Od dnia 25 maja 2018 roku odpowiednikiem dotychczasowego administratora bezpieczeństwa informacji (ABI) staje się inspektor ochrony danych. Podkreślenia wymaga, że ABI i inspektor ochrony danych nie są pojęciami tożsamymi, zaś ich obowiązki, zadania i zasady powoływania znacząco się od siebie różnią.
Kto może być inspektorem ochrony danych i jakie są jego główne zadania?
Inspektorem ochrony danych może zostać osoba fizyczna legitymująca się odpowiednią znajomością krajowych i europejskich przepisów i praktyk w zakresie ochrony danych, organizacji sektora, w którym działa, zrozumieniem prowadzonych operacji przetwarzania, technologii informatycznych i bezpieczeństwa danych, a także zdolnością do promowania kultury ochrony danych.
Inspektor może być pracownikiem administratora danych, jak również wykonywać swoje obowiązki w ramach świadczenia usług jako podmiot zewnętrzny.
Podstawowym zadaniem inspektora ochrony jest wspieranie administratora ochrony danych (ADO) w procesie przetwarzania danych oraz zapewnienie prawidłowości tego przetwarzania w sposób niezależny od ADO. Należy tu w szczególności wymienić:
- informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach na nich spoczywających w związku z przetwarzanie danych oraz doradzanie im w tej sprawie,
- monitorowanie przestrzegania przepisów o ochronie danych oraz polityk administratora, w tym podział obowiązków, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
- udzielanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,
- współpraca z organem nadzorczym,
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych, jak również dla osób, których dane są przetwarzane.
RODO nakłada na ADO obowiązek publikowania danych kontaktowych inspektora oraz powiadomienia organu nadzorczego o jego powołaniu. Działanie to ma na celu zapewnienie, by organ nadzorczy oraz osoby, których dane są przetwarzane, mogły w sposób bezpośredni i poufny skontaktować się z inspektorem ochrony danych, bez konieczności uprzedniego kontaktowania się z ADO lub innymi osobami.
Administrator jest zobowiązany do zapewnienia inspektorowi odpowiednich warunków. W szczególności do jego obowiązków należeć będzie zapewnienie włączenia inspektora we wszystkie sprawy z zakresu przetwarzania danych, zasobów niezbędnych do wykonywania jego obowiązków, a także zagwarantowanie niezależności inspektora w wykonywaniu swoich zadań.
Czy powołanie inspektora jest obowiązkowe?
Obecnie powołanie ABI jest fakultatywne. Tymczasem od dnia 25 maja 2018 roku powołanie inspektora ochrony danych będzie obowiązkowe w przypadkach wskazanych w RODO, z uwagi na następujące kryteria:
- kategorię przetwarzanych danych,
- cel przetwarzania danych na dużą skalę,
- podmiot przetwarzający dane.
Administrator ochrony danych będzie zobowiązany do wyznaczenia inspektora ochrony danych w przypadkach, gdy:
- przetwarzanie prowadzi organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
- główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
- główna działalność administratora polega na przetwarzaniu na dużą skalę danych osobowych wrażliwych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
W pozostałych wypadkach powołanie inspektora będzie fakultatywne. Nie należy jednak zapominać, że prawo UE oraz państw członkowskich będzie mogło rozszerzać obowiązek wyznaczenia inspektora ochrony danych także na innych ADO.
Na gruncie RODO nie będzie również przeszkód dla powołania wspólnego inspektora dla grupy podmiotów, np. grupy przedsiębiorstw lub podmiotów publicznych.
Kiedy ABI staje się inspektorem?
RODO nie wskazuje, w jaki sposób i kiedy ma nastąpić przekształcenie dotychczasowych ABI w inspektorów. Oznacza to, że materia ta powinna zostać uregulowana przez polskiego ustawodawcę.
W projekcie przepisów przejściowych do ustawy o ochronie danych osobowych opublikowanym przez Ministerstwo Cyfryzacji dnia 14 września 2017 roku zaproponowano, by osoby wykonujące funkcję ABI w dniu 24 maja 2018 roku automatycznie stawały się inspektorami ochrony danych i by funkcję tę pełniły do dnia 1 września 2018 roku. W okresie przejściowym administrator lub podmiot przetwarzający byliby zaś zobowiązani do zawiadomienia Prezesa Urzędu o wyznaczeniu inspektora ochrony danych albo o tym, że ABI nie pełni funkcji inspektora.
Podkreślenia wymaga, że proponowane rozwiązanie, podobnie jak sam projekt ustawy o ochronie danych osobowych, znajduje się dopiero w fazie opiniowania i konsultacji, dlatego może ono ulec licznym modyfikacjom.
