Inspektor ochrony danych, czyli ABI po nowemu

Marcin Sarna

Autor: Marcin Sarna

Dodano: 20 czerwca 2016
Inspektor ochrony danych, czyli ABI po nowemu

Właśnie przyjęte rozporządzenie unijne w sprawie ochrony danych osobowych zmodyfikuje dotychczas funkcjonujące regulacje. To ADO będzie odpowiadał za to, żeby przetwarzane przez niego dane były odpowiednio chronione. Z pewnością pomoże mu w tym wykwalifikowany administrator bezpieczeństwa informacji, a właściwie inspektor ochrony danych.

Zakończyła się właśnie czteroletnia praca organów Unii Europejskiej nad nowym kształtem regulacji dotyczących ochrony danych osobowych. Zasadnicze znaczenie będzie miało tzw. ogólne rozporządzenie o ochronie danych osobowych.

Jest to rozporządzenie Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Rozporządzenie to nazywa się także angielskim skrótem GDPR.

Weszło w życie 20 dni po opublikowaniu w Dzienniku Urzędowym Unii Europejskiej, ale będzie bezpośrednio stosowane w państwach członkowskich dopiero 2 lata po publikowaniu, czyli od 25 maja 2018 r.

Co się stało z ABI

W rozporządzeniu próżno szukać określenia „administrator bezpieczeństwa informacji”. Zamiast tego w systemie ochrony danych osobowych pojawi się tzw. inspektor ochrony danych. Przejmie on prawa i obowiązki ABI.

Podobieństwo nazewnictwa do tego funkcjonującego w ramach ochrony informacji niejawnych nie jest przypadkowe, gdyż i sam system ochrony danych osobowych zacznie powoli przypominać rygorystyczną ochronę informacji niejawnych.

Inspektor ma wspierać administratora danych

Jak wynika z preambuły rozporządzenia, w sektorze prywatnym przetwarzanie danych osobowych należy do administratora danych osobowych. Wykonuje swoje obowiązki z pomocą inspektora ochrony danych.

Bez względu na to, czy jest on pracownikiem administratora, czy też nie – powinien być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny od tego administratora.

Na szczeblu europejskim będzie istniała zaś Europejska Rada Ochrony Danych. W jej skład ma wchodzić, obok szefów organów naczelnych państw członkowskich (np. polskiego GIODO), także Europejski Inspektor Ochrony Danych.

Kiedy mam wyznaczyć inspektora

Administrator danych osobowych ma obowiązek wyznaczyć inspektora ochrony danych, gdy:

  • przetwarzanie prowadzi organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
  • główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  • główna działalność administratora polega na przetwarzaniu na dużą skalę danych osobowych wrażliwych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Będzie można powołać jednego wspólnego inspektora ochrony danych dla:

  • grupy przedsiębiorstw – jeśli tylko można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej,
  • kilku organów lub podmiotów publicznych – z uwzględnieniem ich struktury organizacyjnej i wielkości,
  • zrzeszeń lub innych podmiotów reprezentujących określone kategorie administratorów.

Wyznaczenie inspektora powinno się odbyć na podstawie kwalifikacji zawodowych. Chodzi tu w szczególności o wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętność wypełnienia zadań inspektora.

Inspektor może zarówno być członkiem personelu administratora (tj. pracownikiem), jak i wykonywać zadania na podstawie umowy o świadczenie usług (np. umowy zlecenia).

Ważne:

O ile dotychczas administrator bezpieczeństwa informacji mógł, ale nie musiał być wyznaczony (a wówczas musiał być zgłoszony do GIODO), o tyle w przypadku nowego inspektora ochrony danych jego istnienie jest obowiązkowe w zasadzie zawsze, gdy wskazuje na to:

  • kategoria przetwarzanych danych,
  • cel przetwarzania danych na dużą skalę albo
  • gdy mówimy o jednostce publicznej.

Na przykład: inspektora ochrony danych będzie musiała mieć każda taka gminna instytucja jak przedszkole czy zakład wodociągowy.

W pozostałych przypadkach wyznaczenie inspektora ochrony danych jest fakultatywne. Oczywiście zgłoszenie inspektora danych do organu nadzorczego jest obowiązkowe, więc tutaj zmiany de facto nie ma.

Czy dane inspektora będą jawne

Jeżeli dane osobowe są zbierane bezpośrednio od osoby, której dotyczą, to administrator danych osobowych podczas ich pozyskiwania będzie zobowiązany podać jej m.in. dane kontaktowe inspektora ochrony danych.

Dane te powinny także znajdować się w rejestrze czynności przetwarzania danych osobowych, za który odpowiada administrator, jak również w rejestrze wszystkich kategorii czynności przetwarzania.

Ponadto istnieje także generalny obowiązek opublikowania danych kontaktowych administratora (art. 37 ust. 7 rozporządzenia).

Jaki status ma inspektor

Administrator ma wobec swojego inspektora ochrony danych pewne obowiązki. Powinien:

  • zapewnić, aby inspektor był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych,
  • wspierać inspektora w wypełnianiu przez niego jego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej,
  • zagwarantować, aby inspektor nie otrzymywał instrukcji dotyczących wykonywania jego zadań.

Administrator nie może odwołać ani ukarać inspektora za wykonywanie przez niego zadań, ale tylko tak długo, jak długo inspektor działa w granicach i na podstawie rozporządzenia. Inspektor powinien być usytuowany w strukturze firmy lub urzędu bezpośrednio pod zarządzającym tą jednostką.

Co więcej, administrator nie może także zabronić osobom, których dane dotyczą, kontaktu bezpośrednio z inspektorem we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących tym osobom. Nie ogranicza to jednak prawa administratora do zlecania inspektorowi także innych zadań i obowiązków, jeżeli tylko nie powodują konfliktu interesów.

Naturalnie inspektor powinien zachować w tajemnicy informacje uzyskiwane w toku wykonywania swoich zadań.

5 zadań inspektora ochrony danych osobowych

Do zadań inspektora ochrony danych należą:

1) informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia oraz innych przepisów o ochronie danych obowiązujących w Unii lub w państwach członkowskich i doradzanie im w tej sprawie,

2) monitorowanie przestrzegania przepisów o ochronie danych oraz polityk administratora, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,

3) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,

4) współpraca z organem nadzorczym (chodzi o Generalnego Inspektora Ochrony Danych Osobowych),

5) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych.

Zadania te powinny być wypełniane z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

Zadania inspektora muszą być także określone w wiążących regułach korporacyjnych, jeżeli w danej organizacji zostaną przyjęte.

Kim będzie Europejski Inspektor Ochrony Danych

Europejski Inspektor Ochrony Danych to szczególny członek Europejskiej Rady Ochrony Danych, który generalnie nie będzie miał prawa głosu. Wyjątkiem są decyzje co do zasad i przepisów, które mają zastosowanie do instytucji, organów i jednostek organizacyjnych Unii i merytorycznie odpowiadają przepisom rozporządzenia. Sama Europejska Rada Ochrony Danych zajmuje się zaś przede wszystkim:

  • monitorowaniem i zapewnianiem właściwego stosowania rozporządzenia,
  • doradzaniem Komisji w sprawach związanych z ochroną danych osobowych w Unii,
  • wydawaniem wytycznych, zaleceń i określaniem najlepszych praktyk.

Europejska Rada Ochrony Danych będzie niejako najwyższym inspektorem danych osobowych w całej Unii Europejskiej. Z tego też powodu jej głównym celem stanie się monitorowanie stosowania zasad ochrony danych osobowych na terenie Unii tak, aby zapewnić ich jednolitość.

Przykład

Odstępstwo jednego z organów naczelnych

Załóżmy, że duński odpowiednik polskiego GIODO, tzw. Datatilsynet, uznał, że pobieranie linii papilarnych w windach w celu ustalenia uprawnień do wjazdu na określone piętro jest zbyt dużą ingerencją w prywatność.

Datatilsynet stwierdził bowiem, że cel przetwarzania danych nie jest wystarczający do tego, aby pobierać linie papilarne automatycznie od wszystkich. Powinny być pobierane tylko od tych, którzy wcześniej wcisną przycisk piętra, do którego dostęp jest ograniczony.

Jeżeli inne organy naczelne państw członkowskich będą zdecydowanie odmiennego zdania, to Europejska Rada Danych Osobowych będzie mogła zmusić duński urząd do zmiany stanowiska.

Czy procesor wyznacza inspektora

Rozporządzenie przewiduje, że inspektor ochrony danych powinien zostać wyznaczony nie tylko u administratora danych osobowych, ale także w tzw. podmiocie przetwarzającym. Jest to w zasadzie obecny procesor z art. 31 ustawy o ochronie danych osobowych, a więc podmiot, któremu administrator danych osobowych powierzył ich przetwarzanie.

Jak wskazuje pkt 81 preambuły do rozporządzenia, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania.

Chodzi w szczególności o wiedzę fachową, wiarygodność i zasoby tych podmiotów.

W ocenie, czy dany podmiot przetwarzający zapewnia te gwarancje, będzie więc miało znaczenie, jaką fachowość prezentuje inspektor ochrony danych zaangażowany przez ten podmiot przetwarzający.

A co jeśli nie wyznaczę inspektora

Naruszenie przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego podlega administracyjnej karze pieniężnej w wysokości do 10 mln euro, a w przypadku przedsiębiorstw nawet do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (jeżeli te 2% wynosi mniej niż 10 mln euro, to w dalszym ciągu można nałożyć na przedsiębiorstwo karę do 10 mln euro).

Bez wątpienia jednym z takich penalizowanych obowiązków administratora i podmiotu przetwarzającego jest ustanowienie inspektora ochrony danych.

Ustalając, czy kara w ogóle powinna być nałożona, a także jaki powinien być jej wymiar, organ powinien wziąć pod uwagę m.in.:

  • charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody,
  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
  • wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego.

Ale to dopiero za dwa lata…

Rozporządzenie wchodzi w życie dopiero za dwa lata, czyli 25 maja 2018 r., a polski prawodawca będzie jeszcze musiał zmienić polską ustawę o ochronie danych osobowych oraz nawet 300 innych aktów. Mimo to administratorzy danych powinni już teraz patrzeć w przyszłość i podejmować pierwsze kroki związane z nowymi przepisami.

Zastosuj

W wieloletnich umowach o współpracę, w których kwestia danych osobowych jest poruszana (np. jedna ze stron powierza drugiej stronie przetwarzanie danych osobowych), warto obok administratora bezpieczeństwa informacji dopisywać np. taki zwrot: „lub inspektora ochrony danych”.

Jeżeli w regulacjach wewnętrznych spółki zamieszczane są odniesienia do administratora bezpieczeństwa informacji, dobrze rozważyć zdefiniowanie go jako także „inspektora ochrony danych” lub „wspólnego inspektora ochrony danych” – przez objęcie wszystkich tych „strażników danych” jedną definicją. Pozwoli to na prawidłowe przygotowanie terminologiczne aktów wewnętrznych.

Wreszcie już teraz, jeżeli nie uczyniono tego do tej pory, można upublicznić dane kontaktowe obecnego administratora bezpieczeństwa informacji przez podanie ich na stronie organizacji oraz informować o tych danych w klauzulach informacyjnych.

Nie bez znaczenia może być także zwiększenie popytu na usługi obecnych administratorów bezpieczeństwa informacji. Nie można przecież całkowicie wykluczyć niedostatku wykwalifikowanych inspektorów ochrony danych w początkowym okresie obowiązywania nowych regulacji, skoro tak drastycznie zwiększy się zakres administratorów danych zobowiązanych do zatrudnienia inspektora ochrony danych.

Z tego powodu warto rozważyć zatrudnienie lub rozpoczęcie szkolenia osoby, która obejmie obowiązki ABI, a w przyszłości inspektora ochrony danych.

Podstawa prawna: 
  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x