Inspektor Ochrony Danych (Data Protection Officer) - wprowadzenie

Inspektor Ochrony Danych (Data Protection Officer) - wprowadzenie

Już 25 maja 2018 r. zastosowanie znajdzie RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Rozporządzenie wprowadza wachlarz nowych terminów i definicji, a także powołuje zupełnie nowe instytucje, których celem będzie zapewnienie bezpieczeństwa danych osobowych.

Jednym z nowych terminów, które pojawiają się w treści rozporządzenia, jest Inspektor Ochrony Danych. Zastąpi on miejsce powoływanego dotychczas (na mocy przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych) Administratora Bezpieczeństwa Informacji.

Administrator Bezpieczeństwa Informacji (potocznie: ABI) to osoba nadzorująca proces przetwarzania danych osobowych w organizacji, dbająca o zachowanie odpowiedniego poziomu ich bezpieczeństwa wymaganego przepisami. ABI powoływany jest przez Administratora Danych Osobowych. Rolę Administratora Bezpieczeństwa Informacji szczegółowo przedstawiamy w artykule Kim jest Administrator Bezpieczeństwa Informacji?.

Powoływanie Inspektora Ochrony Danych

Zgodnie z obecnie obowiązującą ustawą o ochronie danych osobowych, wyznaczenie ABI przez administratora danych jest fakultatywne. Jeśli podmiot nie zdecyduje się na powołanie ABI, jego obowiązki spoczywać będą na administratorze danych osobowych w firmie.

Wraz z wprowadzeniem RODO, powyższa reguła ulegnie jednak zmianie. Zgodnie bowiem z art. 37 ust. 1 RODO, powołanie Inspektora Ochrony Danych będzie obowiązkowe w przypadku, gdy:

• przetwarzania danych dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
• główna działalność administratora lub podmiotu przetwarzającego dane polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
• główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (tzw. danych wrażliwych) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Jak czytamy w treści rozporządzenia, do wyznaczenia Inspektora Ochrony Danych Osobowych zobowiązane zostaną m.in. podmioty z sektora publicznego. RODO wprowadza więc istotną zmianę, nakładając dodatkowych obowiązek na część podmiotów przetwarzających dane osobowe.

W pozostałych przypadkach, administrator lub podmiot przetwarzający dane zachowają dobrowolność w kwestii powołania Inspektora Ochrony Danych, jeśli przepisy krajowe lub prawo Unii Europejskiej nie będą tego wymagać w treści innych obowiązujących aktów prawnych.

W przypadku wątpliwości co do obowiązku powołania Inspektora Ochrony Danych, pomocne mogą okazać się wytyczne dotyczące inspektorów ochrony danych, opracowane przez Grupę Roboczą art. 29. W treści wytycznych objaśnione zostały sformułowania zamieszczone w RODO, jak np. “regularne i systematyczne monitorowanie”, czy “duża skala przetwarzania”, a także cenne wskazówki praktyczne.

Kto może pełnić funkcję Inspektora Ochrony Danych?

Inspektorem Ochrony Danych może zostać zarówno jak pracownik podmiotu przetwarzającego dane, jak i zewnętrzny specjalista, wykonujący swoje obowiązki na podstawie umowy o świadczenie usług. Zachowano więc pewną swobodę decyzyjną, umożliwiając korzystanie z outsourcingu w tym zakresie.

Co bardzo istotne, art. 37 ust. 5 RODO wymaga, by przy wyborze osoby, która sprawować będzie funkcję Inspektora Ochrony Danych, kierować się posiadanymi przez nią:

1) kwalifikacjami zawodowymi, a w szczególności posiadaną wiedzą fachową z zakresu prawa i praktyk w dziedzinie ochrony danych,
2)umiejętności wypełnienia zadań, do których obliguje go Rozporządzenie.

Ze względu na powyższe obostrzenia, najodpowiedniejszym rozwiązaniem może okazać się skorzystanie z usług zewnętrznego eksperta, co oprócz spełnienia wymogów prawnych pomoże zapewnić wsparcie merytoryczne i komfort w obszarze bezpieczeństwa danych osobowych przetwarzanych przez firmę lub organizację.

W przypadku grup kapitałowych dopuszcza się możliwość pełnienia funkcji Inspektora Ochrony Danych przez jedną osobę.

Należy pamiętać, że wyznaczenie Inspektora Ochrony Danych pociąga za sobą obowiązek zawiadomienia o jego powołaniu. Powiadomienie składane jest przez podmiot, który wyznaczył Inspektora (lub pełnomocnika tego podmiotu) do Prezesa Urzędu Ochrony Danych Osobowych w terminie 14 dni od dnia wyznaczenia Inspektora Ochrony Danych. W treści zawiadomienia wskazuje się imię i nazwisko oraz adres poczty elektronicznej lub numer telefonu Inspektora.

Zadania Inspektora Ochrony Danych

Sztandarowym zadaniem Inspektora Ochrony Danych jest zapewnianie przestrzegania przepisów o ochronie danych osobowych. Należy przez to rozumieć w szczególności:
• sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
• nadzorowanie opracowania i aktualizowania dokumentacji opisującą sposób przetwarzania oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych oraz przestrzegania zasad w niej określonych,
• zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Ponadto, Inspektor Ochrony Danych odpowiada za prowadzenie rejestru czynności przetwarzania danych osobowych u administratora danych oraz rejestru wszystkich kategorii czynności przetwarzania u podmiotu przetwarzającego dane.

W art. 39 ust. 1 Rozporządzenia o ochronie danych osobowych, Inspektorowi Ochrony Danych przyporządkowano także następujące zadania:

1) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,

2) monitorowanie przestrzegania rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,

3) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z przepisami Rozporządzenia,

4) współpraca z organem nadzorczym,

5) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w Rozporządzeniu, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Katalog zadań wymienionych w Rozporządzeniu nie jest katalogiem zamkniętym. Art. 38 ust. 6 RODO stanowi bowiem, że IOD może wykonywać także inne zadania i obowiązki, pod warunkiem zapewnienia, by nie powodowały one konfliktu interesów.

Wszelaka działalność inspektora ochrony danych osobowych powinna uwzględniać ryzyko związane z operacjami przetwarzania, mając na uwadze ich charakter, zakres, kontekst i cele przetwarzania. Przed rozpoczęciem przetwarzania danych, jeżeli rodzaj przetwarzania wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych (np. przy użyciu nowych technologii), Inspektor powinien dokonać oceny skutków planowanej operacji.

Ponadto, IOD będzie zobligowany do udzielania na żądanie zaleceń, dotyczących oceny skutków dla ochrony danych oraz monitorowania sposobu ich wykonania.

Zakres obowiązków dotychczasowych Administratorów Bezpieczeństwa Informacji (od 25 maja na mocy RODO - Inspektorów Ochrony Danych) ulegnie zatem wielu zmianom, w tym również w zakresie roli IOD jako punktu kontaktowego.

Inspektor będzie pełnił funkcję kontaktową nie tylko w relacji z organami nadzorczymi, lecz również z osobami, których dotyczą przetwarzane dane. Obowiązek ten wynika głównie z treści art. 38 ust. 4 RODO, zgodnie z którym osoby, których dane dotyczą, mogą kontaktować się z Inspektorem Ochrony Danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw im przysługujących.

Przypisanie Inspektorom Ochrony Danych szeregu ważnych obowiązków z pewnością znacznie wpłynie na ich codzienną praktykę, zmieniając zakres, za który dotychczas byli odpowiedzialni jako Administratorzy Bezpieczeństwa Informacji.

Status Inspektora Ochrony Danych

Wraz z początkiem obowiązywania RODO, status Inspektorów Ochrony Danych, a w szczególności ich niezależność, ulegną wzmocnieniu w stosunku do obecnego stanu prawnego.

Na mocy art. 38 RODO na status ten składają się:

• zapewnianie przez administratora oraz podmiot przetwarzający, by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych,
• wspieranie przez administratora oraz podmiot przetwarzający w wypełnianiu przez Inspektora Ochrony Danych jego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej,
• zapewnianie przez administratora oraz podmiot przetwarzający, by IOD nie otrzymywał instrukcji dotyczących wykonywania tych zadań,
• niemożność bycia odwołanym czy ukaranym przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań,
• podleganie bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Podsumowując, wraz z rozpoczęciem stosowania przepisów ogólnego Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych, czeka nas zmiana terminologii, obejmująca m.in. nazewnictwo osoby odpowiedzialnej za bezpieczeństwo przetwarzania danych u administratora - ze znanego nam obecnie Administratora Bezpieczeństwa Informacji na Inspektora Ochrony Danych. Oprócz nazwy pełnionej funkcji, zakres odpowiedzialności dotychczasowych ABI również ulegnie przekształceniu.

Przepisy RODO dążą do wypracowania silnej pozycji Inspektora Ochrony Danych, co wiąże się przede wszystkim z przejęciem przez niego znacznego zakresu odpowiedzialności z zakresu przetwarzania danych osobowych w firmie.

Szczególnie zauważalne zmiany dotkną te podmioty, które dotychczas nie powoływały Administratora Bezpieczeństwa Informacji w swoich strukturach. Spełnienie wspomnianych wyżej przesłanek z art. 37 ust. 1 RODO sprawi, iż zaistnieje konieczność wyznaczenia Inspektora Ochrony Danych. Pamiętać należy o właściwym przygotowaniu swojej firmy lub organizacji do spełnienia powyższego, jak i pozostałych obowiązków, związanych z rozpoczęciem stosowania RODO.

Made with by Integree.eu