Małgorzata Czartoryska
Ekspert RODO, prowadząca szkolenia w ApexNet.pl
Czy konieczne jest stworzenia w firmie stanowiska Inspektora Ochrony Danych Osobowych?
25 maja 2018 roku wchodzi w życie rozporządzenie unijne traktujące o ochronie danych osobowych, tzw. RODO. W jego treści pojawią się zapisy dotyczące Inspektora Ochrony Danych Osobowych (IODO) - jest to naturalny następca Administratora Danych Osobowych, czyli jednostki organizacyjnej, organu lub samodzielnego podmiotu decydującego o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 – „Ilekroć w ustawie jest mowa o administratorze danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych,”). Administrator Danych Osobowych jest podmiotem praw i obowiązków, sprawującym władzę nad przetwarzaniem danych osobowych przez zaciąganie zobowiązań i rozporządzanie prawami. Wszystkie osoby, które sprawują obowiązki Administratora Bezpieczeństwa Informacji, by zachować swój obecny status, powinny zostać zgłoszone w terminie do trzech miesięcy po wprowadzeniu RODO (do 25 sierpnia) do organu nadzorczego, czyli Generalnego Inspektora Danych Osobowych (GIODO). Nieustannie sprawuje on kontrolę nad zgodnością przetwarzania danych osobowych z przepisami ustawy, prowadzi jawny i ogólnokrajowy rejestr zbiorów danych osobowych, a także rozpatruje skargi i wydaje decyzje administracyjne.
Kto musi wprowadzić Inspektora Danych Osobowych?
Każdy pracownik może stać się IODO, pod warunkiem, iż jest on spoza organizacji. Nie wszyscy administratorzy są zobowiązani do wprowadzenia inspektora w swojej firmie. Obowiązek dotyczy jedynie organów wypełniających ustawowe przesłanki art. 5 kpa i art. 9 ustawy o finansach publicznych. Dotyczy to administratorów przetwarzających dane sensytywne (grupa szczególnie chronionych danych, takich jak np.: pochodzenie, filozofia, wiara) na masową skalę. Przykładem są administratorzy, którzy prowadzą na przykład sklep internetowy na bardzo dużą skalę, a co za tym idzie ich profilowanie jest wykonywane na dużą skalę (tzw. Cookies).
Główna działalność administratora polega na operacjach przetwarzania danych, które ze względu na swój charakter wymagają regularnego i systematycznego monitorowania (nadzór nad ruchem w sieci, ilością wejść na stronę itd.). Grupa przedsiębiorstw będzie mogła wyznaczyć jednego IODO, o ile będą mieli zagwarantowany z nim dobry kontakt. Firma może mieć tylko jednego Inspektora Danych Osobowych (zamiast kilku w różnych działach) pod warunkiem, iż będzie on stale dostępny pod ustalonymi wcześniej kanałami komunikacyjnymi (e-mail, telefon). W wypadku podmiotów publicznych ilość jednostek będzie ograniczona do kilku (maksymalnie do 9). Mowa tu o Administratorach, którzy są jednostkami organizacyjnymi szeroko rozumianej administracji publicznej.
Od 25 maja nie będzie obowiązku rejestracji zbirów w organie nadzorczym, zamiast tego powstanie za to obowiązek prowadzenia rejestru czynności przetwarzania.
Rola IODO, a osoby trzecie
Rola Inspektora Ochrony Danych Osobowych będzie niebagatelna. Poza reprezentacją Administratora Danych Osobowych ma on pełnić także nadzór nad przestrzeganiem powszechnie obowiązujących i wewnętrznych przepisów, a także dokonywać szacowania ryzyka w zakresie ochrony danych w oparciu o metody audytu. IODO będzie również przeprowadzał ocenę skutków wdrożenia nowych rozwiązań dla ochrony danych osobowych, a ponad to będzie na nim spoczywać obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych w związku z likwidacją obowiązku rejestracji zbiorów danych osobowych w GIODO.
Zmianie ulegnie fakt, iż inspektorzy nie będą już więcej uwidoczniani w jawnym rejestrze. Administratorzy Danych Osobowych będą mieli jednak obowiązek umieszczenia w Biuletynie Informacji Publicznej (BIP) lub na swoich stronach internetowych następujących danych IODO: imienia, nazwiska, numeru telefonu oraz adresu e-mail. Inspektor będzie bowiem skrzynką kontaktową pomiędzy Administratorem, a osobami trzecimi, właścicielami danych osobowych oraz pomiędzy organem nadzoru.
W wielu jednostkach to IODO będzie odpowiedzialny za tworzenia dokumentacji ochrony danych osobowych, udzielanie odpowiedzi na pytania osób trzecich i właścicieli danych osobowych oraz za współpracę z podmiotami przetwarzającymi. Zadania, a także obowiązki, jakie nakłada na IODO Rozporządzenie danych osobowych są bardzo obszerne, dlatego tez winien on być przez ADO niezwłocznie, prawidłowo I na bieżąco włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Jest to pewna kwestia skutecznej współpracy – Administrator działa tak naprawdę w dobrej wierze i z własnej woli, toteż musi on być nieustannie informowany o innowacjach, wdrożeniach, programach czy profilach działalności funkcjonujących w firmie. IODO gwarantuje za to poprawność wykonywanej pracy, szczególnie w przypadku kontroli – jest on odpowiedzialny za swoją pracę, dlatego wszystkie informacje muszą być pełne i zgodne z prawdą.
Podsumowanie Eksperta
Inspektor Ochrony Danych Osobowych nie powinien wykonywać innych obowiązków poza obowiązkami inspektora, mimo, że RODO pozwala łączyć tę funkcję z innymi (o ile nie będą ze sobą kolidować). IODO nie powinien podlegać presji, naciskom czy instrukcjom ADO. Nie będzie on ani odwoływany, ani karany za wypełnianie swoich zadań przez administratora, ponosi on jednak odpowiedzialność za swoje czyny: jeśli inspektorem zostaje pracownik firmy, to ciąży na nim odpowiedzialność pracownicza, gdzie w przypadku niezgodności ponosi on karę w postaci trzech pensji wynagrodzenia. Jest inspektorem zostaje osoba z zewnątrz firmy, to wszelką odpowiedzialność zawiera się w umowie – może to być odpowiedzialność gwarancyjna czy kara umowna.
Podmiot przetwarzający podlegać będzie najwyższemu kierownictwu administratora lub podmiotowi przetwarzającemu, natomiast IODO będzie zobligowany do zachowania tajemnicy lub poufności przy wykonywaniu zadań; będzie tez musiał wypełniać swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze kontekst, charakter, zakres i cele przetwarzania.