Inspektor ochrony danych, czyli ABI po nowemu

27 kwietnia 2016 roku zostało przyjęte Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy nr 95/46/WE (dalej „RODO"). RODO formalnie weszło w życie 25 maja 2016 roku, natomiast przewidziane w nim regulacje zaczną obowiązywać od 25 maja 2018 roku.

RODO wprowadza m.in. instytucję tzw. inspektora ochrony danych (dalej: Inspektor). Co prawda funkcja ta, pod wskazaną nazwą, nie występuje w aktualnie obowiązującej ustawie o ochronie danych osobowych z 29 sierpnia 1997 roku (dalej: u.o.d.o.), natomiast nie jest ona całkowitą nowością. U.o.d.o. przewiduje już bowiem instytucję administratora bezpieczeństwa informacji (dalej: ABI), którego rola jest co do zasady zbliżona do zadań Inspektora i przede wszystkim sprowadza się do zapewnienia przestrzegania przez podmiot powołujący ABI przepisów dotyczących ochrony danych osobowych.

Obowiązkowe powołanie

Podstawową różnicą wynikającą z przepisów RODO, w porównaniu do aktualnych postanowień u.o.d.o., jest wprowadzenie przypadków obligatoryjnego powołania Inspektora, adresowanych do administratorów danych oraz podmiotów przetwarzających dane na ich zlecenie. Warto wskazać, że w myśl u.o.d.o. wyznaczenie ABI jest fakultatywne.

Obowiązek wyznaczenia Inspektora obciążał będzie przede wszystkim podmioty publiczne przetwarzające dane osobowe, za wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. RODO nie przewiduje przy tym definicji podmiotu publicznego, a zatem ewentualne doprecyzowanie tego pojęcia będzie należało do ustawodawców krajowych. Nie ulega wątpliwości, że za podmioty publiczne należy uznać przede wszystkim państwowe i samorządowe jednostki organizacyjne, w tym jednostki samorządu terytorialnego (np. gminy), które przetwarzają dane osobowe, jak również publiczne szkoły, przedszkola lub zakłady wodociągowe. W świetle Wytycznych Grupy Roboczej Art. 29 (niezależnego europejskiego organu doradczego w zakresie ochrony danych osobowych i prywatności) w sprawie inspektora ochrony danych, do kategorii podmiotów publicznych należy zakwalifikować również jednostki wykonujące zadania publiczne (np. w zakresie transportu ludności, dostawy energii itp.), niezależnie od ewentualnego zaliczenia takiego podmiotu do sektora publicznego lub prywatnego.

Ponadto, powołanie Inspektora będzie obligatoryjne w przypadku, gdy główna działalność administratora lub podmiotu przetwarzającego dane polega na takich operacjach przetwarzania, które – ze względu na charakter, zakres lub cele - wymagają regularnego i systematycznego monitorowania podmiotów danych, na dużą skalę. Zgodnie z przepisami RODO przesłanka „głównej działalności polegającej na operacjach przetwarzania" będzie spełniona w przypadku, gdy przetwarzanie danych osobowych oznacza zasadnicze, a nie poboczne czynności administratora lub podmiotu przetwarzającego. Przykładem podmiotu zobligowanego do powołania Inspektora w ramach tej przesłanki jest agencja ochrony monitorująca centra handlowe i przestrzeń publiczną i rejestrująca osoby odwiedzające te miejsca.

Kolejna kategoria podmiotów zobowiązanych do wyznaczenia Inspektora obejmuje administratorów danych (lub podmioty przetwarzające dane na ich zlecenie), których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych (tzw. danych wrażliwych), w tym danych osobowych dotyczących wyroków skazujących i naruszeń prawa. Zobligowani do powołania Inspektora na tej podstawie będą zatem w szczególności ubezpieczyciele (jako podmioty przetwarzające dane wrażliwe, w tym dotyczące zdrowia) oraz zakłady karne (przetwarzające dane o wyrokach skazujących i naruszeniach prawa). RODO zawiera jednocześnie istotną wskazówkę interpretacyjną w zakresie pojęcia „dużej skali", wyłączając spod tego terminu przetwarzanie danych osobowych dotyczących pacjentów lub klientów, dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.

Jakie miejsce i zadania

Tak jak dotychczas, nie będzie przeszkód, aby powołać Inspektora spoza grona pracowników danego podmiotu (na zasadzie outsourcingu tej funkcji), co implikuje możliwość pełnienia funkcji Inspektora przez jedną osobę dla kilku podmiotów. Dopuszczalne wydaje się również wyznaczenie kilku pracowników konkretnego administratora lub podmiotu przetwarzającego (zespołu) do wspólnego wykonywania funkcji Inspektora, pod warunkiem powołania jednej osoby pełniącej wiodącą rolę w tym zakresie (działającego np. pod nazwą kierownika zespołu ochrony danych).

Zamiarem ustawodawcy wspólnotowego jest jednocześnie przyznanie Inspektorowi istotnej rangi w ramach reprezentowanego podmiotu. Inspektor ma być włączany we wszystkie sprawy w organizacji, dotyczące przetwarzania danych osobowych. Do podstawowych obowiązków Inspektora będzie należało informowanie administratora/podmiotu przetwarzającego oraz ich pracowników o ich obowiązkach wynikających z RODO. Inspektor będzie również zobligowany do przeprowadzania szkoleń personelu, dotyczących kwestii ochrony danych osobowych oraz wykonywania audytu ochrony danych w organizacji. Rolą Inspektora będzie też współpraca z organem nadzorczym (generalnym inspektorem ochrony danych osobowych – GIODO) oraz pełnienie funkcji punktu kontaktowego dla GIODO w kwestiach związanych z przetwarzaniem danych osobowych (np. w przypadku wszczętej przez GIODO kontroli przetwarzania danych osobowych przez dany podmiot). Z kolei administrator (lub podmiot przetwarzający) powinien zapewnić Inspektorowi zasoby konieczne do wykonywania jego zadań (w szczególności dostęp do systemów przetwarzania danych).

Obowiązek publikacji

Podkreślenia wymaga przy tym, że RODO nakłada na administratorów lub podmioty przetwarzające obowiązek publikacji danych Inspektora oraz powiadomienia o nich GIODO. W tym kontekście wyłoniły się wątpliwości, jaki zakres danych Inspektora podlega obowiązkowi wskazanej publikacji. Wątpliwości te rozwiewają Wytyczne Grupy Roboczej Art. 29 w sprawie inspektora ochrony danych, w świetle których podawane dane kontaktowe Inspektora powinny obejmować informacje umożliwiające zarówno podmiotom danych jak i GIODO kontakt z Inspektorem w prosty i poufny sposób (bez konieczności kontaktowania się z innymi departamentami organizacji). W ocenie Grupy Roboczej art. 29 publikacji powinny podlegać zatem co najmniej bezpośredni numer telefonu do Inspektora, adres służbowy oraz bezpośredni adres poczty elektronicznej, natomiast ewentualne wskazanie imienia i nazwiska Inspektora nie jest bezwzględnie konieczne i należy do decyzji administratorów lub podmiotów przetwarzających.

Jakie wymogi trzeba stosować

Tak jak aktualny ABI, Inspektor powinien wyróżniać się wiedzą fachową w zakresie ochrony danych osobowych. Dodatkowo, RODO wprowadza gwarancje niezależności Inspektora, obejmujące przede wszystkim nakaz jego podlegania wyłącznie najwyższemu kierownictwu danego podmiotu. Niezależność Inspektora ma zapewniać również zakaz wydawania mu instrukcji, co do sposobu wykonywania jego obowiązków (niedopuszczalne będzie zatem np. zlecenie Inspektorowi, przez zarząd administratora, przygotowania raportu z audytu ochrony danych o określonej z góry treści). RODO przewiduje ponadto zakaz odwoływania lub karania Inspektora za wykonywanie jego zadań. Oznacza to w szczególności, że administratorzy lub podmioty przetwarzające nie będą mogły pozbawić Inspektora jego funkcji za negatywny wynik audytu ochrony danych osobowych. Wskazane powyżej gwarancje, przewidziane w przepisach RODO, powinny umożliwić Inspektorowi sprawne i niezakłócone sprawowanie jego funkcji

Przejściowe rozwiązania

Mając na uwadze, że Inspektora można co do zasady uznać za odpowiednik aktualnego ABI, należy spodziewać się, że osoby pełniące dotychczas funkcje ABI zostaną również powołane do pełnienia funkcji Inspektorów na gruncie RODO. Do ustawodawcy krajowego będzie należało uchwalenie w najbliższym czasie ewentualnych przepisów przejściowych w tym zakresie. Zasadne wydaje się w szczególności przesądzenie, że z dniem rozpoczęcia stosowania RODO (25 maja 2018 roku) dotychczasowi ABI stają się Inspektorami na gruncie RODO, z jednoczesną możliwością złożenia przez administratorów lub przetwarzających oświadczenia, że w ich jednostce Inspektor nie zostanie powołany.