Do wejścia w życie nowego europejskiego rozporządzenia w sprawie ochrony danych osobowych (Rozporządzenie lub RODO) pozostało już nieco ponad pół roku. Stosowane bezpośrednio w każdym kraju Unii Europejskiej od 25 maja 2018 roku, nowe Rozporządzenie wprowadzi duże zmiany również w polskim systemie ochrony danych osobowych, zastępując obecnie obowiązujące przepisy w tym zakresie. Wprowadzone przez RODO nowe rozwiązania wpłyną na pozycję i zakres obowiązków realizowanych przez przez administratorów bezpieczeństwa informacji (ABI), którzy w Rozporządzeniu określani są jako inspektorowie ochrony danych (IOD).
Nowe podejście do ochrony danych, oparte na zasadzie rozliczalności i konieczności uwzględniania ryzyka przetwarzania dla praw i wolności osób, będzie wymagało aktywnego wsparcia administratorów danych osobowych (ADO) przez osoby cechujące się wiedzą i doświadczeniem w obszarze ochrony danych osobowych. Z tego względu obecna pozycja ABI ulegnie wzmocnieniu, a funkcjonująca już obecnie zasada jego niezależności będzie zapewniona przez konkretne instrumenty. Istotną zmianą będzie również wprowadzenie obowiązku powołania IOD w określonych przypadkach, doprecyzowanie wymagań jakie powinny spełniać osoby pełniące tę funkcję, a także zmiany w zakresie zadań wykonywanych przez obecnych ABI.
Kiedy powołanie inspektora obowiązkowe
Obecnie przepisy nie zobowiązują administratorów danych do powoływania ABI. Rozporządzenie przewiduje zasadniczą zmianę w tym zakresie oraz formułuje obowiązek powołania IOD w przypadkach, gdy:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Ponadto oprócz administratora danych, również podmiot przetwarzający dane w jego imieniu będzie mógł powołać IOD. Nowością będzie również możliwość powołania jednego inspektora przez grupę przedsiębiorców (np. grupę kapitałową), lub przez klika organów lub podmiotów publicznych (np. związek gmin). W przypadku takiego rozwiązania konieczne będzie zapewnienie dostępności IOD w takim samym zakresie dla każdego z administratorów, jego pracowników, a także osób, których dane są przetwarzane. RODO przewiduje także możliwość powołania jednego IOD przez zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających, dając IOD uprawnienie do reprezentowania takich podmiotów.
Jakie wymogi dla inspektora
Istotną zmianą wprowadzoną przez nowe przepisy będzie możliwość wykonywania funkcji IOD nie tylko przez osoby fizyczne, jak to ma miejsce obecnie, ale także osoby prawne i inne jednostki organizacyjne. Zadania IOD będą mogły być realizowane na podstawie umowy zawartej z osobą fizyczną lub innym podmiotem spoza organizacji administratora, a także przez grupę osób bezpośrednio podległą inspektorowi.
Nowe przepisy doprecyzowują wymóg posiadania wiedzy i doświadczenia z obszaru danych osobowych, którymi również obecnie muszą wykazać się administratorzy bezpieczeństwa informacji. Inspektora powinna cechować wiedza z obszaru europejskich oraz krajowych przepisów dotyczących ochrony danych osobowych oraz znajomość procesów przetwarzania danych w organizacji.
Ocena kwalifikacji IOD będzie uwzględniała charakter wykonywanych operacji przetwarzania, rodzaj oraz ilość wykorzystywanych danych. Wyższych zatem kwalifikacji będzie się wymagało od inspektorów mających czuwać nad złożonymi procesami przetwarzania dużych ilości danych (szczególnie wrażliwych), obejmującymi wykorzystanie systemów informatycznych oraz transgraniczne przekazywanie danych.
Jaka rola inspektora
RODO utrzyma obowiązujący obecnie wymóg wyodrębnienia organizacyjnego IOD i podporządkowania go bezpośrednio kierownictwu administratora. Nowością będzie wyraźne sformułowanie obowiązku zapewnienia udziału inspektora we wszystkich sprawach związanych z ochroną danych osobowych oraz wspierania go w realizacji zadań, w szczególności poprzez zapewnienie w tym celu niezbędnych zasobów finansowych i organizacyjnych. IOD będzie mógł również domagać się od administratora umożliwienia utrzymania swojej wiedzy fachowej, także poprzez zapewnienie na ten cel środków finansowych.
Nowe przepisy wprost zakazują wydawania IOD instrukcji dotyczących wykonywania przez niego zadań. Nie będzie także dopuszczalne wyciąganie wobec inspektora jakichkolwiek negatywnych konsekwencji (np. poprzez obniżenie wynagrodzenia lub wypowiedzenie umowy), jeśli miałoby to wynikać z prawidłowego realizowania przez niego swoich zadań. Administrator będzie także musiał zapewnić odpowiednią organizację pracy, aby nie dopuścić do konfliktu interesów po stronie IOD oraz niemożności wykonywania przez niego zadań związanych z ochroną danych ze względu na inne obowiązki służbowe.
Jakie funkcje
IOD będzie wspierał administratorów danych i podmioty przetwarzające w wykonywaniu przez nich obowiązków, w szczególności poprzez monitorowanie przestrzegania przepisów o ochronie danych osobowych oraz wewnętrznych polityk, prowadzenie audytów oraz szkoleń.
RODO wyraźnie wskazuje, iż inspektor ma również udzielać pomocy i wyjaśnień osobom, których dane są przetwarzane, w przypadku wystąpienia przez nie z takim wnioskiem. Inspektor ochrony danych będzie również musiał być przygotowany do wspierania i doradzania ADO przy sporządzaniu przez niego oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Jest to nowe narzędzie przewidziane przez RODO, które ma umożliwić administratorowi ocenę ryzyka związanego z określonymi procesami przetwarzania.
Zdaniem eksperta
Artur Piechocki, radca prawny w kancelarii APLaw
Daniel Siciński, prawnik w kancelarii APLaw
Nowe rozporządzenie zasadniczo nie określa narzędzi, które powinny być wykorzystywane dla zapewnienia zgodności przetwarzania danych z przepisami. Znikną więc wymogi dotyczące sporządzania polityki bezpieczeństwa, czy instrukcji zarządzania systemem informatycznym w kształcie znanym obecnie. Wyjątkiem jest nałożony na administratorów i podmioty przetwarzające obowiązek prowadzenia rejestru czynności przetwarzania, który zastąpi prowadzone obecnie przez ABI rejestry zbiorów danych. Z drugiej strony wprowadzona zostanie zasada rozliczalności, która będzie zobowiązywać do sporządzenia dokumentacji niezbędnej do wykazania przed organem nadzorczym, jakie środki zostały przyjęte w celu zabezpieczenia danych osobowych. Zatem to ADO, wspólnie z inspektorem ochrony danych, będzie musiał określić, jaki system zarządzania ochroną danych powinien zostać przyjęty w organizacji, przy uwzględnieniu charakteru procesów przetwarzania i ryzyka z nimi związanego, oraz jaka dokumentacja będzie w stanie najlepiej wykazać jego wdrożenie.
Przestrzeganie nowych przepisów dotyczących powoływania, statusu oraz zadań IOD powinno być szczególnie istotne dla administratorów danych oraz podmiotów przetwarzających dane, ze względu na przewidziane w RODO kary pieniężne w razie ich naruszenia, w tym także w przypadku nienależytego wykonywania zadań przez IOD. W takim przypadku Rozporządzenie przewiduje możliwość nałożenia na te podmioty kary sięgającej do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Link do publikacji na stronie RP: http://www.rp.pl/Kadry/311029938-Zmieni-sie-status-i-funkcje-inspektora-ochrony-danych.html
Opracowanie: Jerzy Kowalski (RP).