Nic nie stoi na przeszkodzie, aby rolę Inspektora Ochrony Danych zlecać podmiotom zewnętrznym

Dr Paweł Litwiński na stronie LinkedIn  wyraża stanowisko:

(...) na gruncie GDPR możliwość wyznaczenia jednego inspektora ochrony danych przez kilka podmiotów została ograniczona wyłącznie do grup przedsiębiorstw, a podmioty nie należące do tej samej grupy nie mogą wyznaczyć tej samej osoby fizycznej do pełnienia funkcji inspektora ochrony danych. Konsekwentnie, praktyka funkcjonowania multi-ABI powinna po 25 maja 2018 r. zostać zakończona.  

Przez multi-ABI rozumie on: 

zjawisko pełnienia przez tą sama osobę funkcji administratora bezpieczeństwa informacji w kilku podmiotach

Przyznaję, że zaskoczyła mnie taka interpretacja i postanowiłem przyjrzeć się bliżej przepisom i czy rzeczywiście nadchodzi era końca outsourcingu ABI.

Zacznijmy od tego, że na outsourcing roli ABI (a wkrótce Inspektora Ochrony Danych, bo taka będzie nowa jego nazwa) zezwala art. 37 ust. 6 unijnego Rozporządzenia (RODO):

Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.

Gdyby nie chciano, aby byli usługowo pełniono rolę Inspektora Ochrony Danych Osobowych, to w RODO nie pojawiłby się art. 37 ust. 6, w którym określa się, że rolę inspektora może pełnić pracownik administratora lub procesora lub może to być umowa o świadczenie usług. Wersja angielska lepiej to ujmuje bo mówi o  "service contract" - u nas umowa o świadczenie usług często kojarzy się z umowami cywilnoprawnymi takimi jak umowa zlecenie czy o dzieło.

Co więcej, outsourcing jest bardzo istotnym elementem i nie bez powodu - jeśli chodzi o usługowe wypełnianie obowiązków inspektora - w Wytycznych Grupy roboczej art. 29 WP243 rev 1 Grupy Roboczej Art. 29 -  (ostatnia aktualizacja 5/4/2017) w rozdziale 2.3 znajdujemy następującą treść:

DPO on the basis of a service contract 

The function of the DPO can also be exercised on the basis of a service contract concluded with an individual or an organisation outside the controller’s/processor’s organisation. In this latter case, it is essential that each member of the organisation exercising the functions of a DPO fulfils all applicable requirements of Section 4 of the GDPR (e.g., it is essential that no one has a conflict of interests). It is equally important that each such member be protected by the provisions of the GDPR (e.g. no unfair termination of service contract for activities as DPO but also no unfair dismissal of any individual member of the organisation carrying out the DPO tasks). At the same time, individual skills and strengths can be combined so that several individuals, working in a team, may more efficiently serve their clients.

For the sake of legal clarity and good organisation and to prevent conflicts of interests for the team members, it is recommended to have a clear allocation of tasks within the DPO team and to assign a single individual as a lead contact and person ‘in charge’ for each client. It would generally also be useful to specify these points in the service contract.

W wolnym przekładzie brzmi to mniej więcej tak:

Inspektor na warunkach umowy o współpracę/ Outsourcing Inspektora Ochrony Danych Osobowych

Funkcja Inspektora może być również wykonywana w ramach outsourcingu na podstawie umowy zawartej między osobą albo organizacją inną niż administrator danych lub procesor. W przypadku organizacji jest niezmiernie ważne, aby podczas pełnienia roli Inspektora spełniano wszystkie wymagania Rozdziału 4 RODO (np. aby nie było konfliktu interesów). Tak samo ważne jest, aby stosowano ochronę przewidzianą w RODO np. nierozwiązywanie w nieuzasadniony sposób umowy usługi inspektora ale też brak możliwości zwolnienia osoby pełniącej usługowo rolę Inspektora). Jednocześnie "połączone umiejętności" wielu członków zespołu (pracowników firmy świadczącej usługi ochrony danych osobowych) pozwalają lepiej obsługiwać klientów, spełniać ich potrzeby.

(wolny przekład) Dla jasności i aby unikać konfliktu interesów między członkami zespołu (podmiotu świadczącego usługi ochrony danych osobowych) rekomenduje się, aby jsno ustalić kto ma jakie zadania w ramach zespołu (DPO team) oraz wyznaczyć kontakt wiodący oraz osobę odpowiedzialną dla każdego klienta. Warto to wskazać w zawartej umowie.

Dalej na stronie 22 mamy pytanie - odpowiedź:

Is it possible to appoint an external DPO? Yes. The DPO may be a staff member of the controller or the processor (internal DPO) or fulfil the tasks on the basis of a service contract. This means that the DPO can be external, and in this case, his/her function can be exercised based on a service contract concluded with an individual or an organisation.

(w wolnym przekładzie) czy można powołać zewnętrznego Inspektora? Tak. Inspektor może być pracownikiem administratora danych lub procesora (tzw. wewnętrzny Inspektor) a może wypełniać swoje zadania na podstawie umowy. W efekcie Inspektor może być zewnętrzny, a wówczas, jego/jej rola może być pełniona na postawie umowy zawartej z osobą albo firmą świadczącą takie usługi.

Grupa robocza art. 29 zauważa, że w przypadku usługowego inspektora będzie wykorzystywana nie tylko jego wiedza i doświadczenie ale także zespołu, który za nim stoi czy też z nim współpracuje.

Dostępność nie jest tutaj żadnym problemem, gdyż w Wytycznych wspomina się o dowolnej formie komunikacji (np. via hotline), jedynym ograniczeniem jest konieczność posługiwania się językiem, którego używa organ nadzorczy. Co ciekawe, w Wytycznych dowiadujemy się, że właściwie jedynym ograniczeniem co do miejsca inspektora jest to, aby raczej "znajdował się" na terenie Unii Europejskiej.

Nic nie stoi na przeszkodzie, aby rolę Inspektora zlecać podmiotom zewnętrznym

Po lekturze Rozporządzenia i niedawno zaktualizowanych wytycznych grupy WP243 uważam, że nic nie stoi na przeszkodzie, aby rolę Inspektora Ochrony Danych zlecać podmiotom zewnętrznym. W takim outsourcingu nie ma nic dziwnego, tak samo jak dzisiaj nikogo nie dziwi usługowe prowadzenie ksiąg finansowych. Pod warunkiem, że zadania wykonywane są prawidłowo. A w tym obszarze usługowy, wynajmowany ABI, ma większe szanse wykonać swoją pracę nierzadko lepiej, niż pojedynczy ABI.