O nowych obowiązkach przypomina Generalny Inspektor Ochrony Danych Osobowych.

Wyznaczenie inspektora ochrony danych przez każdy organ lub podmiot publiczny przewiduje rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (ogólne rozporządzenie o ochronie danych - RODO) . Tylko sądy są z tego obowiązku zwolnione w zakresie sprawowania przez nie wymiaru sprawiedliwości (art. 37 ust. 1 pkt a RODO).

- RODO wprowadziło istotną zmianę. Wyznaczenie inspektora ochrony danych (obecnego ABI) w podmiotach sektora publicznego nie będzie, jak dotąd (na mocy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych) uprawnieniem, lecz stanie się obowiązkiem wszystkich organów i podmiotów publicznych - wskazuje GIODO.

Sądy też muszą wyznaczyć człowieka od danych

Które dokładnie organy i podmioty publiczne zobowiązane będą do wyznaczenia inspektora ochrony danych? Projekt nowej ustawy o ochronie danych osobowych w wersji z 3 marca 2018 r. przewiduje, że  chodzi o organy oraz podmioty publiczne wskazane w art. 9 ustawy z  27 sierpnia 2009 r. o finansach publicznych oraz instytuty badawcze w rozumieniu ustawy z   30 kwietnia 2010 r. o instytutach badawczych. Jeśli przepis w takim brzmieniu zostanie uchwalony, to obowiązek wyznaczenia inspektora ochrony danych, będą miały, m.in:

- organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały,

- jednostki samorządu terytorialnego oraz ich związki,

- samodzielne publiczne zakłady opieki zdrowotnej,

- uczelnie publiczne,

- inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego,

- instytuty badawcze w rozumieniu ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych.

- Przepis taki wyraźnie przesądzałby o obowiązku wyznaczenia inspektora ochrony danych również przez sądy i trybunały, przy czym w ich przypadku - ze względu na ochronę niezawisłości sędziowskiej - z zakresu kompetencji inspektora będą wyłączone operacje przetwarzania danych mieszczące się w czynnościach orzeczniczych tj. sprawowania wymiaru sprawiedliwości - informuje GIODO.

Wesprzeć inspektora

Obowiązkiem kierownictwa podmiotu publicznego jest zapewnienie odpowiedniego wsparcia inspektorowi ochrony danych. Zgodnie z art. 38 ust. 2 RODO, administrator wspiera inspektora ochrony danych w wypełnianiu przez niego zadań, zapewniając mu niezbędne do tego zasoby oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej. Ponadto do  obowiązków administratorów danych należy zapewnienie, aby inspektor ochrony danych:

- podlegał bezpośrednio najwyższemu kierownictwu podmiotu publicznego (art. 38 ust. 3 RODO),

- miał zapewniony udział we wszystkich zagadnieniach związanych z ochroną danych osobowych (art. 38 ust. 1 RODO),

- nie otrzymywał instrukcji dotyczących wykonywania zadań (art. 38 ust. 3 RODO),

- nie został odwołany lub ukarany za wypełnianie przez niego jego zadań (art. 38 ust. 3 RODO),

- nie otrzymywał innych zadań i obowiązków, jeśli mogłyby one spowodować konflikt interesów (art. 38 ust. 6 RODO).

Administrator lub podmiot przetwarzający powinni zatem wprowadzić wewnętrzne regulacje gwarantujące inspektorowi ochrony danych niezależność i skuteczność w wykonywaniu przez niego obowiązków i zadań. To ważne wyzwanie zwłaszcza dla podmiotów publicznych czy też podmiotów o złożonych strukturach, które będą musiały dostosować swoje regulaminy organizacyjne oraz statuty tak, aby ten cel osiągnąć.

GIODO podkreśla, że w ustawie o ochronie danych osobowych przyjęte zbliżone rozwiązanie ws.  nakładania na inspektora dodatkowych zadań, mogących spowodować konflikt interesów.

- Zgodnie z art. 36a ust. 4 u.o.d.o., administrator danych może powierzyć ABI inne zadania jedynie wówczas, gdy nie naruszy to prawidłowego wykonywania zadań ABI. Wymóg ten zobowiązuje administratora w każdej konkretnej sytuacji do starannego przeanalizowania, czy jakiekolwiek inne zadania funkcje, jakimi zamierzałby obarczyć ABI, nie utrudniłyby mu właściwego wykonywania jego ustawowych obowiązków. W tym zakresie brane muszą być pod uwagę rozmaite i liczne czynniki, np. ilość czasu potrzebnego na wykonywanie poszczególnych obowiązków, stopień skomplikowania i ważności zadań, rezerwa czasowa na nieplanowane zadania, ilość i rodzaj danych osobowych oraz procesów i systemów informatycznych służących do ich przetwarzania - wskazuje GIODO.

Zasadniczą rolą inspektorów ochrony danych będzie doradzanie i weryfikacja prawidłowości wykonywania obowiązków wynikających z przepisów prawa dotyczących przetwarzania danych osobowych.

- Rola ta nie oznacza przeniesienia na inspektora ochrony danych odpowiedzialności za zgodne z prawem przetwarzanie danych osobowych, ponieważ nadal to administrator danych będzie ponosił pełną odpowiedzialność za zgodne z prawem przetwarzanie danych osobowych. Dlatego w interesie kierownictwa każdego podmiotu publicznego jest mieć niezależnego, właściwie usytuowanego w strukturze organizacyjnej, inspektora ochrony danych, który będzie mógł efektywnie realizować swoje obowiązki - podkreśla GIODO.