Artykuł 15 RODO statuuje prawo dostępu do danych osobie, której te dane dotyczą. Na mocy tego przepisu każda osoba fizyczna, które dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarza on jej dane osobowe, a jeżeli tak, to ma prawo uzyskania do nich dostępu i określonych w powołanym przepisie informacji, w tym m. in. o celu przetwarzania, kategoriach przetwarzania danych, czy też o odbiorcach tych danych i okresie przechowywania.
Przepisy art. 15, jak też art. 12 RODO, regulują zasady informowania i tryb wykonywania praw osób, których dane dotyczą. Stanowią one, że do realizacji prawa dostępu do danych zobowiązany jest administrator.
Kto zatem powinien podpisać informację sporządzoną w trybie art. 15 RODO na żądanie osoby, której dane dotyczą? Administrator czy IOD?
Z takimi wątpliwościami wystąpił do Prezesa UODO inspektor ochrony danych (IOD) ustanowiony w jednej z jednostek samorządu terytorialnego.
Inspektor zapytał:
- czy IOD jest uprawniony do podpisania zbiorowej informacji uzyskanej od jednostek organizacyjnych administratora (np. od wszystkich wydziałów urzędu obsługującego organ administracji publicznej), która została przygotowana na wniosek osoby, której dane dotyczą w sprawie udzielenia informacji o fakcie i okolicznościach przetwarzania danych osobowych przez administratora (tj. przez organ administracji publicznej)?
- czy w takim przypadku nie wystąpi konflikt interesów?
- czy w przypadku braku możliwości podpisania informacji przygotowanej na podstawie art. 15 RODO przez IOD, może on podpisać taką informację jako pełnomocnik administratora?
Informację podpisuje administrator
Za określoną w RODO realizację praw osób, w tym prawa dostępu do danych, odpowiada administrator. To on jest zatem właściwy do podpisania informacji przygotowanej na podstawie art. 15 RODO – zasygnalizował UODO.
Zdaniem polskiego organu nadzorczego przepisy art. 15 i art. 12 RODO wskazują na administratora jako podmiot, który w określony sposób i w określonym terminie ma realizować prawa osób, których dane dotyczą, a dodatkowo przewidzieć procedury mające na celu realizację tych praw i ułatwienie ich realizowania.
W związku z tym – udzielenie informacji o przetwarzaniu danych na podstawie art. 15 RODO należy do zadań administratora.
RODO wyklucza rolę IOD jako pełnomocnika administratora…
…a wynika to z art. 38 ust. 3 unijnego rozporządzenia. Przepis ten stanowi, że administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania swych zadań.
UODO stoi na stanowisku, że zadaniem pełnomocnika jest ochrona interesów mocodawcy, działanie według instrukcji i sugestii mocodawcy, co stoi w sprzeczności z niezależnością IOD, zagwarantowaną w RODO, w szczególności w przywołanym powyżej art. 38 ust. 3.
W konsekwencji IOD nie powinien być pełnomocnikiem administratora.
Rola pełnomocnika powoduje konflikt interesów
Rolą IOD jest monitorowanie przestrzegania przepisów o ochronie danych osobowych przez administratora i doradzanie mu w tym zakresie. Występowanie inspektora w roli pełnomocnika administratora danych, w zakresie obowiązków nałożonych na administratora, może istotnie utrudniać lub uniemożliwiać IOD niezależną ocenę, czy administrator realizuje swoje obowiązki, a także czy robi to prawidłowo.
UODO ocenił, że konflikt interesów powodowałoby dokonywanie przez IOD na podstawie pełnomocnictwa administratora również innych czynności, np. podpisywanie formularza zgłoszenia naruszenia lub pism, w których w imieniu administratora danych IOD miałby zobowiązywać się do realizacji pewnych działań (np. wdrożenie nowych rozwiązań informatycznych związanych z podniesieniem bezpieczeństwa danych).
Co więc powinien zrobić IOD w przypadku wystąpienia konfliktu interesów? Zdaniem UODO, w takim przypadku inspektor powinien powstrzymać się od dokonywania czynności w imieniu administratora lub wypowiedzieć udzielone mu pełnomocnictwo.
Opracowano na podstawie Biuletynu UODO Nr 01/01/24. Link do usługi: www.uodo.gov.pl
