Inspektor ochrony danych a ABI – porównanie zadań i wymagań

Zdarzenie

ABI według aktualnej ustawy o ochronie danych osobowych

IOD według ogólnego rozporządzenia i projektu ustawy o ochronie danych osobowych

Kto może powołać

administrator danych (art. 36a ustawy)

a) administrator,

b) podmiot przetwarzający dane,

c) zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających (tylko w sytuacji, kiedy można dobrowolnie wyznaczyć IOD) – art. 37 rozporządzenia unijnego

Powołanie – możliwość czy obowiązek

Od 1 stycznia 2015 r. administrator danych może (nie musi) powołać administratora bezpieczeństwa informacji – ABI (art. 36a ust. 1 ustawy), a w przypadku jego niepowołania sam realizuje jego zadania (art. 36b ustawy). Oznacza to, że od decyzji administratora zależy, czy on sam podejmie się realizacji zadań ABI, czy powoła w tym celu konkretną osobę. ADO nie jest ABI i nie może się nim wyznaczyć. Wykonuje tylko jego zadania, jeżeli ABI nie zostanie powołany.

Rozporządzenie unijne nie nakłada generalnego obowiązku powołania inspektora ochrony danych (IOD), ale przewiduje trzy sytuacje, w których powołanie IOD jest obligatoryjne. Jego powołanie będzie obowiązkowe, dla:
a) podmiotów administracji publicznej,
b) jeśli główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
c) jeśli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych).

Zgłoszenie powołania/

wyznaczenia

Jeżeli dotychczas nie funkcjonował ABI, jego powołanie należy zgłosić w terminie 30 dni od dnia powołania do GIODO. Wzór zgłoszenia określa rozporządzenie ministra administracji i cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. z 2014 r. poz. 1934).

Nie trzeba zgłaszać powołania IOD, ale należy zawiadomić o wyznaczeniu IOD Prezesa UODO w terminie 14 dni od wyznaczenia – można również elektronicznie. Administrator, który powoła IOD, ma dwa obowiązki:

a) opublikować dane kontaktowe inspektora ochrony danych,

 b) zawiadomić organ nadzorczy o tych danych kontaktowych (w Polsce Urząd Ochrony Danych Osobowych).

Podległość

ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej, która jest administratorem danych.

IOD bezpośrednio podlega najwyższemu kierownictwu administratora.

Zastępcy

Administrator danych może powołać zastępców ABI, którzy spełniają warunki kwalifikacyjne takie jak ABI.

Przepisy nie przewidują możliwości powołania zastępców.

Kwalifikacje

ABI może być osoba, która spełnia łącznie następujące warunki:

a) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,

b) nie była karana za umyślne przestępstwo,

c) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych.

IOD jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań inspektora.

Pracownik czy outsourcing usług

Funkcję ABI można zlecić pracownikowi podmiotu. Osoba musi spełniać określone ustawowo wymogi oraz mieć zapewnioną możliwość realizacji ustawowo nałożonych na nią zadań. Do administratora danych należy również rozstrzygnięcie, czy konkretny pracownik będzie w stanie pogodzić swoje obowiązki pracownicze z obowiązkami wynikającymi z pełnienia funkcji ABI. Istnieje również możliwość tzw. outsourcingu funkcji ABI, czego ustawa nie zakazuje.

Inspektor ochrony danych może być:

a) członkiem personelu administratora,

b) wykonywać zadania na podstawie umowy o świadczenie usług (outsourcingu funkcji IOD).

Jeden wspólny ABI lub IOD

Przepisy nie przewidują takiego rozwiązania.

Będzie można powołać jednego wspólnego IOD dla:
a) grupy przedsiębiorstw (ale tylko pod warunkiem, że można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej); grupa przedsiębiorstw – oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane,

b) kilku organów lub podmiotów publicznych (ale tylko z uwzględnieniem struktury organizacyjnej i wielkości),

c) zrzeszeń lub innych podmiotów reprezentujących określone kategorie administratorów (ale tylko w sytuacji, gdy nie zachodzą przesłanki określone w art. 37 ust. 1 rozporządzenia, które stanowią, kiedy jest obligatoryjne powołanie IOD).

Zadania

Ustawowe zadania ABI to:

1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

a) sprawdzenie zgodności przetwarzania danych osobowych z przepisami oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

b) nadzorowanie opracowania i aktualizacja dokumentacji ochrony danych osobowych,

c) zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,

2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

Powierzenie innych obowiązków osobie pełniącej funkcję ABI możliwe jest wyłącznie wtedy, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa wyżej.

Tryb i sposób realizacji zadań przez ABI określony został w rozporządzeniu ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745). 

IOD ma następujące zadania:

a) informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy ogólnego rozporządzenia oraz innych przepisów o ochronie danych i doradzanie im w tej sprawie,

b) monitorowanie przestrzegania ogólnego rozporządzenia, innych przepisów o ochronie danych oraz polityk administratora w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,

c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,

d) współpraca z organem nadzorczym (UODO w Polsce),

e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

IOD może wykonywać inne zadania i obowiązki. Administrator zapewnia jednak, by takie zadania i obowiązki nie powodowały konfliktu interesów.