25 maja 2018 r. zacznie obowiązywać w naszym kraju unijne tzw. ogólne rozporządzenie o ochronie danych osobowych. Choć wydaje się, że czasu jest sporo, to warto wiedzieć, jakie kroki należy podjąć wcześniej, by właściwie dostosować się do jego rozwiązań. Wraz z nowymi przepisami pojawi się w naszym porządku prawnym nowa funkcja inspektorów ochrony danych osobowych, którzy docelowo zastąpią obecnie funkcjonujących ABI.
Będą zmiany
Unijne rozporządzenie ma na celu zapewnienie jednolitego i spójnego systemu ochrony danych osobowych na terenie Unii Europejskiej, a także unowocześnienie i podniesienie jego efektywności.
Inspektorzy ochrony danych zasadniczo mają być kontynuatorami obecnie powoływanych administratorów bezpieczeństwa informacji (ABI). Konstrukcja obecnych ABI w przepisach ustawy o ochronie danych osobowych w pewnym stopniu została stworzona już w oparciu o planowane przepisy unijnego rozporządzenia. Jednakże rola dotychczasowych ABI ma ulec poważnemu wzmocnieniu. Obecnie wyznaczenie ABI jest uprawnieniem, a nie obowiązkiem administratora danych. Po wejściu w życie przepisów unijnego rozporządzenia powołanie inspektora ochrony danych będzie w niektórych przypadkach obowiązkiem administratora danych.
Dostosowanie się danego administratora danych do unijnych przepisów będzie zależało m.in. od struktury organizacyjnej i rodzaju działalności administratora, a także od rodzaju, zakresu i celu, dla jakiego przetwarza on dane osobowe. Duże znaczenie będzie mieć też prawdopodobieństwo występujących u danego administratora danych zagrożeń. Tym nowym wyzwaniom mają właśnie sprostać inspektorzy ochrony danych (obecni ABI).
Kto będzie musiał powołać inspektora?
Obowiązek powoływania inspektora ochrony danych będą mieli administratorzy danych i podmioty przetwarzające dane osobowe w imieniu administratora, będące organami lub podmiotami publicznymi (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości). Ponadto obowiązek taki będzie dotyczył administratorów i podmiotów przetwarzających, których główna działalność polega na operacjach przetwarzania danych wymagających – ze względu na swój charakter, zakres lub cele – regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Oprócz tego obejmie podmioty, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Użyte w rozporządzeniu pojęcia, niestety, wydają się nieostre, dlatego warto w tym miejscu sięgnąć do publikacji Generalnego Inspektora Ochrony Danych Osobowych „Wykonywanie obowiązków ABI, przyszłego inspektora ochrony danych, w świetle ogólnego rozporządzenia o ochronie danych” dostępnej na stronie www.giodo.gov.pl. Czytamy w niej, że „W sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Ocena kryterium dużej skali z pewnością będzie musiała być dokonywana w kontekście konkretnego stanu faktycznego (…) w poszczególnych przypadkach konieczne może być uwzględnienie proporcji, np. wielkości terytorium, na którym następować będzie przetwarzanie danych osobowych (im większe terytorium, tym większa liczba danych będzie podstawą uznania, że przetwarzanie odbywa się na dużą skalę)”.
Warto też zaznaczyć, że państwa członkowskie będą mogły w ramach własnych przepisów rozszerzyć obowiązek wyznaczania inspektora ochrony danych na inne przypadki.
Zadania inspektora…
Inspektor ochrony danych będzie miał m.in. następujące zadania:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy ogólnego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,
- monitorowanie przestrzegania ogólnego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
- współpraca z organem nadzorczym (w Polsce GIODO),
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych.
…i jego kwalifikacje
Unijne przepisy określają, iż inspektor ochrony danych powinien być wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia nałożonych na niego zadań. W powołanej już publikacji GIODO czytamy, że „Poziom wiedzy inspektora ma być ustalany w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe przetwarzane przez administratora lub podmiot przetwarzający, a zatem w kontekście specyfiki i konkretnych potrzeb administratora danych i podmiotu przetwarzającego dane”. Inspektor ochrony, podobnie jak dziś ABI, będzie mógł wykonywać inne zadania i obowiązki, a administrator lub podmiot przetwarzający będą musieli zapewnić, by takie zadania i obowiązki nie powodowały konfliktu interesów.
Przepisy ogólnego rozporządzenia uszczegóławiają kwestie dotychczas wątpliwe, tj. w zakresie wyznaczania jednego inspektora dla kilku przedsiębiorców. Art. 37 ust. 2 rozporządzenia stanowi, że grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Z kolei art. 37 ust. 6 wyraźnie określa, że inspektor ochrony danych będzie mógł być zarówno członkiem personelu administratora danych lub podmiotu przetwarzającego, jak i wykonywać swoją funkcję na podstawie umowy o świadczenie usług. Co bardzo istotne, rozporządzenie stanowi, że administrator oraz podmiot przetwarzający dane muszą czuwać nad niezależnością inspektora. Będzie on podlegał najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.