Inspektor ochrony danych osobowych i administrator bezpieczeństwa informacji - kiedy wystarczy jeden z nich

Inspektor ochrony danych osobowych (dalej: IOD) pełnić ma kluczową rolę w nowym systemie ochrony, stworzonym przez unijne Ogólne Rozporządzenie w sprawie Danych Osobowych (dalej RODO: wejdzie w życie 25 maja 2018 r.). Wprawdzie instytucja podmiotu stojącego na straży przestrzegania danych wewnątrz organizacji nie jest obca polskiemu porządkowi – na mocy ustawy o ochronie danych osobowych z 29 sierpnia 1997 r. funkcjonuje administrator bezpieczeństwa informacji (ABI), niemniej jednak poszczególne kwestie związane z powołaniem, statusem i zadaniami IOD różnią się od obowiązujących regulacji.

Jakie różnice

Powołanie IOD jest obligatoryjne we wskazanych w RODO przypadkach, podczas gdy powołanie ABI ma zawsze charakter fakultatywny. I tak obowiązek nominowania IOD powstanie gdy:

- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości, przy czym Grupa Robocza Artykułu 29 ds. Ochrony Danych („Grupa art. 29") wskazuje, że dobrą praktyką byłoby powoływanie inspektora także przez podmioty prywatne, które prowadzą działalność z zakresu zadań publicznych tj. transport publiczny, dostawa wody, energii, czy infrastruktura drogowa;

- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę;

- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, czyli danych wrażliwych oraz danych dotyczących wyroków skazujących i naruszeń prawa.

Wskazane przesłanki zawierają kilka pojęć nieostrych, które wymagają doprecyzowania.

- Główna działalność, zgodnie z preambułą RODO oznacza zasadnicze, a nie poboczne czynności. Grupa art. 29 podkreśla, że przetwarzanie danych będzie uznane za główną działalność także, gdy jest ono nieodłączną częścią działalności np. przetwarzanie danych przez szpital.

- Zaklasyfikowanie działalności jako przetwarzania na dużą skalę będzie podlegać indywidualnej ocenie. W celu ułatwienia jej przeprowadzenia, Grupa art. 29 rekomenduje, by uwzględniać takie czynniki jak: liczba osób, których dane są przetwarzane, rozmiar i różnorodność przetwarzanych danych, czas trwania, sposób, czy zakres terytorialny przetwarzania.

- Zgodnie ze wskazówkami Grupy art. 29, regularne i systematyczne monitorowanie może oznaczać powtarzające się czynności, które są zaplanowane lub przewidziane przez system.

Jeśli podmiot uznaje, że nie ma obowiązku powołania inspektora, Grupa art. 29 zaleca sporządzenie dokumentacji, która wskazuje na brak takiego obowiązku. Dzięki temu, w razie wątpliwości, możliwe będzie zweryfikowanie, czy administrator lub podmiot przetwarzający dane uwzględnił istotne czynniki podczas oceny. Zachęca się administratorów do powołania inspektora także, gdy nie jest to obligatoryjne. Fkultatywnie powołany inspektor będzie musiał spełniać wszystkie wymagania nałożone przez RODO.

Jeden dla grupy

Powołanie jednego inspektora ochrony danych przez grupę przedsiębiorców jest możliwe pod warunkiem zapewnienia łatwego kontaktu z inspektorem każdej jednostce organizacyjnej. W konsekwencji – powołanie jednego inspektora dla kilku podmiotów nie może powodować zakłóceń w wykonywaniu zadań, w tym komunikowania się z podmiotami, których dane są przetwarzane oraz z właściwymi organami. Dlatego należy zapewnić, że dane kontaktowe inspektora są dostępne zgodnie z wymogami RODO oraz, że komunikacja nie będzie zakłócona z powodu barier językowych.

Jakie kwalifikacje

Zgodnie z aktualnym stanem prawnym na stanowisko ABI można powołać osobę niekaraną za przestępstwa umyślne, o pełnej zdolności do czynności prawnych, posiadającą wiedzę w zakresie ochrony danych. Przepisy RODO kładą większy nacisk na wymóg dotyczący kwalifikacji profesjonalnych i personalnych. IOD ma być wyznaczany na podstawie kwalifikacji zawodowych, w szczególności wiedzy na temat prawa i praktyk w dziedzinie ochrony danych. Inspektor powinien także dysponować dogłębną wiedzą o organizacji. Konieczna będzie także znajomość technologii oraz stosowanych przez organizację rozwiązań informatycznych. Grupa art. 29 wskazuje, że poziom kwalifikacji będzie musiał być dostosowany do skali przetwarzania danych z uwzględnieniem przenoszenia danych poza granice Unii.

Jaki status

RODO wskazuje, że na stanowisko IOD można wyznaczyć członka personelu administratora lub podmiotu przetwarzającego, a także osobę z zewnątrz organizacji pełniącą funkcję inspektora na podstawie umowy o świadczenie usług. Niezależnie od tego, kto będzie pełnił rolę inspektora – pracownik czy podmiot zewnętrzny – należy zapewnić, jego niezależność. Aby tak było:

- inspektor musi podlegać bezpośrednio wyłącznie najwyższemu kierownictwu administratora lub podmiotu przetwarzającego;

- administrator oraz podmiot przetwarzający zapewniają, by IOD nie otrzymywał instrukcji dotyczących wykonywania swoich zadań,

- inspektor nie może być karany ani odwołany przez administratora lub przetwarzającego dane za wypełnianie swoich zadań,

- należy zapewnić, aby wykonywane przez IOD zadania nie powodowały konfliktu interesów.

RODO wzmocni pozycję i niezależność inspektorów. Niemniej jednak ogólne założenia dotyczące działalności IOD w porównaniu do ABI nie ulegną zmianie.

Zdaniem eksperta

Katarzyna Sawicka, prawnik Deloitte Legal

Agata Jankowska-Galińska, radca prawny Deloitte Legal

Ile zadań

IOD powinien być włączany we wszystkie sprawy dotyczące ochrony danych. Do jego zadań należy informowanie administratora, podmiotu przetwarzającego dane oraz pracowników o obowiązkach związanych z ochroną danych. Dodatkowo inspektor będzie odpowiedzialny za monitorowanie przestrzegania przepisów RODO, co będzie polegało m.in. na identyfikacji czynności przetwarzania danych, analizowaniu ich pod kątem zgodności z prawem oraz sporządzaniu rekomendacji. Zadaniem inspektora będzie też współpraca z organami nadzoru.

RODO rozszerza zakres zadań powierzonych inspektorowi, który będzie miał obowiązki związane z oceną skutków dla ochrony danych (tzw. privacy impact assesment), a także będzie pełnił rolę punktu kontaktowego dla osób, których dane są przetwarzane. W tym celu, w momencie pozyskiwania danych, administrator powinien informować o danych kontaktowych inspektora.