Jak Rozporządzenie UE o ochronie danych osobowych zmienia pozycję administratora bezpieczeństwa informacji w organizacji
Rozporządzenie UE o ochronie danych osobowych (dalej: Rozporządzenie) mówi o wyznaczeniu inspektora ochrony danych (dalej: Inspektora). Inspektor jest odpowiednikiem znanego nam z krajowej ustawy o ochronie danych osobowych administratora bezpieczeństwa informacji (dalej: ABI). Warto przyjrzeć się w szczególności statusowi Inspektora oraz jego zadaniom w organizacji.
- Rafał Stępniewski
- /
- 29 lipca 2016
Rozporządzenie UE o ochronie danych osobowych (dalej: Rozporządzenie) mówi o wyznaczeniu inspektora ochrony danych (dalej: Inspektora). Inspektor jest odpowiednikiem znanego nam z krajowej ustawy o ochronie danych osobowych administratora bezpieczeństwa informacji (dalej: ABI). Warto przyjrzeć się w szczególności statusowi Inspektora oraz jego zadaniom w organizacji.
Monitorowanie przestrzegania przepisów
Zgodnie z art. 38 ust. 1 Rozporządzenia, Inspektor powinien być właściwie i niezwłocznie włączany, przez administratora danych lub podmiot przetwarzający, we wszystkie sprawy związane z ochroną danych osobowych. Czyli, jeżeli firma zamierza zatrudnić nowego pracownika w dziale sprzedaży, który ma uzyskać dostęp do danych osobowych klientów, powinna poinformować Inspektora, aby podjął niezbędne działania, m.in. nadać upoważnienia do przetwarzania danych osobowych, przeszkolić z obowiązujących zasad ochrony danych osobowych w firmie i przepisów prawa, nadać uprawnienia do obsługiwanych przez firmę programów przetwarzających dane osobowe. Identycznie, administrator danych lub podmiot przetwarzający powinien postąpić w sytuacji wystąpienia zdarzenia mogącego skutkować naruszeniem ochrony danych osobowych, np. otwarcia przez pracownika pliku z fakturą zawierającego wirusa, blokującego dostęp do plików z danymi przez ich zaszyfrowanie.
Powyższa kwestia jest związana z zadaniami Inspektora określonymi w art. 39 Rozporządzenia, czyli monitorowania przestrzegania przepisów Rozporządzenia i innych przepisów unijnych oraz krajowych przepisów ustaw i rozporządzeń, dotyczących ochrony danych osobowych, a także polityk wdrożonych przez administratora danych lub podmiot przetwarzający. Monitorowanie przejawia się w bieżącym śledzeniu zmian prawnych, aktualizacji polityk ochrony danych osobowych, prowadzeniu działań zwiększających świadomość personelu uczestniczącego w przetwarzaniu danych osobowych oraz prowadzeniu audytów.
W celu wykonywania zadań, administrator danych lub podmiot przetwarzający zapewnia niezbędne wsparcie dla Inspektora, w formie środków organizacyjnych (np. oddzielne pomieszczenie i dedykowany sprzęt), dostępu do wszelkich niezbędnych informacji (np. akta osobowe pracowników, umowy z kontrahentami) czy zasobów, niezbędnych do utrzymania nabytej wiedzy (np. dostęp do płatnych portali z bazą orzeczeń sądów). Jednocześnie, na co wprost wskazuje Rozporządzenie, Inspektor podlega bezpośrednio najwyższemu kierownictwu, które nie wydaje żadnych wytycznych dotyczących wykonywania przez Inspektora zadań (art. 38 ust. 3).
Wykonywanie zadań, bezpośrednie umocowanie pod najwyższym kierownictwem czy informowanie Inspektora o wszelkich sytuacjach nie są niczym nowym, jeśli zestawimy opisane przepisy z przepisami Ustawy. W tym zakresie Rozporządzenie nie wprowadza w praktyce niczego nowego w stosunku do Ustawy, celem wzmocnienia pozycji Inspektora w organizacji. Jednakże Rozporządzenie wyszczególnia obowiązki, które mogą być czynnikiem wzmacniającym pozycję Inspektora, jako osoby niezbędnej we właściwym prowadzeniu działalności, zapewniającej zgodność z przepisami Rozporządzenia.
Obwiązki inspektora ochrony danych osobowych
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Ocena skutków przetwarzania
Rozporządzenie wprowadza obowiązek monitorowania oceny skutków przetwarzania dla ochrony danych i współpracy z organem nadzorczym, m.in. w zakresie uprzednich konsultacji związanych z dokonywaną oceną skutków (art. 39 ust. 1 pkt c-e). Inspektor jest więc punktem kontaktowym i jednocześnie osobą, z którą organ nadzorczy omawia wszelkie kwestie związane z oceną skutków związaną z przetwarzaniem danych osobowych, m.in. rodzaj operacji przetwarzania (udostępnienie, powierzenie, profilowanie itp.), cel przetwarzania, kategorie danych osobowych, a także wskazuje kierunki działań celem zachowania zgodności ocenianego przetwarzania z Rozporządzeniem.
Współpraca z organem nadzorczym
Obowiązek współpracy z organem nadzorczym, który egzekwuje przestrzeganie przepisów o ochronie danych osobowych, może być postrzegane przez najwyższe kierownictwo w kategoriach ujawniania zaniedbań w zakresie przetwarzania danych osobowych. Jednakże Rozporządzenie kładzie w dużej mierze nacisk na współpracę organu nadzorczego z administratorem danych lub podmiotem przetwarzającym i Inspektorem na etapie wprowadzenia określonego rodzaju przetwarzania, m.in. koncepcji dokonania oceny wpływu projektowanego rozwiązania organizacyjnego lub technicznego na ochronę danych osobowych czy dokonanie oceny skutków przetwarzania przed jego wprowadzeniem.
Można zatem postawić wniosek, że współpraca Inspektora z organem nadzorczym ma charakter proaktywny, przewiduje bowiem wspólną pracę nad spełnieniem wymogów Rozporządzenia w kontekście wdrożenia nowych technologii czy zmian organizacyjnych, zwiększających efektywność wykonywanej pracy. Rolą Inspektora jest zapewnienie, że organizacja chroni przetwarzane dane osobowe zgodnie z wymogami prawnymi i najlepszymi, utrwalonymi praktykami, przy jak najmniejszym obciążeniu dla prowadzonej działalności.
Obowiązek wyznaczenia inspektora ochrony danych
Rozporządzenie zobowiązuje do wyznaczenia Inspektora, gdy administrator danych lub podmiot przetwarzający jest organem lub podmiotem publicznym, główna działalność polega na przetwarzaniu danych osobowych na dużą skalę oraz, kiedy główna działalność administratora danych lub podmiotu przetwarzającego wiąże się z przetwarzaniem danych osobowych szczególnie chronionych, na dużą skalę.
Każdy organ lub podmiot publiczny jak i podmiot przetwarzający dane osobowe szczególnie chronione musi wyznaczyć Inspektora, co może oznaczać, że organ nadzorczy będzie zwracać szczególną uwagę na przestrzeganie przepisów Rozporządzenia przez te podmioty, ze względu na przetwarzanie danych osobowych ogromnej liczby osób, nierzadko danych szczególnie chronionych. W połączeniu z wysokimi grzywnami za naruszenia przepisów, zachowanie zgodności z Rozporządzeniem może być czynnikiem zwiększającym pozycję Inspektora wraz z jednoczesnym postrzeganiem jego jako osoby, której rola nie sprowadza się do utrudnienia pracownikom wykonywania zadań, lecz do zapewnienia bezpieczeństwa przetwarzanych danych osobowych, które są nie mniej ważne aniżeli np. dane finansowe.
Inspektor ochrony danych w podmiotach prywatnych
O ile podmioty publiczne muszą wyznaczyć Inspektora i zapewnić mu niezbędne wsparcie dla realizacji zadań, o tyle podmioty prywatne mają większą swobodę. Wobec faktu, że Inspektor w podmiocie prywatnym jest postrzegany jako obciążenie finansowo-organizacyjne (szczególnie w małych organizacjach), jego pozycja może być znacznie bardziej ograniczona.
Pierwotne brzmienie przepisów Rozporządzenie, przyjęte 27 stycznia 2012 r., w zakresie wyznaczenia Inspektora przewidywało obowiązek jego wyznaczenia, jeżeli administrator danych lub podmiot przetwarzający zatrudnia 250 i więcej osób. Obowiązująca wersja Rozporządzenia nie zawiera tego obowiązku, co może być czynnikiem, który, wbrew intencjom twórców przepisów, nie wzmacnia pozycji Inspektora, mimo znacznie większej liczby obowiązków i wysokości grzywien za ich niespełnienie, szczególnie w sytuacji, gdy duże organizacje, jak korporacje, przetwarzają znaczną ilość danych osobowych pracowników czy klientów, stosują najnowsze technologie przetwarzania danych osobowych, przekazują dane osobowe do oddziałów rozrzuconych po całym świecie. Z drugiej strony, trudno spodziewać się, by mała organizacja zatrudniająca do 20 osób, nieprzetwarzająca danych osobowych szczególnie chronionych bądź na dużą skalę, miała dokonywać zmian organizacyjnych i ponosić związane z tym koszty. Dobrze więc, że pozostawiono możliwość wyboru. W zamian jednak wyznaczenie Inspektora będzie determinowane oceną czy przetwarzanie danych osobowych odbywa się na dużą skalę. Z racji braku interpretacji pojęcia „na dużą skalę”, kwestia ta pozostaje nierozstrzygnięta i rodzi wiele pytań, na które obecnie nie ma odpowiedzi.
Przyszłość inspektora ochrony danych
Poruszony temat pozycji Inspektora, odpowiednika ABI, ma na celu wskazanie potencjalnego kierunku rozwoju instytucji Inspektora i jego pozycji w organizacji.
Niestety pozycja Inspektora w organizacji nie zmieni się w znaczący sposób. Wczytując się w przepisy Ustawy i Rozporządzenia można dojść do wniosku, że Rozporządzenie, wbrew zapowiedziom, nie przyczyni się do wzmocnienia jego pozycji w organizacji. W pierwotnej wersji, Rozporządzenie wprowadziło kadencyjność Inspektora wynoszącą 2 lata oraz brak możliwości jego odwołania, z wyjątkiem sytuacji, kiedy byłby niezdolny do realizacji swoich zadań. W obowiązującej wersji brakuje przepisu o kadencyjności. Co prawda, art. 38 ust. 3 nie pozwala odwoływać ani karać Inspektora za realizację zadań, lecz może być pociągnięty do odpowiedzialności za naruszenie obowiązku zachowania tajemnicy lub poufności wynikających z innych ustaw, co do wykonywanych zadań, zgodnie z art. 38 ust. 5.
Z ostateczną oceną trzeba będzie poczekać do momentu, kiedy zostaną opracowane stanowiska i wytyczne co do sposobów wykonywania zadań przez Inspektora czy określenia, które czynności w ramach współpracy z organem nadzorczym mogą naruszyć tajemnice prawnie chronione.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?
