27 kwietnia 2016 roku zostało przyjęte Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy nr 95/46/WE (dalej „RODO"). RODO formalnie weszło w życie 25 maja 2016 roku, natomiast przewidziane w nim regulacje zaczną obowiązywać od 25 maja 2018 roku.
RODO wprowadza m.in. instytucję tzw. inspektora ochrony danych (dalej: Inspektor). Co prawda funkcja ta, pod wskazaną nazwą, nie występuje w aktualnie obowiązującej ustawie o ochronie danych osobowych z 29 sierpnia 1997 roku (dalej: u.o.d.o.), natomiast nie jest ona całkowitą nowością. U.o.d.o. przewiduje już bowiem instytucję administratora bezpieczeństwa informacji (dalej: ABI), którego rola jest co do zasady zbliżona do zadań Inspektora i przede wszystkim sprowadza się do zapewnienia przestrzegania przez podmiot powołujący ABI przepisów dotyczących ochrony danych osobowych.
Obowiązkowe powołanie
Podstawową różnicą wynikającą z przepisów RODO, w porównaniu do aktualnych postanowień u.o.d.o., jest wprowadzenie przypadków obligatoryjnego powołania Inspektora, adresowanych do administratorów danych oraz podmiotów przetwarzających dane na ich zlecenie. Warto wskazać, że w myśl u.o.d.o. wyznaczenie ABI jest fakultatywne.
Obowiązek wyznaczenia Inspektora obciążał będzie przede wszystkim podmioty publiczne przetwarzające dane osobowe, za wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. RODO nie przewiduje przy tym definicji podmiotu publicznego, a zatem ewentualne doprecyzowanie tego pojęcia będzie należało do ustawodawców krajowych. Nie ulega wątpliwości, że za podmioty publiczne należy uznać przede wszystkim państwowe i samorządowe jednostki organizacyjne, w tym jednostki samorządu terytorialnego (np. gminy), które przetwarzają dane osobowe, jak również publiczne szkoły, przedszkola lub zakłady wodociągowe. W świetle Wytycznych Grupy Roboczej Art. 29 (niezależnego europejskiego organu doradczego w zakresie ochrony danych osobowych i prywatności) w sprawie inspektora ochrony danych, do kategorii podmiotów publicznych należy zakwalifikować również jednostki wykonujące zadania publiczne (np. w zakresie transportu ludności, dostawy energii itp.), niezależnie od ewentualnego zaliczenia takiego podmiotu do sektora publicznego lub prywatnego.
Ponadto, powołanie Inspektora będzie obligatoryjne w przypadku, gdy główna działalność administratora lub podmiotu przetwarzającego dane polega na takich operacjach przetwarzania, które – ze względu na charakter, zakres lub cele - wymagają regularnego i systematycznego monitorowania podmiotów danych, na dużą skalę. Zgodnie z przepisami RODO przesłanka „głównej działalności polegającej na operacjach przetwarzania" będzie spełniona w przypadku, gdy przetwarzanie danych osobowych oznacza zasadnicze, a nie poboczne czynności administratora lub podmiotu przetwarzającego. Przykładem podmiotu zobligowanego do powołania Inspektora w ramach tej przesłanki jest agencja ochrony monitorująca centra handlowe i przestrzeń publiczną i rejestrująca osoby odwiedzające te miejsca.