Inspektor Ochrony Danych Osobowych – outsourcing
Ogólne rozporządzenie o ochronie danych osobowych, które będzie obowiązujące od 25 maja 2018 r.wprowadza daleko idące zmiany dotyczące osoby, do zadań której należy nadzorowanie przestrzegania przepisów o ochronie danych osobowych w organizacji. Co ważne zmieni się nie tylko nazwa zajmowanego przez tę osobę stanowiska z administratora bezpieczeństwa informacji na inspektora ochrony danych, ale również jej kompetencje i zadania. Będzie on odgrywał kluczową rolę w systemie zarządzania bezpieczeństwem danych osobowych. Stąd też dokonanie wyboru kompetentnego inspektora ochrony danych, mającego zarówno bogatą wiedzę teoretyczną, jak i konkretne umiejętności praktyczne, nabiera coraz większego znaczenia.
Kiedy powołanie inspektora ochrony danych będzie obowiązkowe?
Obecnie w polskim prawodawstwie powołanie Administratora Bezpieczeństwa Informacji jest dobrowolne (zgodnie z art. 36b administrator albo powołuje ABI, albo sam wykonuje jego obowiązki), ale po wejściu w życie rozporządzenia dobrowolność wyznaczenia inspektora zostanie zachowana tylko dla części podmiotów z sektora prywatnego, gdyż obowiązek powołania inspektora dotyczy wszystkich jednostek administracji publicznej, a także wszystkich innych podmiotów, które przetwarzają dane osobowe na dużą skalę. Nie ulega wątpliwości, że za podmioty publiczne należy uznać przede wszystkim państwowe i samorządowe jednostki organizacyjne, w tym jednostki samorządu terytorialnego (np. gminy), które przetwarzają dane osobowe, jak również publiczne szkoły, przedszkola lub zakłady wodociągowe.
Przypadki, w których wyznaczenie inspektora ochrony danych będzie obowiązkowe, zostały opisane w art. 37 ust. 1 GDPR. Zgodnie z jego treścią do powołania inspektora ochrony danych będą zobligowane:
- wszystkie organy lub podmioty publiczne (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości),
- administratorzy danych oraz podmioty przetwarzające powierzone dane osobowe, których główna działalność polega na operacjach przetwarzania danych osobowych, które ze względu na ich charakter, zakres lub cele przetwarzania wymagają regularnego i systematycznego monitorowania na dużą skalę osób, których dane te dotyczą,
- administratorzy danych oraz podmioty przetwarzające powierzone dane osobowe, których główna działalność polega na przetwarzaniu na dużą skalę tzw. szczególnych kategorii danych (o których mowa w art. 9 ust. 1 GDPR) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (o których mowa w art. 10 GDPR).
Kim jest Inspektor Ochrony Danych Osobowych?
Inspektor ochrony danych osobowych to osoba, która w danej organizacji, firmie u danego przedsiębiorcy ma zajmować się z jednej strony doradzaniem w sprawie zasad ochrony danych osobowych a z drugiej – monitorowaniem działań administratora danych osobowych w tym zakresie.
Kryterium wyboru inspektora ochrony danych są jego kwalifikacje zawodowe, w szczególności specjalistyczna wiedza z zakresu prawa i praktyk w dziedzinie ochrony danych, oraz umiejętność realizacji ustawowych zadań.
Kwalifikacje zawodowe i wiedza fachowa wymagane od inspektora
Kwalifikacje zawodowe i wiedza fachowa wymagana od inspektora obejmują:
- znajomość krajowych i europejskich przepisów i praktyk w zakresie ochrony danych, w tym pogłębiona znajomość RODO,
- zrozumienie prowadzonych operacji przetwarzania, technologii informatycznych i bezpieczeństwa danych,
- znajomość organizacji i sektora, w którym działa,
- zdolność do promowania kultury ochrony danych wewnątrz organizacji.
Status i zadania inspektora danych w porównaniu z funkcją, jaką pełnił administrator bezpieczeństwa informacji ulega znaczącej zmianie.
W świetle RODO (art. 39) inspektor ochrony danych zobowiązany będzie do:
- informowania administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tym zakresie,
- monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora danych lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacji przetwarzania oraz powiązane z tym audyty,
- udzielania na żądanie zaleceń co d oceny skutków oraz monitorowanie ich wykonania w przypadku, gdy administrator danych przed rozpoczęciem przetwarzania zobowiązany jest do przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych,
- współpracy z organem nadzorczym,
- pełnienia funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, w przypadku gdy ocena skutków pod kątem przetwarzania niosłaby duże zagrożenia dla podmiotu danych, gdyby administrator nie przedsięwziął środków w celu zminimalizowania tego ryzyka, oraz w stosownych przypadkach prowadzenie konsultacji we wszystkich innych sprawach.
Unijne przepisy wskazują, iż inspektor ochrony danych osobowych musi mieć zagwarantowaną niezależność i podlegać najwyższemu kierownictwu tak, aby mógł bezpośrednio skontaktować się z osobami decyzyjnymi w sprawie przetwarzania danych osobowych a także mieć dostęp do wszystkich informacji, które związane są z przetwarzaniem danych osobowych w organizacji. Nie może być on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Niezależność Inspektora ma zapewniać również zakaz wydawania mu instrukcji, co do sposobu wykonywania jego obowiązków (niedopuszczalne będzie zatem np. zlecenie Inspektorowi, przez zarząd administratora, przygotowania raportu z audytu ochrony danych o określonej z góry treści). Ta gwarancja niezależności inspektora ochrony danych jest niezbędna dla zapewnienia mu możliwości wykonywania zadań. Dlatego też, Inspektor Ochrony Danych Osobowych powinien mieć zapewnione od strony Administratora Danych:
- aktywne wsparcie,
- wystarczające ilości czasu na wypełnienie obowiązków,
- odpowiednie wsparcie finansowe, infrastrukturalne (np. przez zapewnienie lokali i sprzętu) oraz przez oddelegowanie personelu,
- oficjalne poinformowanie wszystkich pracowników o wyznaczeniu inspektora ochrony danych,
- umożliwianie stałego poszerzania swojej wiedzy w zakresie ochrony danych osobowych.
Brak gwarancji niezależności inspektora ochrony danych narażałby go na nieformalną presję ze strony administratora danych lub zwierzchników w przypadkach, w których formułowane przez inspektora wnioski powodowałyby konieczność ponoszenia przez te podmioty kosztów czy obciążałyby odpowiedzialnością określone osoby.
Inspektor Ochrony Danych musi być właściwie i niezwłocznie angażowany we wszystkie sprawy dotyczące ochrony danych. Oznacza to, że powinien on uczestniczyć we wszystkich pracach, które mogą wpływać na kształt operacji związanych z przetwarzaniem danych osobowych w organizacji. Szczególną rolę Inspektora w procesie przetwarzania danych podkreśla art. 35 ust. 2 RODO, który nakłada na administratora danych obowiązek konsultowania się z Inspektorem w ramach procesu prowadzenia oceny ryzyka dla przetwarzanych danych.
Obowiązek publikacji
Podkreślenia wymaga przy tym, że RODO nakłada na administratorów lub podmioty przetwarzające obowiązek publikacji danych Inspektora oraz powiadomienia o nich Organów Nadzorczych, jako jeden z elementów spełnienia obowiązku informacyjnego. Osoby, których dane dotyczą, będą w sprawach przetwarzania ich danych kontaktować się bezpośrednio z inspektorem ochrony danych. Dane kontaktowe Inspektora powinny obejmować informacje umożliwiające zarówno podmiotom danych jak i Organowi Nadzorczemu kontakt z Inspektorem w prosty i poufny sposób (bez konieczności kontaktowania się z innymi departamentami organizacji). Publikacji powinny podlegać zatem co najmniej bezpośredni numer telefonu do Inspektora, adres służbowy oraz bezpośredni adres poczty elektronicznej, natomiast ewentualne wskazanie imienia i nazwiska Inspektora nie jest bezwzględnie konieczne i należy do decyzji administratorów lub podmiotów przetwarzających.
Administrator danych musi więc wziąć pod uwagę podczas wyznaczania osoby na stanowisko inspektora, iż już samo odpowiadanie na zapytania kierowanych od osób, których dane dotyczą, w praktyce może być czasochłonne.
Nowe przepisy istotnie wzmacniają rolę i pozycję inspektorów ochrony danych. Jednym z najważniejszych przejawów tego wzmocnienia jest fakt, że wyznaczenie inspektora ochrony danych, stanie się w wielu przypadkach obowiązkiem, a nie jak dotąd, uprawnieniem administratora danych.
Pomocne wskazówki, zalecenia i objaśnienia dotyczące stosowania ogólnego rozporządzenia o ochronie danych w zakresie, w jakim dotyczy ono inspektorów ochrony danych, zawierają przyjęte 13 grudnia 2016 r. Wytyczne Grupy Roboczej art. 29[1] dotyczące inspektorów danych osobowych.