Inspektor ochrony danych to nowa instytucja służąca wypełnianiu zadań z zakresu zapewnienia działania różnych podmiotów zgodnie z prawem oraz do współpracy z organem nadzoru.
Inspektor ochrony danych osobowych, który w skrócie nazywany jest IOD, ma pełnić kluczową rolę w nowym systemie ochrony, stworzonym przez unijne Ogólne Rozporządzenie w sprawie Danych Osobowych (dalej RODO: wejdzie w życie 25 maja 2018 r.). Wprawdzie instytucja podmiotu stojącego na straży przestrzegania danych wewnątrz organizacji nie jest obca polskiemu porządkowi – na mocy ustawy o ochronie danych osobowych z 29 sierpnia 1997 r. funkcjonuje administrator bezpieczeństwa informacji (ABI), niemniej jednak poszczególne kwestie związane z powołaniem, statusem i zadaniami IOD różnią się od obowiązujących regulacji.
Różnice pomiędzy IOD, a ABI
Powołanie IOD jest obligatoryjne we wskazanych w RODO przypadkach, podczas gdy powołanie ABI ma zawsze charakter fakultatywny.
Wskazane przesłanki zawierają kilka pojęć nieostrych, które wymagają doprecyzowania.
- Główna działalność, zgodnie z preambułą RODO oznacza zasadnicze, a nie poboczne czynności. Grupa art. 29 podkreśla, że przetwarzanie danych będzie uznane za główną działalność także, gdy jest ono nieodłączną częścią działalności np. przetwarzanie danych przez szpital.
- Zaklasyfikowanie działalności jako przetwarzania na dużą skalę będzie podlegać indywidualnej ocenie. W celu ułatwienia jej przeprowadzenia, Grupa art. 29 rekomenduje, by uwzględniać takie czynniki jak: liczba osób, których dane są przetwarzane, rozmiar i różnorodność przetwarzanych danych, czas trwania, sposób, czy zakres terytorialny przetwarzania.
- Zgodnie ze wskazówkami Grupy art. 29, regularne i systematyczne monitorowanie może oznaczać powtarzające się czynności, które są zaplanowane lub przewidziane przez system.
Jeśli podmiot uznaje, że nie ma obowiązku powołania inspektora, Grupa art. 29 zaleca sporządzenie dokumentacji, która wskazuje na brak takiego obowiązku. Dzięki temu, w razie wątpliwości, możliwe będzie zweryfikowanie, czy administrator lub podmiot przetwarzający dane uwzględnił istotne czynniki podczas oceny. Zachęca się administratorów do powołania inspektora także, gdy nie jest to obligatoryjne. Fakultatywnie powołany inspektor będzie musiał spełniać wszystkie wymagania nałożone przez RODO.
Jeden Inspektor?
Powołanie jednego inspektora ochrony danych przez grupę przedsiębiorców jest możliwe pod warunkiem zapewnienia łatwego kontaktu z inspektorem każdej jednostce organizacyjnej. W konsekwencji – powołanie jednego inspektora dla kilku podmiotów nie może powodować zakłóceń w wykonywaniu zadań, w tym komunikowania się z podmiotami, których dane są przetwarzane oraz z właściwymi organami. Dlatego należy zapewnić, że dane kontaktowe inspektora są dostępne zgodnie z wymogami RODO oraz, że komunikacja nie będzie zakłócona z powodu barier językowych.
Kwalifikacje inspektora
Zgodnie z aktualnym stanem prawnym na stanowisko ABI można powołać osobę niekaraną za przestępstwa umyślne, o pełnej zdolności do czynności prawnych, posiadającą wiedzę w zakresie ochrony danych. Przepisy RODO kładą większy nacisk na wymóg dotyczący kwalifikacji profesjonalnych i personalnych. IOD ma być wyznaczany na podstawie kwalifikacji zawodowych, w szczególności wiedzy na temat prawa i praktyk w dziedzinie ochrony danych. Inspektor powinien także dysponować dogłębną wiedzą o organizacji. Konieczna będzie także znajomość technologii oraz stosowanych przez organizację rozwiązań informatycznych. Grupa art. 29 wskazuje, że poziom kwalifikacji będzie musiał być dostosowany do skali przetwarzania danych z uwzględnieniem przenoszenia danych poza granice Unii.
Niezależność Inspektora
RODO wskazuje, że na stanowisko IOD można wyznaczyć członka personelu administratora lub podmiotu przetwarzającego, a także osobę z zewnątrz organizacji pełniącą funkcję inspektora na podstawie umowy o świadczenie usług. Niezależnie od tego, kto będzie pełnił rolę inspektora – pracownik czy podmiot zewnętrzny – należy zapewnić, jego niezależność. Aby tak było:
- inspektor musi podlegać bezpośrednio wyłącznie najwyższemu kierownictwu administratora lub podmiotu przetwarzającego;
- administrator oraz podmiot przetwarzający zapewniają, by IOD nie otrzymywał instrukcji dotyczących wykonywania swoich zadań,
- inspektor nie może być karany ani odwołany przez administratora lub przetwarzającego dane za wypełnianie swoich zadań,
- należy zapewnić, aby wykonywane przez IOD zadania nie powodowały konfliktu interesów.
RODO wzmocni pozycję i niezależność inspektorów. Niemniej jednak ogólne założenia dotyczące działalności IOD w porównaniu do ABI nie ulegną zmianie.
Zadania inspektora
IOD powinien być włączany we wszystkie sprawy dotyczące ochrony danych. Do jego zadań należy informowanie administratora, podmiotu przetwarzającego dane oraz pracowników o obowiązkach związanych z ochroną danych. Dodatkowo inspektor będzie odpowiedzialny za monitorowanie przestrzegania przepisów RODO, co będzie polegało m.in. na identyfikacji czynności przetwarzania danych, analizowaniu ich pod kątem zgodności z prawem oraz sporządzaniu rekomendacji. Zadaniem inspektora będzie też współpraca z organami nadzoru.
RODO rozszerza zakres zadań powierzonych inspektorowi, który będzie miał obowiązki związane z oceną skutków dla ochrony danych (tzw. privacy impact assesment), a także będzie pełnił rolę punktu kontaktowego dla osób, których dane są przetwarzane. W tym celu, w momencie pozyskiwania danych, administrator powinien informować o danych kontaktowych inspektora.
Warto zaznaczyć, że mimo zakresu obowiązków inspektora, to administrator i podmiot przetwarzający dane ponoszą wyłączną odpowiedzialność za przestrzeganie przepisów RODO. Są oni również zobowiązani wspierać inspektora w wykonywaniu jego zadań, zapewniając mu odpowiednie zasoby i warunki organizacyjne.