapewnisz mu warunki pracy i uszanujesz niezależność, to nie poniesiesz odpowiedzialności karnej i administracyjnej, nawet jeśli IOD się myli. Dodam ponownie, że to nic nowego w systemie prawnym. Dokładnie tak samo jest w przypadku BHP. Pracodawca, który dostosuje się do błędnej rekomendacji służby BHP nie poniesie odpowiedzialności karnej.
Osobną kwestią jest odpowiedzialność cywilna. Z tego zresztą powodu IOD powinien podlegać prawnemu obowiązkowi ubezpieczenia od odpowiedzialności cywilnej; obowiązkowi zrzeszenia i odpowiedzialności dyscyplinarnej, z możliwością wydawania zakazu wykonywania zawodu włącznie. Jednak to już osobna kwestia.
Podsumowując, IOD nie jest doradcą, ale organem kontrolnym i doradczym. Z tego powodu gdy RODO nakłada na niego obowiązek „współpracy z organem nadzorczym”, to chodzi tu o współdziałanie dwóch organów.
Niestety mam dla Czytelników złą wiadomość. Jak widać z treści poradnika, przeprowadzony wyżej wywód nie znajduje odzwierciedlenia w wypowiedzi UODO, dodatkowo wspartej opinią członków Społecznego Zespołu Ekspertów przy Prezesie UODO.
W moim przekonaniu UODO całkowicie deformuje instytucję IOD-a i działa na szkodę administratorów danych osobowych oraz podmiotów danych. IOD jako „doradca” jest całkowicie zbędny. IOD jako zakładowy organ kontrolny i doradczy, współpracujący z państwowym organem nadzorczym wnosi realną jakość do systemu prawa. PUODO i IOD tworzą bowiem krajowy system organów ochrony prawa w przedmiocie ochrony danych osobowych.
Jak wspomniałem na początku, poglądy można mieć oczywiście różne, ale narzędzia analizy prawnej są jednak wspólne i zapisane w podręcznikach prawa publicznego. Z zainteresowaniem przyjmę inną wykładnię RODO pod warunkiem jednak, że będzie się posługiwała argumentami z owych podręczników. Niestety wypowiedzi UODO, ale też liczne inne wypowiedzi publiczne na temat IOD-a są – ujmując rzecz dyplomatycznie – bardzo ogólne. Efekt jest taki, że w Polsce IOD-a mieć nie warto, choć czasem nie ma wyboru.
Niniejszy tekst został opublikowany 25.03.2025 r. na Prawo.pl.
