Jeszcze ABI niedługo inspektor ochrony danych – jak dojdzie do zmiany

Administrator bezpieczeństwa informacji to jeden ze współuczestników szeroko rozumianego procesu ochrony danych osobowych. Pozycja ABI w strukturze organizacyjnej zagwarantowana została w art. 36a ust. 7 i 8 ustawy o ochronie danych osobowych (uodo). Stanowią one, że ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej, która jest administratorem danych, a w ramach wykonywanej przez siebie funkcji musi być niezależny oraz mieć odrębność organizacyjną. Jednocześnie też ABI ponosi odpowiedzialność prawną określoną w prawie ochrony danych osobowych.

Przepisy ogólnego rozporządzenia o ochronie danych (RODO) rozszerzają zakres kompetencyjny ABI, nadając mu nazwę inspektora ochrony danych (IOD). Zasady wyznaczania inspektora, jego status prawny oraz zakres zadań regulują art. 37–39 RODO.

RODO wprost stanowi, kiedy administrator będzie zobowiązany wyznaczyć IOD. Będzie tak, gdy:

1) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (podmioty te będą mogły wyznaczyć jednego IOD, jednak pod warunkiem że weźmie się pod uwagę ich wielkość i strukturę organizacyjną. W praktyce możliwe jest zatem wyznaczenie jednego IOD dla przedszkoli gminnych, ale już nie dla wszystkich placówek oświatowych prowadzonych przez gminę);

2) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub

3) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania zadań. „Fachowa wiedza” – pojęcie to nie jest jednoznacznie rozumiane, co okazuje się zabiegiem celowym. To ADO będzie decydował o tym, kto i z jaką wiedzą ma być dla niego wsparciem. Ustawodawca europejski nie wskazuje zatem wprost, jak tę wiedzę należy weryfikować. Niemniej w praktyce z pomocą przychodzą różnego rodzaju szkolenia, kursy, studia podyplomowe czy też stopnie naukowe.

Podobnie będzie w przypadku kwalifikacji zawodowych. Administrator danych musi mieć pewność, że IOD będzie umiał odnaleźć się w sektorze, w którym prowadzi swoją działalność. Dlatego przykładowo w przypadku podmiotów publicznych IOD powinien znać procedury administracyjne (materialne, procesowe, organizacyjne.

Artykuł 37 ust. 6 RODO stanowi, że inspektor ochrony danych może (czyli nie musi) być członkiem personelu administratora. Tym samym, podobnie jak było i jest w przypadku dzisiejszego ABI, może świadczyć pracę na podstawie zatrudnienia pracowniczego, niepracowniczego lub B2B. Ważne jednak jest, aby inspektorem był konkretny człowiek, który będzie realnym wsparciem dla ADO.

To, co będzie się działo z ABI od dnia praktycznego stosowania RODO, reguluje projekt ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych. W art. 134 tego projektu ustawodawca krajowy wskazuje, że ABI pełniący tę funkcję 24 maja 2018 r. będą z mocy prawa pełnić ją do 1 września 2018 r. w ustawowym statusie inspektorów ochrony danych. W tym terminie, zgodnie z ogólnymi zasadami zgłaszania organowi nadzorczemu wyznaczonego IOD, trzeba będzie zawiadomić organ nadzorczy, tj. Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu IOD.

Obecnie ABI może być wyznaczony spośród załogi pracowniczej administratora. Może pełnić swoją funkcję zarówno w ramach zatrudnienia pracowniczego, np. na podstawie umowy o pracę, jak i w ramach zatrudnienia niepracowniczego, np. na bazie umowy zlecenia czy o świadczenie usług. Możliwe jest również zastosowanie modelu B2B, przy czym należy pamiętać, że ABI może być wyłącznie osoba fizyczna.

Status prawny inspektora ochrony danych oraz jego powiązanie z administratorem będzie regulowane treścią przepisów o ochronie danych osobowych – w zakresie wyznaczenia i zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych oraz treścią przepisów stanowiących podstawę prawną stosunku prawnego łączącego ADO z IOD, np. Kodeksu pracy, przepisów prawa cywilnego itd. Dlatego też najbardziej odpowiednią formą prawną będzie adekwatna zmiana treści tego stosunku prawnego, wprowadzona aneksem do obowiązujących umów.

Zakres obowiązków inspektora ochrony danych jest ściśle określony treścią RODO oraz ustawy o ochronie danych osobowych. Wykładnia systemowa i funkcjonalna norm wyznaczających zadania IOD wskazuje, że może on wykonywać inne niż normatywnie przypisane mu zadania, wyłącznie wyjątkowo, tj. wówczas gdy te inne zadania nie będą determinowały konfliktu interesów. Oznacza to, że IOD nie może zajmować równocześnie stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych.