EIOD – kim jest, co robi i jakie są jego kompetencje

BySylwia Ostrowska

eiodEuropejski Inspektor Ochrony Danych (EIOD) jest niezależnym organem nadzoru zależącym od Unii Europejskiej, którego głównym zadaniem jest zapewnienie, że instytucje i organy UE szanują prawo do prywatności i ochrony danych w kontaktach z danymi osobowymi

Rozporządzenie (UE) 2018/1725 określa funkcje i uprawnienia Europejskiego Inspektora Ochrony Danych, a także instytucjonalną niezależność EIOD jako organu nadzorczego. Określa również przepisy dotyczące ochrony danych w instytucjach UE.

Za co odpowiada EIOD

Organizacje unijne są monitorowane przez Europejskiego Inspektora Ochrony Danych (EIOD). EIOD jest organem nadzorczym, odpowiednikiem polskiego Urzędu Ochrony Danych Osobowych. Nadzoruje zgodność przetwarzania danych osobowych przez instytucje i organy Unii Europejskiej z ogólnym rozporządzeniu o ochronie danych (RODO).

Europejski Inspektor Ochrony Danych odpowiedzialny jest także za:

  • zapewnienie podstawowych praw i wolności osobom, których dane przetwarza się przez instytucje i organy Unii;
  • monitorowanie i zapewnienie stosowania przepisów RODO oraz innych dotyczących przetwarzania danych osobowych;
  • doradzanie instytucjom i organom Unii oraz osobom, których dane przetwarza się we wszystkich kwestiach związanych z operacjami na danych osobowych.
Zadania, które pełni EIOD

EIOD podczas wypełniania swoich zadań i wykonywania swoich uprawnień działa także w sposób niezależny. Ponieważ pozostaje wolny od bezpośrednich i pośrednich wpływów zewnętrznych. Nie zwraca się do nikogo o instrukcje i ich od nikogo nie przyjmuje.

Do zadań Europejskiego Inspektora Ochrony Danych należy:
  • monitorowanie i egzekwowanie stosowania przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych;
  • upowszechnianie w społeczeństwie wiedzy o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem oraz rozumienie tych zjawisk;
  • upowszechnianie wśród administratorów i podmiotów przetwarzających wiedzy o obowiązkach spoczywających na nich na mocy przepisów o ochronie danych;
  • udzielanie osobie, której dane dotyczą, na jej żądanie informacji o wykonywaniu praw przysługujących jej na mocy przepisów i w stosownym przypadku współpracowanie w tym celu z krajowymi organami nadzorczymi;
  • rozpatrywanie skarg wniesionych przez osobę, której dane dotyczą lub przez podmiot czy organizację;
  • prowadzenie postępowania dotyczącego tych skarg i w rozsądnym terminie informowanie skarżącego o postępach i wynikach tych postępowań, w szczególności, jeżeli niezbędne jest dalsze postępowanie czy koordynacja działań z innym organem nadzorczym;
  • prowadzenie postępowania w sprawie rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego;
  • doradzanie, z własnej inicjatywy lub na wniosek, wszystkim instytucjom i organom Unii w sprawie prawnych i administracyjnych środków ochrony praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych
  • monitorowanie zmiany w stosownych dziedzinach, o ile zmiany te mają wpływ na ochronę danych osobowych, w szczególności monitorowanie rozwoju technologii informacyjno-komunikacyjnych
  • przyjmowanie standardowych klauzul umownych,
  • ustanawianie i prowadzenie wykazów związanych z wymogiem dokonania oceny skutków dla ochrony danych;
  • uczestniczenie w działaniach Europejskiej Rady Ochrony Danych;
  • zapewnienie obsługi sekretariatu na potrzeby Europejskiej Rady Ochrony Danych;
  • wydawanie zaleceń dotyczących przetwarzania;
  • zatwierdzanie klauzul umownych i przepisów;
  • prowadzenie wewnętrznych rejestrów naruszeń przepisów o ochronie danych osobowych;
  • wypełnianie innych zadań związanych z ochroną danych osobowych;
  • uchwalanie swojego regulaminu wewnętrznego.
Kontrole prowadzone przez EIOD

Inspektor może prowadzić kontrole przypadkowe, które decyduje się przeprowadzić w oparciu o takie informacje jak:

  • jakie dane osobowe przetwarza dana instytucja;
  • jak wiele skarg na nią wpłynęło;
  • czy instytucja przekazuje dane osobowe;
  • komu przekazuje się dane;
  • historię współpracy z instytucją;
  • powiązania z wcześniejszymi decyzjami EIOD.

EIOD informuje 4 tygodnie wcześniej instytucje o zamiarze przeprowadzenia kontroli. Przed rozpoczęciem kontroli EIOD może prosić także o dokumenty i informacje. Podczas kontroli prowadzone są spotkania, wywiady i pokazy w jaki sposób instytucja na co dzień przetwarza dane osobowe. Po zebraniu dowodów, kontrolowany podmiot może wnieść uwagi do zebranego materiału. Wszyscy pracownicy organizacji, w której prowadzona jest kontrola są zobowiązani do współpracy z EIOD na podstawie rozporządzenia 2018/1725.

Po przeprowadzonej kontroli, EIOD przekazuje instytucji wskazówki z rekomendacjami. Po ich przekazaniu śledzi czy jego rekomendacje zostały wprowadzone. Informacje o przeprowadzonych kontrolach są publikowane w rocznym raporcie EIOD.

Zgłoszenie do EIOD

W przypadku naruszenia prawa do poszanowania prywatności przez instytucję lub organ UE, w pierwszej kolejności powinniśmy poinformować urzędnika UE. Na którym spoczywa obowiązek odpowiedzialności za przetwarzanie danych. Gdy takie zgłoszenie nie przyniesie rezultatu należy skontaktować się z właściwym inspektorem ochrony danych w instytucji lub organie, w którym zdaniem osoby zgłaszającej doszło do naruszenia danych. Jeżeli instytucja złamała prawo do poszanowania prywatności, można także złożyć skargę do Europejskiego Inspektora Ochrony Danych.