Grupa Robocza musi doprecyzować wytyczne w sprawie inspektorów

Wioleta Szczygielska

Autor: Wioleta Szczygielska

Dodano: 7 lutego 2017
Grupa Robocza musi doprecyzować wytyczne w sprawie inspektorów

Stowarzyszenie Administratorów Bezpieczeństwa Informacji przekazało Grupie Roboczej Art. 29 swoje uwagi do wytycznych w sprawie inspektorów ochrony danych.

W grudniu 2016 r. Grupa Robocza Art. 29, która zrzesza organy ochrony danych z Unii Europejskiej, wydała swoje wytyczne do niektórych kwestii poruszonych w ogólnym rozporządzeniu unijnym o ochronie danych. Dotyczą one inspektorów ochrony danych, prawa do przenoszenia danych i tego, w jaki sposób należy ustalać wiodący organ nadzorczy przy transgranicznym przetwarzaniu danych. Jednocześnie Grupa Robocza dała możliwość wnoszenia uwag do wydanych dokumentów. Z tej możliwości skorzystało m.in. Stowarzyszenie Administratorów Bezpieczeństwa Informacji (SABI).

Kto musi powołać inspektora ochrony danych

W przekazanych uwagach do wytycznych SABI odnosi się w głównej mierze do kwestii związanych z inspektorami ochrony danych, którzy od 25 maja 2018 r. zastąpią administratorów bezpieczeństwa informacji. Wątpliwości stowarzyszenia budzą m.in. wyjaśnienia dotyczące podmiotów, które będą musiały powołać inspektorów. Grupa Robocza, oprócz organów i podmiotów publicznych, wymienia także inne organy i podmioty realizujące zadania w interesie publicznym i sprawujące władzę publiczną, które wprawdzie nie będą musiały wyznaczyć inspektora, ale którym Grupa zaleca jego wyznaczenie.

Zdaniem SABI wyodrębnienie takiej grupy podmiotów nie ma uzasadnienia w przepisach rozporządzenia ogólnego i nie jest jasne, jak należy interpretować te podmioty, także na gruncie prawa krajowego.

Kto wyznacza jednego inspektora dla kilku podmiotów

W swoich uwagach do wytycznych stowarzyszenie poruszyło również kwestię wyznaczenia jednego inspektora dla kilku podmiotów. SABI zauważa, że Grupa Robocza nie wyjaśniła, który podmiot będzie wyznaczał inspektora dla grupy przedsiębiorstw. Zdaniem stowarzyszenia powinna robić to „spółka matka” lub każe przedsiębiorstwo oddzielnie. SABI podkreśla też, że w pierwszym wariancie pozostałe spółki powinny potwierdzać przyjęcie wyznaczonego przez „spółkę matkę” inspektora. Stowarzyszenie wskazuje, że podobny problem pojawia się w kontekście organów publicznych, które też mogą wyznaczyć sobie jednego inspektora dla kilku z nich.

Ważne:

Stowarzyszenie zwraca uwagę, że Grupa Robocza posługuje się nieostrym pojęciem „kilka podmiotów”, przez co niektórzy mogą rozumieć, że może być ich maksymalnie dziewięć. Zdaniem SABI nie należy wskazywać górnej granicy w tej sytuacji, jednak należy zaznaczyć, że tych podmiotów nie może być zbyt wiele, tak aby inspektor mógł efektywnie wykonywać swoje zadania.

Nie jeden inspektor, lecz zespół inspektorów

Stowarzyszenie postuluje także, aby Grupa Robocza doprecyzowała, w jaki sposób będą realizowane obowiązki inspektora w ramach zespołu. SABI zastanawia się, czy każdy członek takiego zespołu będzie inspektorem i czy w związku z tym będzie musiał spełnić wymagania stawiane wobec inspektora. Ma to duże znaczenie zwłaszcza w kontekście inspektora „zewnętrznego” (gdy taką usługę świadczy firma zewnętrzna) i „wewnętrznego”. W przypadku inspektora „wewnętrznego” Grupa mówi o inspektorze i jego zespole, natomiast przy inspektorze „wewnętrznym” jest mowa o tym, że zespół pracowników może wykonywać zadania inspektora i jest jedna osoba wyznaczona do kontaktu z klientem (administratorem). Zdaniem SABI takie różnicowanie pozycji inspektorów jest niezgodne z rozporządzeniem ogólnym.

Jakie kwalifikacje, wiedzę i umiejętności ma posiadać inspektor

Stowarzyszenie odniosło się też do kwalifikacji, umiejętności i wiedzy inspektora. Grupa Robocza nie wyjaśniła bowiem, jakie warunki powinien spełniać inspektor w zakresie umiejętności. Zdaniem SABI powinno odnosić się to do umiejętności kształtowania relacji z podmiotami danych. W kontekście wiedzy fachowej stowarzyszenie postuluje, aby położyć akcent na wiedzę w zakresie identyfikowania zagrożeń i oceny ryzyka.

Uwaga

Stowarzyszenie podnosi, aby Grupa Robocza poszerzyła swoje wytyczne w zakresie niezależności inspektora – zwłaszcza w kontekście art. 38 ust. 3 rozporządzenia, zgodnie z którym administrator i podmiot przetwarzający mają zapewnić, że inspektor nie będzie otrzymywał instrukcji dotyczących wykonywania zadań.

Jak rozumieć zadania inspektora

Stowarzyszenie postuluje, żeby Grupa Robocza szerzej odniosła się do zadań inspektorów, gdyż w swoich wytycznych wyjaśniła tylko, jak realizować dwa z nich. SABI prosi o wyjaśnienia w następujących kwestiach:

  • jak inspektor powinien współpracować z organem nadzorczym,
  • na czym ma polegać informowanie i doradzanie w sprawach obowiązków administratora wynikających z rozporządzenia i innych przepisów,
  • w jaki sposób pełnić funkcję punktu kontaktowego dla organu nadzorczego.

SABI prosi także o wyjaśnienia, jakie działania powinien podjąć inspektor, gdy stwierdzi, że doszło do naruszenia przepisów rozporządzenia lub że należy podwyższyć poziom ochrony danych. Grupa Robocza nie odniosła się w wytycznych także do zadań inspektora w zakresie wiążących reguł korporacyjnych (inspektor ma monitorować ich przestrzeganie w ramach grupy przedsiębiorstw, a także monitorować szkolenia i rozpatrywać skargi). SABI postuluje uszczegółowienie tych kwestii.

Co oznacza obowiązek zachowania tajemnicy lub poufności

Stowarzyszenie zauważa, że Grupa Robocza nie odniosła się do obowiązku zachowania tajemnicy lub poufności przez inspektora – przewiduje to art. 38 ust. 5 rozporządzenia – jednak SABI postuluje jego szersze wyjaśnienie. Zdaniem stowarzyszenia należy odpowiedzieć na pytanie, czy przepis rozporządzenia tworzy samodzielny obowiązek czy jedynie odsyła do przepisów krajowych i prawa UE w zakresie tajemnic zawartych w krajowych i europejskim systemach prawnych.

Wioleta Szczygielska

Autor: Wioleta Szczygielska

Specjalista z zakresu prawa ochrony danych osobowych. Wieloletni redaktor fachowych publikacji związanych z tematyką ochrony danych osobowych.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel