Jaka jest rola DPO w odniesieniu do oceny skutków dla ochrony danych?

Porobiło się i to sporo… Publikowane od jakiegoś czasu informacje potrafią przyprawić o ból głowy i mamy tu na myśli publikację stanowiska Prezesa Urzędu Ochrony Danych Osobowych, odnoszące się między innymi do oceny skutków.

Problem w tym, że obowiązuje nas wszystkich dokument zwany RODO, z jego wszystkim bolączkami, zwłaszcza w kontekście interpretacyjnym. W skład tej mieszanki wchodzą też chętnie i bardzo często cytowane lub przywoływane dokumenty Grupy Robocza Art. 29, znanej również jako Grupa Robocza ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, niezależnego organu doradczego UE ds. ochrony danych i prywatności, który odegrał kluczową rolę w kształtowaniu polityki ochrony danych w Europie, a którego dorobek jest nadal istotny w kontekście interpretacji i stosowania RODO, a który to organ wraz z wejściem w życie RODO został zastąpiony przez Europejską Radę Ochrony Danych (EROD) w dniu 25 maja 2018 roku, czyli grubo.

Pikanterii temu wszystkiemu dodaj fakt i tu cytat, ze strony Urzędu:

„Trzeba przy tym podkreślić, że informacje publikowane na stronie internetowej UODO mają charakter informacyjno-edukacyjny. Nakreślają pewien kierunek interpretacji.

(…) wiążąco UODO wypowiada się jedynie w decyzji administracyjnej wydawanej po zbadaniu wszystkich okoliczności danego przypadku.

(…) rozstrzygnięcia organu nadzorczego wydane w podobnych z pozoru sprawach mogą się zatem różnić”

Owszem, jeżeli odnieść się literalnie do cytatu w kontekście publikacji na stronie internetowej, ale czy aby na pewno? W takim kształcie środowiska trudno podjąć decyzję, z której strony wziąć oddech, a w którą wydmuchnąć.

Naszym skromnym zdaniem, wg w/w doktryny uznawanie wsparcia przez firmę doradczą, świadczącą usługi IOD z definicji za naruszenie, jest zbyt ogólną interpretacją i każdy przypadek Urząd powinien rozpatrywać indywidualnie,. Rzecz jasna, powinien rozpatrywać zgodnie z prezentowanym wyżej stanowiskiem w innej sprawie. No chyba, że i to stanowisko, jako opublikowane na stronie należy uznać, za potencjalnie nieistotną wiadomość…  (artykuł dotyczący kopiowania dokumentów tożsamości https://uodo.gov.pl/pl/138/2476 z 16.08.2022 roku). Kwadratura koła…

Dlatego sugerujemy, aby jednak w świecie zamętu posługiwać się jakimś mierzalnym modelem i chyba nikomu krzywdy nie zrobi odnoszenie się do czegoś, co opracowało szerokie grono specjalistów…

Zgodnie z punktem 13. przywołanego w nagłówku dokumentu, Grupa Robocza Artykuły 29. rekomenduje, co następuje:

Administrator lub podmiot przetwarzający powinni zasięgnąć porady IOD, między innymi w następujących kwestiach:

1. czy należy przeprowadzić ocenę skutków dla ochrony danych; 
2. jaką metodologię należy przyjąć przy przeprowadzeniu oceny skutków dla ochrony danych; 
3. czy należy przeprowadzić wewnętrzną ocenę skutków dla ochrony danych czy też zlecić ją podmiotowi zewnętrznemu; 
4. jakie zabezpieczenia (w tym środki techniczne i organizacyjne) mają zastosowanie w celu złagodzenia wszelkich zagrożeń dla praw i interesów osób, których dane dotyczą; 
5. czy ocena skutków została prawidłowo przeprowadzona oraz czy jej wyniki są zgodne z wymogami ochrony danych (czy należy kontynuować przetwarzanie czy też nie oraz jakie zabezpieczenia należy zastosować).

Co do zasady chyba zgodzimy się wszyscy, że punkt 1. nie budzi zastrzeżeń. Punkt 2. zasadniczo też nie, bo w końcu kto jak nie IOD ma tu wskazywać kierunki., Warto jednak pamiętać, że choć zasięgniecie porady, w obu tych punktach, nie oznacza wcale obowiązku zastosowania się  do stanowiska IODy.

Przeskoczymy do punktu 4., bo tu ze względem na niektóre wypowiedzi Prezesa mogą pojawić się pierwsze wątpliwości – Słowo „jakie” dotyczy kierunku działania, a nie określonej decyzji. Chyba nikt z Państwa nie wyobraża sobie sytuacji, w której IOD każę np. zatrudnić kogoś. Może i czasem nawet powinien wskazać np. kierunek rozwoju kadry, ale nie on podejmuje decyzję. Inspektor może na przykład, w wyniku konsultacji, wskazać na kierunek rozwoju ochrony antywirusowej, ale nie może decydować o tym, jaki system wybrać.

Co do prawidłowości oceny skutków, to odsyłam Państwa do ostatniego materiału szkoleniowego opracowanego w oparciu o wytyczne, znowu Grupy Roboczej Artykuły 29, która proponuje określone kryteria, z których administratorzy danych mogą korzystać, aby ocenić, czy ocena skutków dla ochrony danych lub metodyka służąca do dokonania oceny skutków dla ochrony danych są wystarczająco kompleksowa do zachowania zgodności z RODO.

Wytyczne te zawarte są w Załączniku nr 2 do dokumentu Grupy Roboczej Artykuły 29: 17/PL WP 248 rev.01 – Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679. Przyjętego w dniu 4 kwietnia 2017 r. Zmienionego i przyjętego w dniu 4 października 2017 r.

Praktycznie żaden z wyżej opisanych punktów nie budzi zastrzeżeń, więec dlaczego miałby budzić punktu 2.?

Zatem nNa koniec wróćmy do najciekawszego punktu tego artykuły i spróbujmy odpowiedzieć na pytanie, kto powinien wykonać ową ocenę skutków…

Nie bierzemy pod uwagę tej części, która mówi o wewnętrznej ocenie. To jest oczywiste w odniesieniu do działań własnych Banku, za które Bank w pełni odpowiada. Będą w to wchodzić takie oczywiste oceny jak wykorzystanie zewnętrznych baz danych w ocenie zdolności kredytowej, monitoring zachowania pracowników, czy biometria, ale ta nabyta na własnyrachunek.

A co jeżeli Bank nie ma kompetencji wystarczających do oceny? Nie posiada odpowiednich zasobów? Albo nie uczestniczy w procesie zamówienia usługi, a jedynie jest jej końcowym beneficjentem, bez wpływu na określoną funkcjonalność i sposób realizacji poszczególnych funkcji (np. dobór wykonawców, pod wykonawców)?  

***

Jedną z podstaw działania Zrzeszenia jest zgoda na podejmowanie decyzji przez Bank Zrzeszający co do właśnie np. wyboru Dostawcy, rozwiązania. Bank Zrzeszający, to określona wręcz z imienia i nazwiska grupa fachowców, która analizuje oferty, propozycje, prowadzi rozmowy, czego efektem końcowym jest właśnie SGB Mobile i cały szereg innych produktów i usług, tak historycznych jak Karty SGB, i przyszłościowych o jakich być może dziś marzy Klient SGB.

Istotnym elementem tej układanki jest inny fakt, a mianowicie to, że całkiem spory szereg funkcji i obszarów może być (lub jest) objęty klauzulami poufności.

Grupa doradcza stwierdza m.in., że Administrator powinien zasięgać rady IOD co do (i tu już upraszczamy) zlecenia oceny skutków na zewnątrz.

A kim w tym układzie jest Bank Zrzeszający? 

Czy jest wykonawcą, producentem? Nie. 

Bank Zrzeszający jest instytucją zamawiającą, co więcej, instytucją z odrębnym IOD. A skoro nie jest producentem, ani wykonawcą, to czym różni się poprawnie wykonana ocena skutków przez Bank Zrzeszający od oceny zleconej firmie trzeciej? W naszej ocenie tylko tym, że Bank Zrzeszający nie wystawia za to faktury wprost. Owszem można się doszukiwać tego, że Bankowi Zrzeszającemu zależy na rozpowszechnieniu usługi wśród Banków i że może powstać konflikt interesów. – cCzyżby?

Bank Zrzeszający jest jedyną i faktyczną instytucją w tym obszarze, która posiada:

• wiedzę w zakresie danego produktu, bo to on pozyskiwał informacje co do technologii funkcjonalności i ryzyk z danym produktem związanym
• wiedzę w zakresie technicznego działania produktu
• wiedzę i pełnię praw co do zapisów w umowach, które zawarł z Dostawcami
• faktyczną ocenę ryzyka w odniesieniu do zastosowanych rozwiązań,

a więc posiada pełnię kompetencji niezbędnych do wykonania takiej oceny, która wcale nie musi być lepszą oceną w przypadku realizacji przez firmę trzecią, bo sam fakt zlecenia takich działań na zewnątrz już może stanowić źródło ryzyka i stanowić podstawę do wykonania odrębnej oceny skutków.

Oczywiście nikt nie mówi, że Bank Zrzeszający ma to robić non profit. Ale biorąc pod uwagę, czemu taka ocena ma służyć wydaje się to być najrozsądniejszym rozwiązaniem. Zwłaszcza, iż stanowisko PUODO w tym zakresie mówi, że:

• ocena ma być wykonana niezależnie od tego czy wykonał ją Dostawca
• nie wolno jej scedować na IOD

i nie ma tu mowy o zarzuceniu prawa do zlecenia na zewnątrz, o którym mówi Grupa Robocza Artykuły 29. Tym bardziej, że zgodnie z informacjami z dnia 31.03.2025 opublikowanymi na stronie PUODO (https://uodo.gov.pl/pl/598/3617) brak zwolnienia z oceny skutków dotyczy relacji Administrator – Dostawca.

W tym kontekście, przy całej zawiłości interpretacyjnej RODO i nie tylko, ani nie jest w naszej gestii, a już tym bardziej w gestii pojedynczego Banku Spółdzielczego podejmować decyzję o oparciu działań jedynie na ocenie przeprowadzonej przez Bank Zrzeszający. 

Artykuł ten nie jest ani formą pochwał, ani formą ganienia kogokolwiek, za cokolwiek, ale chcielibyśmy aby stanowił wstęp do dyskusji na szerszym forum, ze wsparciem kKancelarii Pprawnych włącznie, celem uzyskania akceptacji formalnej od PUODO takiego stanu rzeczy, jakim byłaby zgoda na wykonywanie docelowej lub prawie docelowej oceny skutków przez Bank Zrzeszający.

Sprawdź artykuł na LinkedIn – https://www.linkedin.com/pulse/jaka-jest-rola-dpo-iod-w-odniesieniu-do-oceny-fkmmf

Bernadeta Gronowska, Jacek Rembikowski, Poznań, dn. 01.07.2025 roku