Jeszcze ABI niedługo inspektor ochrony danych – jak dojdzie do zmiany

Paweł Biały

Autor: Paweł Biały

Dodano: 2 stycznia 2018
Jeszcze ABI niedługo inspektor ochrony danych – jak dojdzie do zmiany

Do praktycznego stosowania ogólnego rozporządzenia o ochronie danych (RODO) zostało już niewiele czasu. Wśród wielu różnego rodzaju ogłoszeń na rynku pracy można znaleźć te, które kierowane są do inspektorów ochrony danych, którzy zastąpią ABI. Dowiedz się, w jaki sposób administrator bezpieczeństwa informacji „przekształci się” w inspektora ochrony danych.

Administrator bezpieczeństwa informacji to jeden ze współuczestników szeroko rozumianego procesu ochrony danych osobowych. Pozycja ABI w strukturze organizacyjnej zagwarantowana została w art. 36a ust. 7 i 8 ustawy o ochronie danych osobowych (uodo). Stanowią one, że ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej, która jest administratorem danych, a w ramach wykonywanej przez siebie funkcji musi być niezależny oraz mieć odrębność organizacyjną. Jednocześnie też ABI ponosi odpowiedzialność prawną określoną w prawie ochrony danych osobowych.

Przepisy ogólnego rozporządzenia o ochronie danych (RODO) rozszerzają zakres kompetencyjny ABI, nadając mu nazwę inspektora ochrony danych (IOD). Zasady wyznaczania inspektora, jego status prawny oraz zakres zadań regulują art. 37–39 RODO.

Czy każdy musi wyznaczyć inspektora

RODO wprost stanowi, kiedy administrator będzie zobowiązany wyznaczyć IOD. Będzie tak, gdy:

1) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (podmioty te będą mogły wyznaczyć jednego IOD, jednak pod warunkiem że weźmie się pod uwagę ich wielkość i strukturę organizacyjną. W praktyce możliwe jest zatem wyznaczenie jednego IOD dla przedszkoli gminnych, ale już nie dla wszystkich placówek oświatowych prowadzonych przez gminę);

2) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub

3) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Jakie warunki musi spełniać inspektor ochrony danych

Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania zadań. „Fachowa wiedza” – pojęcie to nie jest jednoznacznie rozumiane, co okazuje się zabiegiem celowym. To ADO będzie decydował o tym, kto i z jaką wiedzą ma być dla niego wsparciem. Ustawodawca europejski nie wskazuje zatem wprost, jak tę wiedzę należy weryfikować. Niemniej w praktyce z pomocą przychodzą różnego rodzaju szkolenia, kursy, studia podyplomowe czy też stopnie naukowe.

Podobnie będzie w przypadku kwalifikacji zawodowych. Administrator danych musi mieć pewność, że IOD będzie umiał odnaleźć się w sektorze, w którym prowadzi swoją działalność. Dlatego przykładowo w przypadku podmiotów publicznych IOD powinien znać procedury administracyjne (materialne, procesowe, organizacyjne.

Artykuł 37 ust. 6 RODO stanowi, że inspektor ochrony danych może (czyli nie musi) być członkiem personelu administratora. Tym samym, podobnie jak było i jest w przypadku dzisiejszego ABI, może świadczyć pracę na podstawie zatrudnienia pracowniczego, niepracowniczego lub B2B. Ważne jednak jest, aby inspektorem był konkretny człowiek, który będzie realnym wsparciem dla ADO.

Uwaga

Zgodnie z krajowym projektem ustawy o ochronie danych osobowych (art. 5 ust. 1) administrator powinien zawiadomić Prezesa Urzędu Ochrony Danych Osobowych (zastąpi GIODO) o wyznaczeniu inspektora ochrony danych w terminie 14 dni od jego wyznaczenia.

Czy ABI stanie się inspektorem ochrony danych

To, co będzie się działo z ABI od dnia praktycznego stosowania RODO, reguluje projekt ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych. W art. 134 tego projektu ustawodawca krajowy wskazuje, że ABI pełniący tę funkcję 24 maja 2018 r. będą z mocy prawa pełnić ją do 1 września 2018 r. w ustawowym statusie inspektorów ochrony danych. W tym terminie, zgodnie z ogólnymi zasadami zgłaszania organowi nadzorczemu wyznaczonego IOD, trzeba będzie zawiadomić organ nadzorczy, tj. Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu IOD.

Na jakiej podstawie można wyznaczyć inspektora

Obecnie ABI może być wyznaczony spośród załogi pracowniczej administratora. Może pełnić swoją funkcję zarówno w ramach zatrudnienia pracowniczego, np. na podstawie umowy o pracę, jak i w ramach zatrudnienia niepracowniczego, np. na bazie umowy zlecenia czy o świadczenie usług. Możliwe jest również zastosowanie modelu B2B, przy czym należy pamiętać, że ABI może być wyłącznie osoba fizyczna.

Uwaga

RODO nie zmienia relacji prawnej z ADO. Inspektor ochrony danych nadal będzie mógł być wyznaczony spośród załogi organizacyjnej administratora, będzie mógł świadczyć swoją pracę w ramach umowy o pracę czy też na innej podstawie prawnej.

Status prawny inspektora ochrony danych oraz jego powiązanie z administratorem będzie regulowane treścią przepisów o ochronie danych osobowych – w zakresie wyznaczenia i zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych oraz treścią przepisów stanowiących podstawę prawną stosunku prawnego łączącego ADO z IOD, np. Kodeksu pracy, przepisów prawa cywilnego itd. Dlatego też najbardziej odpowiednią formą prawną będzie adekwatna zmiana treści tego stosunku prawnego, wprowadzona aneksem do obowiązujących umów.

Zakres obowiązków inspektora ochrony danych jest ściśle określony treścią RODO oraz ustawy o ochronie danych osobowych. Wykładnia systemowa i funkcjonalna norm wyznaczających zadania IOD wskazuje, że może on wykonywać inne niż normatywnie przypisane mu zadania, wyłącznie wyjątkowo, tj. wówczas gdy te inne zadania nie będą determinowały konfliktu interesów. Oznacza to, że IOD nie może zajmować równocześnie stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych.

Ważne:

Za stanowiska, które mogą powodować konflikt interesów, będą uważane stanowiska kierownicze (np. dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych.

Paweł Biały

Autor: Paweł Biały

doktor nauk prawnych, prawnik praktyk, ekspert z zakresu prawa ochrony danych osobowych, administrator bezpieczeństwa informacji, prowadzi warsztaty i szkolenia, wykładowca akademicki, Instytut Ochrony Danych Osobowych

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel