Ogólne rozporządzenie o ochronie danych osobowych (dalej jako: RODO), które zaczęło obowiązywać w maju, już od dłuższego czasu wywoływało wiele obaw w związku z nadchodzącymi zmianami. Choć część zasad dotyczących ochrony danych można było znaleźć jeszcze w poprzednio obowiązującej ustawie o ochronie danych osobowych, to pojawiły się również nowości. Jedną z nich jest wprowadzenie instytucji inspektora ochrony danych.
Kiedy obowiązkowo?
Ustawa o ochronie danych osobowych z 1997 roku (Dz.U. 1997 Nr 133, poz. 883 z późn. zm.) przewidywała opcję powołania administratora bezpieczeństwa informacji, zatem sam fakt możliwości pełnienia funkcji, która polega na monitorowaniu, czy dane osobowe przetwarzane są zgodnie z prawem nie jest dla polskich przepisów czymś szczególnie nowym. Jednakże powołanie administratora bezpieczeństwa informacji przez podmiot będący administratorem danych nie było obowiązkowe.
RODO z kolei przewiduje sytuacje, kiedy powołanie inspektora ochrony danych jest obligatoryjne (art. 37 ust. 1). Ma to miejsce, gdy dane przetwarza organ lub podmiot publiczny; gdy główna działalność administratora danych lub podmiotu przetwarzającego polega na operacjach przetwarzania które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; oraz gdy główna działalność administratora danych lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (tak zwane dane wrażliwe), lub danych osobowych dotyczących wyroków skazujących bądź czynów zabronionych.
Ponadto inspektor może zostać powołany także wtedy, kiedy nie ma takiego obowiązku. Nie ulega wątpliwości, że w przypadkach wielu podmiotów dobrowolne powołanie inspektora ochrony danych może się okazać prawidłowym i korzystnym ruchem, do czego również zachęca Grupa Robocza Art. 29 – niezależny organ doradczy powołany na mocy Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, którego celem jest działanie na rzecz ochrony praw i wolności osób fizycznych w związku z przepisami o ochronie danych osobowych.
Przepisy przejściowe w „nowej” ustawie o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz.U. z 2018 r. poz. 1000) zakładają, że ten kto pełnił funkcję administratora bezpieczeństwa informacji w dniu 24 maja 2018 roku, dzień później (w dniu wejścia w życie ustawy) z mocy prawa staje się inspektorem ochrony danych i pełni tę funkcję aż do 1 września 2018 r.. Jeżeli administrator danych powiadomi organ nadzorczy o ponownym wyborze tej osoby, wtedy nadal jest ona inspektorem, gdy wybierze inną osobę przed czasem to następuje zmiana na stanowisku inspektora, a jeśli odwoła inspektora a nie powiadomi o tym organu nadzorczego, wtedy w danym podmiocie inspektor nie będzie funkcjonować w ogóle. Z kolei jeżeli nie był powołany administrator bezpieczeństwa informacji, a przepisy nakładają obowiązek powołania inspektora ochrony danych, wtedy obowiązane podmioty mają na to czas do 31 lipca 2018 r.. O powołaniu inspektora należy zawiadomić Prezesa Urzędu Ochrony Danych Osobowych w ciągu 14 dni od momentu wyznaczenia. Zawiadomienie sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.
Kim jest inspektor ochrony danych?
Ogólne rozporządzenie o ochronie danych osobowych nie wskazuje w klarowny sposób kryteriów zawodowych, które spełniać musi dana osoba, aby móc piastować funkcję inspektora. To do administratora i podmiotu przetwarzającego dane należy obowiązek zdecydowania jakiej konkretnie wiedzy czy umiejętności wymagać będzie od inspektora, którego powoła.
Przyjmuje się jednak, iż powinna być to osoba posiadająca dużą wiedzę dotyczącą przepisów oraz praktyk w zakresie ochrony danych osobowych. Rolę inspektora może pełnić osoba będąca częścią personelu, jak również administrator danych bądź podmiot przetwarzający dane mogą zdecydować się na outsourcing. Istotnym jest, by inspektorzy ochrony danych byli w stanie działać w sposób niezawisły niezależnie od tego, czy są pracownikami administratora lub podmiotu przetwarzającego czy też nie. Wzmocnieniem niezależności jest również przepis stanowiący, iż Inspektor ochrony danych nie może być odwołany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań (art. 38 ust. 3 RODO).
Inspektor powinien być w stanie realizować zarówno przepisy RODO jak i krajowe z zakresu ochrony danych osobowych. Aby tego dokonać, wyjątkowo przydatna będzie wiedza dotycząca sposobów przetwarzania danych u danego podmiotu oraz znajomość systemów bezpieczeństwa, których dany podmiot używa. Kluczowe w tej kwestii może okazać się jak najwcześniejsze zaangażowanie inspektora we wszystkie kwestie dotyczące ochrony danych tak, aby mógł wykonywać swoje obowiązki już w fazie projektowania systemów i procedur. Nie ulega również wątpliwości, że znajomość branży, w której działalność prowadzi podmiot bądź organ, który powołał inspektora będzie dodatkowym atutem.
Zadania inspektora
Podstawowym zadaniem inspektora ochrony danych jest monitorowanie przestrzegania przepisów RODO. Powinno to polegać między innymi na identyfikacji procesów przetwarzania danych, sprawdzaniu zgodności przetwarzania z prawem oraz na pomaganiu administratorowi bądź podmiotowi przetwarzającemu poprzez rekomendowanie konkretnych działań.
Ponadto inspektor powinien informować administratora lub podmiot przetwarzający oraz innych pracowników o ciążących na nich obowiązkach związanych z przetwarzaniem danych osobowych jak również regularnie szkolić personel mający do czynienia z operacjami przetwarzania danych oraz przeprowadzać audyty w miejscu, gdzie został powołany.
Jeżeli administrator danych obowiązany jest do dokonania oceny skutków planowanych operacji przetwarzania, wtedy na jego żądanie inspektor powinien udzielić zaleceń co do oceny skutków takiego przetwarzania. Inspektor ochrony danych powinien również wspierać administratora, bądź podmiot przetwarzający we wdrażaniu odpowiednich środków technicznych i organizacyjnych koniecznych do tego, by skutecznie chronić dane osobowe.
Istotna jest również kwestia dotycząca tego, by administrator danych bądź podmiot przetwarzający dane zapewnili, by wykonywanie przez inspektora jego zadań i obowiązków nie powodowało konfliktu interesów. Co do zasady można przyjąć, iż powodować konflikt interesów mogą stanowiska kierownicze, gdyż mogą łączyć się z określaniem celów i sposobów przetwarzania danych, wobec czego przydatne może okazać się stworzenie wykazu stanowisk niekompatybilnych z funkcją inspektora.
Inspektor ochrony danych pełni jeszcze jedną, wyjątkowo istotną funkcję. Jest punktem kontaktowym w sprawach dotyczących ochrony danych osobowych. Powinien odpowiadać zarówno za komunikację z organem nadzorczym, jak i z osobami, których dane dotyczą. Dostęp do inspektora powinien być prosty, a numer kontaktowy czy też adres mailowy wskazany klarownie, aby odszukanie danych do kontaktu nie stanowiło problemu.
Powoływać czy nie powoływać?
Instytucja inspektora ochrony danych być może przypomina nieco dawnego administratora bezpieczeństwa informacji. Należy pochwalić wskazanie przypadków, gdzie powołanie inspektora jest obligatoryjne. Niezależnie jednak od tego, czy dany podmiot ma taki obowiązek, wydaje się, że funkcjonowanie inspektora w strukturach danego podmiotu zawsze jest korzystne. Z jednej strony wykwalifikowany fachowiec dopilnuje, aby przetwarzanie danych osobowych przebiegało zgodnie z przepisami i zagwarantuje odpowiedni poziom merytoryczny podczas szkoleń personelu, podczas gdy z drugiej strony współpraca z podmiotem posiadającym inspektora pozwala być spokojniejszym o swoje prawa. Na płaszczyźnie wizerunkowej można zyskać naprawdę dużo pokazując, że posiada się inspektora, gdy nie ma takiego obowiązku.
Autorzy:
młodszy prawnik Radosław Kowalski
radca prawny Anna Rajchel
Newsy HR