Przestrzeganie przepisów dotyczących inspektora ochrony danych - kontrole UODO

Od początku stosowania przepisów RODO Urząd Ochrony Danych Osobowych, zarówno w ramach prowadzonych postępowań, jak w reakcji na zgłaszane mu przypadki nieprzestrzegania przepisów dotyczących inspektorów ochrony danych podejmował działania wynikające z jego uprawnień, określone w art. 58 RODO

Jeśli chodzi o nieprawidłowości zgłaszane przez inspektorów ochrony danych (a także czasem przez inne podmioty) to dotychczas dotyczyły one przede wszystkim:

• nieopublikowania na stronie internetowej administratora imienia i nazwiska inspektora
• nieaktualizowania danych inspektora na stronie internetowej administratora
• przyjęcia procedur obciążających inspektora obowiązkami powodującymi konflikt interesów
• zapisania w regulaminie organizacyjnym, że Inspektor Ochrony Danych może być odwołany w każdym czasie
• przyczyn odwołania inspektora
• nieprawidłowego usytuowania Inspektor Ochrony Danych w strukturze organizacyjnej administratora – Inspektor Ochrony Danych nie podlegał bezpośrednio najwyższemu kierownictwu
• niezapewnienia inspektorowi wystarczającej ilości czasu oraz innych zasobów niezbędnych do wykonywania jego zadań
• niezapewnienia inspektorowi wsparcia finansowego, infrastrukturalnego oraz możliwości aktualizowania wiedzy
• pomijania inspektora w sprawach dotyczących przetwarzania danych osobowych (w tym takich, w których administratorzy prosili o opinię UODO nie zwracając się cześniej o opinię do inspektora)

1. Czy u administratora został wyznaczony Inspektor Ochrony Danych (Inspektor Ochrony Danych)?
2. Czy na administratorze ciąży obowiązek wyznaczenia Inspektor Ochrony Danych (jeżeli tak, to na jakiej podstawie prawnej), czy też Inspektor Ochrony Danych został wyznaczony mimo braku takiego obowiązku?
3. Czy administrator opublikował imię i nazwisko oraz kontakt do Inspektor Ochrony Danych na swojej stronie internetowej lub - jeżeli nie prowadzi swojej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności?
4. Czy ww. informacje znajdują się w ogólnie dostępnym miejscu (proszę wskazać to miejsce, w przypadku strony internetowej proszę wskazać jej adres oraz link do tej informacji) ?
5. Czy Inspektor Ochrony Danych jest pracownikiem administratora, a jeśli nie, to na jakiej podstawie prawnej wykonuje swoje obowiązki?
6. Czy Inspektor Ochrony Danych został powołany na wyłączność u administratora, czy wykonuje swoje obowiązki również u innych administratorów?
7. Na podstawie jakich kwalifikacji administrator wyznaczył Inspektor Ochrony Danych (np. wykształcenie, doświadczenie, wiedza)?
8. Jakie niezbędne zasoby, o których mowa w art. 38 ust. 2 rozporządzenia 2016/679 administrator zapewnia Inspektor Ochrony Danych?
9. W jaki sposób administrator zapewnia zasoby na utrzymanie wiedzy fachowej Inspektor Ochrony Danych?
10. Jakie stanowisko zajmuje Inspektor Ochrony Danych i komu podlega w strukturze organizacyjnej administratora?
11. Czy administrator powołał zastępcę Inspektor Ochrony Danych, jeżeli tak, to kiedy?
12. Czy u administratora funkcjonuje zespół Inspektor Ochrony Danych lub inna forma stałego wsparcia Inspektor Ochrony Danych w zakresie wykonywania jego zadań?
13. W jaki sposób administrator zapewnia by Inspektor Ochrony Danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (np. czy zostały opracowane zasady dotyczące tego, jakie sprawy mają być konsultowane z Inspektor Ochrony Danych, kto i w jakich sytuacjach powinien zgłaszać się w celu uzyskania konsultacji Inspektor Ochrony Danych, czy i na jakich zasadach Inspektor Ochrony Danych bierze udział w naradach kierownictwa)
14. W jaki sposób administrator zapewnia Inspektor Ochrony Danych dostęp do danych osobowych i operacji przetwarzania?
15. Czy administrator przyjął jakiekolwiek regulacje wewnętrzne dotyczące funkcjonowania Inspektor Ochrony Danych (w szczególności w celu zapewnienia poszanowania gwarancji jego niezależności oraz jego uprawnień w zakresie dostępu do danych osobowych i operacji przetwarzania, włączania we wszystkie sprawy dotyczące ochrony danych osobowych, unikania konfliktu interesów), a jeżeli tak, to w jakim akcie wewnętrznym zostały one przewidziane?
16. W jaki sposób administrator zapewnia, aby Inspektor Ochrony Danych nie były wydawane instrukcje co do wykonywania zdań przez Inspektor Ochrony Danych?
17. W jaki sposób administrator zapewnia, aby Inspektor Ochrony Danych nie były karany i odwoływany za wykonywanie swoich zadań?
18. W jaki sposób ADO postępuje w przypadku, gdy nie uwzględnia wskazówek lub rekomendacji Inspektor Ochrony Danych, np. czy dokumentuje powody niezastosowania tych wskazówek?
19. W jaki sposób osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych zgodnie z art. 38 ust. 4 rozporządzenia 2016/679 ?
20. Czy Inspektor Ochrony Danych wykonuje również inne obowiązki lub sprawuje inną funkcję poza obowiązkami związanymi z ochroną danych osobowych, jeżeli tak to:
    a)  jakie oraz w jakim wymiarze czasu pełni funkcję Inspektor Ochrony Danych, a w jakim inne zadania,
    b)  w jaki sposób administrator ocenił, że w przypadku każdego z tych zadań nie występuje konflikt interesów, o którym mowa w art. 38 ust 6 rozporządzenia   2016/679 ?
    c)  czy w zakresie wykonywania innych zadań Inspektor Ochrony Danych podlega innym osobom niż najwyższe kierownictwo administratora?
21. Czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów?
22. Czy Inspektor Ochrony Danych wykonuje swoje zadania jedynie w siedzibie administratora, a jeżeli nie, to w jakim miejscu i w jaki sposób zapewniona jest stała dostępność Inspektor Ochrony Danych dla kierownictwa i pracowników administratora?
23. Czy Inspektor Ochrony Danych opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń, audytów?
24. Czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny, czy Inspektor Ochrony Danych dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które Inspektor Ochrony Danych obejmuje swoimi zadaniami?
25. Jak często i w jaki sposób Inspektor Ochrony Danych przekazuje administratorowi wyniki przeprowadzonych audytów?
26. Czy administrator występował do Inspektor Ochrony Danych o udzielenie zaleceń co do oceny skutków dla ochrony danych, a jeśli tak, to w jakich sytuacjach?
27. Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?

Ważne: Powyższa lista może trafić do podmiotów z sektora prywatnego jak i publicznego. Wezwani administratorzy i podmioty przetwarzające będą musieli odnieść się do nich, przedstawiając odpowiednie dowody.