Inspektor danych osobowych w każdej instytucji

20 października 201730 października 2017 Irena Dudzik dane osobowe

Wchodzi unijna reforma ochrony danych osobowych. Nowe prawo unijne wydano w formie rozporządzenia, co oznacza, że będzie obowiązywało wprost we wszystkich państwach członkowskich. Choć będzie stosowane dopiero od 25 maja 2018 r., już teraz warto zacząć się przygotowywać do jego wdrażania. Zwłaszcza że przyswojenie niektórych nowych instrumentów wymagać będzie czasu.

Wraz z nowymi przepisami pojawi się w naszym porządku prawnym nowa funkcja inspektorów ochrony danych osobowych, którzy docelowo zastąpią obecnie funkcjonujących ABI.

Inspektorzy ochrony danych zasadniczo mają być kontynuatorami obecnie powoływanych administratorów bezpieczeństwa informacji (ABI). Konstrukcja obecnych ABI w przepisach ustawy o ochronie danych osobowych w pewnym stopniu została stworzona już w oparciu o planowane przepisy unijnego rozporządzenia. Jednakże rola dotychczasowych ABI ma ulec poważnemu wzmocnieniu. Obecnie wyznaczenie ABI jest uprawnieniem, a nie obowiązkiem administratora danych. Po wejściu w życie przepisów unijnego rozporządzenia powołanie inspektora ochrony danych będzie w niektórych przypadkach obowiązkiem administratora danych.

Dostosowanie się danego administratora danych do unijnych przepisów będzie zależało m.in. od struktury organizacyjnej i rodzaju działalności administratora, a także od rodzaju, zakresu i celu, dla jakiego przetwarza on dane osobowe. Duże znaczenie będzie mieć też prawdopodobieństwo występujących u danego administratora danych zagrożeń. Tym nowym wyzwaniom mają właśnie sprostać inspektorzy ochrony danych (obecni ABI).

Zostań Inspektorem Ochrony Danych Osobowych – przyjedź na kurs podstawowy z ochrony danych osobowych.

Chcesz poszerzyć swoją wiedzę, ugruntować i zaktualizować swoje praktyczne umiejętności, potrzebujesz konkretnego wsparcia w rozwiązywaniu problemów z zakresu ochrony danych osobowych? Skorzystaj z warsztatów dla ADO i ABI.

Kto będzie musiał powołać inspektora?

Obowiązek powoływania inspektora ochrony danych będą mieli administratorzy danych i podmioty przetwarzające dane osobowe w imieniu administratora, będące organami lub podmiotami publicznymi (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości). Ponadto obowiązek taki będzie dotyczył administratorów i podmiotów przetwarzających, których główna działalność polega na operacjach przetwarzania danych wymagających – ze względu na swój charakter, zakres lub cele – regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Oprócz tego obejmie podmioty, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Użyte w rozporządzeniu pojęcia, niestety, wydają się nieostre, dlatego warto w tym miejscu sięgnąć do publikacji Generalnego Inspektora Ochrony Danych Osobowych “Wykonywanie obowiązków ABI, przyszłego inspektora ochrony danych, w świetle ogólnego rozporządzenia o ochronie danych” dostępnej na stronie www.giodo.gov.pl. Czytamy w niej, że “W sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Ocena kryterium dużej skali z pewnością będzie musiała być dokonywana w kontekście konkretnego stanu faktycznego (…) w poszczególnych przypadkach konieczne może być uwzględnienie proporcji, np. wielkości terytorium, na którym następować będzie przetwarzanie danych osobowych (im większe terytorium, tym większa liczba danych będzie podstawą uznania, że przetwarzanie odbywa się na dużą skalę)”.

Warto też zaznaczyć, że państwa członkowskie będą mogły w ramach własnych przepisów rozszerzyć obowiązek wyznaczania inspektora ochrony danych na inne przypadki.

Zadania inspektora…

Inspektor ochrony danych będzie miał m.in. następujące zadania:

informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy ogólnego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,
monitorowanie przestrzegania ogólnego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
współpraca z organem nadzorczym (w Polsce GIODO),
pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych.

…i jego kwalifikacje

Unijne przepisy określają, iż inspektor ochrony danych powinien być wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia nałożonych na niego zadań. W powołanej już publikacji GIODO czytamy, że “Poziom wiedzy inspektora ma być ustalany w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe przetwarzane przez administratora lub podmiot przetwarzający, a zatem w kontekście specyfiki i konkretnych potrzeb administratora danych i podmiotu przetwarzającego dane”. Inspektor ochrony, podobnie jak dziś ABI, będzie mógł wykonywać inne zadania i obowiązki, a administrator lub podmiot przetwarzający będą musieli zapewnić, by takie zadania i obowiązki nie powodowały konfliktu interesów.

Przepisy ogólnego rozporządzenia uszczegóławiają kwestie dotychczas wątpliwe, tj. w zakresie wyznaczania jednego inspektora dla kilku przedsiębiorców. Art. 37 ust. 2 rozporządzenia stanowi, że grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Z kolei art. 37 ust. 6 wyraźnie określa, że inspektor ochrony danych będzie mógł być zarówno członkiem personelu administratora danych lub podmiotu przetwarzającego, jak i wykonywać swoją funkcję na podstawie umowy o świadczenie usług. Co bardzo istotne, rozporządzenie stanowi, że administrator oraz podmiot przetwarzający dane muszą czuwać nad niezależnością inspektora. Będzie on podlegał najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

W każdym urzędzie

Zdecydowana większość nowych obowiązków dotyczy zarówno sektora prywatnego, jak i publicznego.

– Podstawowa różnica dotyczy sposobu ich wykonywania, ponieważ każdy podmiot w sektorze publicznym będzie musiał wyznaczyć własnego inspektora ochrony danych osobowych (IOD), którego można określić jako kontynuatora obecnej funkcji administratora bezpieczeństwa informacji – zaznacza dr Grzegorz Sibiga z Instytutu Nauk Prawnych PAN. – Obecnie w polskim prawodawstwie powołanie ABI jest dobrowolne, ale po wejściu w życie rozporządzenia dobrowolność wyznaczenia inspektora zostanie zachowana tylko dla części podmiotów z sektora prywatnego – dodaje.

Co to oznacza w praktyce? Nie tylko każdy urząd, lecz także każda publiczna szkoła czy nawet biblioteka będą musiały powołać własnego inspektora ochrony danych. Już w momencie zbierania danych osobowych będą musiały wskazać, kto pełni tę funkcję.

Może to być uciążliwe dla małych podmiotów, np. przedszkola na kilkadziesiąt dzieci. Rozporządzenie nie pozostawia jednak wyboru – IOD będzie musiał zostać powołany bez względu na to, jak duży jest zbiór danych osobowych. Jest jednak pewne ułatwienie, które wprowadza art. 37 ust. 3 rozporządzenia. Zgodnie z nim jeśli „administrator lub podmiot przetwarzający dane są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych”. Pozostając przy przykładzie publicznych przedszkoli – kilka z nich będzie mogło wspólnie wyznaczyć jednego IOD. Czy będzie to mogło zrobić kilkanaście lub kilkadziesiąt podmiotów? Może to już budzić wątpliwości, gdyż przepis mówi o kilku.

Dlaczego unijny ustawodawca postanowił ostrzej potraktować publicznych administratorów danych od prywatnych?

W przypadku sfery publicznej mamy do czynienia z oczywistą nierównością podmiotów, a obywatele nie mają swobody w podejmowaniu decyzji, czy swoje dane przekazać organom władzy publicznej, czy nie.

Jak przygotować się do RODO?