Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Firma

Inspektor ochrony danych, czyli ABI po nowemu

123RF
Administratorzy powinni już teraz przeprowadzić analizy i przeglšdy, które będš miały na celu stwierdzenie ewentualnego obowišzku powołania Inspektora oraz ustalenie, jakie jego działania wydajš się konieczne, aby dostosować zadania, uprawnienia i miejsca w strukturze firmy do wymogów nowych przepisów unijnych.

27 kwietnia 2016 roku zostało przyjęte Rozporzšdzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 w sprawie ochrony osób fizycznych w zwišzku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy nr 95/46/WE (dalej „RODO"). RODO formalnie weszło w życie 25 maja 2016 roku, natomiast przewidziane w nim regulacje zacznš obowišzywać od 25 maja 2018 roku.

RODO wprowadza m.in. instytucję tzw. inspektora ochrony danych (dalej: Inspektor). Co prawda funkcja ta, pod wskazanš nazwš, nie występuje w aktualnie obowišzujšcej ustawie o ochronie danych osobowych z 29 sierpnia 1997 roku (dalej: u.o.d.o.), natomiast nie jest ona całkowitš nowoœciš. U.o.d.o. przewiduje już bowiem instytucję administratora bezpieczeństwa informacji (dalej: ABI), którego rola jest co do zasady zbliżona do zadań Inspektora i przede wszystkim sprowadza się do zapewnienia przestrzegania przez podmiot powołujšcy ABI przepisów dotyczšcych ochrony danych osobowych.

Obowišzkowe powołanie

Podstawowš różnicš wynikajšcš z przepisów RODO, w porównaniu do aktualnych postanowień u.o.d.o., jest wprowadzenie przypadków obligatoryjnego powołania Inspektora, adresowanych do administratorów danych oraz podmiotów przetwarzajšcych dane na ich zlecenie. Warto wskazać, że w myœl u.o.d.o. wyznaczenie ABI jest fakultatywne.

Obowišzek wyznaczenia Inspektora obcišżał będzie przede wszystkim podmioty publiczne przetwarzajšce dane osobowe, za wyjštkiem sšdów w zakresie sprawowania przez nie wymiaru sprawiedliwoœci. RODO nie przewiduje przy tym definicji podmiotu publicznego, a zatem ewentualne doprecyzowanie tego pojęcia będzie należało do ustawodawców krajowych. Nie ulega wštpliwoœci, że za podmioty publiczne należy uznać przede wszystkim państwowe i samorzšdowe jednostki organizacyjne, w tym jednostki samorzšdu terytorialnego (np. gminy), które przetwarzajš dane osobowe, jak również publiczne szkoły, przedszkola lub zakłady wodocišgowe. W œwietle Wytycznych Grupy Roboczej Art. 29 (niezależnego europejskiego organu doradczego w zakresie ochrony danych osobowych i prywatnoœci) w sprawie inspektora ochrony danych, do kategorii podmiotów publicznych należy zakwalifikować również jednostki wykonujšce zadania publiczne (np. w zakresie transportu ludnoœci, dostawy energii itp.), niezależnie od ewentualnego zaliczenia takiego podmiotu do sektora publicznego lub prywatnego.

Ponadto, powołanie Inspektora będzie obligatoryjne w przypadku, gdy główna działalnoœć administratora lub podmiotu przetwarzajšcego dane polega na takich operacjach przetwarzania, które – ze względu na charakter, zakres lub cele - wymagajš regularnego i systematycznego monitorowania podmiotów danych, na dużš skalę. Zgodnie z przepisami RODO przesłanka „głównej działalnoœci polegajšcej na operacjach przetwarzania" będzie spełniona w przypadku, gdy przetwarzanie danych osobowych oznacza zasadnicze, a nie poboczne czynnoœci administratora lub podmiotu przetwarzajšcego. Przykładem podmiotu zobligowanego do powołania Inspektora w ramach tej przesłanki jest agencja ochrony monitorujšca centra handlowe i przestrzeń publicznš i rejestrujšca osoby odwiedzajšce te miejsca.

Kolejna kategoria podmiotów zobowišzanych do wyznaczenia Inspektora obejmuje administratorów danych (lub podmioty przetwarzajšce dane na ich zlecenie), których główna działalnoœć polega na przetwarzaniu na dużš skalę szczególnych kategorii danych (tzw. danych wrażliwych), w tym danych osobowych dotyczšcych wyroków skazujšcych i naruszeń prawa. Zobligowani do powołania Inspektora na tej podstawie będš zatem w szczególnoœci ubezpieczyciele (jako podmioty przetwarzajšce dane wrażliwe, w tym dotyczšce zdrowia) oraz zakłady karne (przetwarzajšce dane o wyrokach skazujšcych i naruszeniach prawa). RODO zawiera jednoczeœnie istotnš wskazówkę interpretacyjnš w zakresie pojęcia „dużej skali", wyłšczajšc spod tego terminu przetwarzanie danych osobowych dotyczšcych pacjentów lub klientów, dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.

Jakie miejsce i zadania

Tak jak dotychczas, nie będzie przeszkód, aby powołać Inspektora spoza grona pracowników danego podmiotu (na zasadzie outsourcingu tej funkcji), co implikuje możliwoœć pełnienia funkcji Inspektora przez jednš osobę dla kilku podmiotów. Dopuszczalne wydaje się również wyznaczenie kilku pracowników konkretnego administratora lub podmiotu przetwarzajšcego (zespołu) do wspólnego wykonywania funkcji Inspektora, pod warunkiem powołania jednej osoby pełnišcej wiodšcš rolę w tym zakresie (działajšcego np. pod nazwš kierownika zespołu ochrony danych).

Zamiarem ustawodawcy wspólnotowego jest jednoczeœnie przyznanie Inspektorowi istotnej rangi w ramach reprezentowanego podmiotu. Inspektor ma być włšczany we wszystkie sprawy w organizacji, dotyczšce przetwarzania danych osobowych. Do podstawowych obowišzków Inspektora będzie należało informowanie administratora/podmiotu przetwarzajšcego oraz ich pracowników o ich obowišzkach wynikajšcych z RODO. Inspektor będzie również zobligowany do przeprowadzania szkoleń personelu, dotyczšcych kwestii ochrony danych osobowych oraz wykonywania audytu ochrony danych w organizacji. Rolš Inspektora będzie też współpraca z organem nadzorczym (generalnym inspektorem ochrony danych osobowych – GIODO) oraz pełnienie funkcji punktu kontaktowego dla GIODO w kwestiach zwišzanych z przetwarzaniem danych osobowych (np. w przypadku wszczętej przez GIODO kontroli przetwarzania danych osobowych przez dany podmiot). Z kolei administrator (lub podmiot przetwarzajšcy) powinien zapewnić Inspektorowi zasoby konieczne do wykonywania jego zadań (w szczególnoœci dostęp do systemów przetwarzania danych).

Obowišzek publikacji

Podkreœlenia wymaga przy tym, że RODO nakłada na administratorów lub podmioty przetwarzajšce obowišzek publikacji danych Inspektora oraz powiadomienia o nich GIODO. W tym kontekœcie wyłoniły się wštpliwoœci, jaki zakres danych Inspektora podlega obowišzkowi wskazanej publikacji. Wštpliwoœci te rozwiewajš Wytyczne Grupy Roboczej Art. 29 w sprawie inspektora ochrony danych, w œwietle których podawane dane kontaktowe Inspektora powinny obejmować informacje umożliwiajšce zarówno podmiotom danych jak i GIODO kontakt z Inspektorem w prosty i poufny sposób (bez koniecznoœci kontaktowania się z innymi departamentami organizacji). W ocenie Grupy Roboczej art. 29 publikacji powinny podlegać zatem co najmniej bezpoœredni numer telefonu do Inspektora, adres służbowy oraz bezpoœredni adres poczty elektronicznej, natomiast ewentualne wskazanie imienia i nazwiska Inspektora nie jest bezwzględnie konieczne i należy do decyzji administratorów lub podmiotów przetwarzajšcych.

Jakie wymogi trzeba stosować

Tak jak aktualny ABI, Inspektor powinien wyróżniać się wiedzš fachowš w zakresie ochrony danych osobowych. Dodatkowo, RODO wprowadza gwarancje niezależnoœci Inspektora, obejmujšce przede wszystkim nakaz jego podlegania wyłšcznie najwyższemu kierownictwu danego podmiotu. Niezależnoœć Inspektora ma zapewniać również zakaz wydawania mu instrukcji, co do sposobu wykonywania jego obowišzków (niedopuszczalne będzie zatem np. zlecenie Inspektorowi, przez zarzšd administratora, przygotowania raportu z audytu ochrony danych o okreœlonej z góry treœci). RODO przewiduje ponadto zakaz odwoływania lub karania Inspektora za wykonywanie jego zadań. Oznacza to w szczególnoœci, że administratorzy lub podmioty przetwarzajšce nie będš mogły pozbawić Inspektora jego funkcji za negatywny wynik audytu ochrony danych osobowych. Wskazane powyżej gwarancje, przewidziane w przepisach RODO, powinny umożliwić Inspektorowi sprawne i niezakłócone sprawowanie jego funkcji

Przejœciowe rozwišzania

Majšc na uwadze, że Inspektora można co do zasady uznać za odpowiednik aktualnego ABI, należy spodziewać się, że osoby pełnišce dotychczas funkcje ABI zostanš również powołane do pełnienia funkcji Inspektorów na gruncie RODO. Do ustawodawcy krajowego będzie należało uchwalenie w najbliższym czasie ewentualnych przepisów przejœciowych w tym zakresie. Zasadne wydaje się w szczególnoœci przesšdzenie, że z dniem rozpoczęcia stosowania RODO (25 maja 2018 roku) dotychczasowi ABI stajš się Inspektorami na gruncie RODO, z jednoczesnš możliwoœciš złożenia przez administratorów lub przetwarzajšcych oœwiadczenia, że w ich jednostce Inspektor nie zostanie powołany.

Zdaniem autorki

Sankcje za nieprzestrzeganie przepisów - Magdalena Bęza, radca prawny w kancelarii D. Dobkowski sp.k., stowarzyszonej z KPMG w Polsce

Podkreœlenia wymaga, że naruszenie wymogów dotyczšcych wyznaczenia Inspektora i zapewnienia mu odpowiednich zasobów oraz gwarancji niezależnoœci wišże się z ryzykiem nałożenia przez GIODO, na administratora lub podmiot przetwarzajšcy dane na zlecenie, wysokich kar pieniężnych, które mogš sięgać kwoty 10 mln euro lub – w przypadku przedsiębiorstw – 2 proc. rocznego œwiatowego obrotu osišgniętego w poprzedzajšcym roku obrotowym (przy czym do przedsiębiorstw zastosowanie będzie miała wyższa z tych kwot). Sankcje mogš zatem w szczególnoœci objšć przedsiębiorcę, który nie powoła Inspektora pomimo iż zgodnie z RODO jest do tego zobowišzany (np. ubezpieczyciel przetwarzajšcy w dużej liczbie dane osobowe dotyczšce zdrowia).

W zwišzku z tym, konieczne wydaje się jak najszybsze przeprowadzenie przez administratorów oraz podmioty przetwarzajšce, analiz i przeglšdów majšcych na celu stwierdzenie ewentualnego obowišzku powołania Inspektora oraz ustalenie, jakie działania dotyczšce Inspektora będš konieczne w celu dostosowania jego zadań, uprawnień i miejsca w strukturze organizacyjnej do wymogów wynikajšcych z przepisów RODO. Nie ulega wštpliwoœci, że takie działania pozwolš zminimalizować lub co najmniej ograniczyć ryzyko poniesienia wysokich kar wprowadzonych na mocy RODO.

ródło: Rzeczpospolita

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL