Inspektor ochrony danych – nowa rola i nowe obowiązki

Środowiska zainteresowane ochroną danych osobowych od dawna czekały na nowe prawo, bowiem wcześniejsze regulacje okazały się mało skuteczne lub nieadekwatne do potrzeb płynących z gwałtownego rozwoju światowej gospodarki – szczególnie technik informatycznych oraz medycyny. Nowe przepisy zmieniają zasadniczo obowiązki i uprawnienia podmiotów obowiązanych do ochrony danych osobowych, ale też sposób nadzoru nad przestrzeganiem nowych regulacji.

Jedną z takich zmian, która wymaga przybliżenia – szczególnie w kontekście małych i średnich przedsiębiorców – jest wprowadzenie nowego podmiotu w ramach struktur nadzorujących wypełnianie przepisów, czyli Inspektora Ochrony Danych (Inspektor), w miejsce obecnego Administratora Bezpieczeństwa Informacji (ABI). Zmiana nazwy pociąga za sobą zmianę charakteru funkcji, którą będzie pełniła osoba piastująca to stanowisko.

Administrator Bezpieczeństwa Informacji był podmiotem powoływanym przez administratora danych, przy czym faktyczną rolą ABI było wypełnianie szeregu czynności administracyjnych. Ustawa o ochronie danych osobowych definiowała zakres obowiązków ABI jako dążenie do zapewnienia przestrzegania przepisów o ochronie danych osobowych poprzez: sprawdzanie zgodności procedur z przepisami, nadzorowanie bieżącej dokumentacji związanej z ochroną danych, prowadzenie rejestrów zbiorów danych osobowych oraz zapoznanie osób upoważnionych do przetwarzania danych z przepisami. W praktyce ABI zajmował się pilnowaniem ewidencji, organizowaniem lub prowadzeniem szkoleń dla osób zajmujących się przetwarzaniem danych osobowych, aktualizacją wniosków do GIODO, pilnowaniem wdrażania mechanizmów kontrolnych wskazanych literalnie w ustawie czy rozporządzeniach, rozpoznawaniem wniosków pochodzących od osób, których dane były przetwarzane. Obowiązki ABI były ustalane w oparciu o udzielone im umocowanie, jednakże w wielu przypadkach mieli oni niewielki wpływ na to, jak dane osobowe bywały w rzeczywistości przetwarzane – jak były chronione przez działy informatyki i działy bezpieczeństwa informacji oraz do czego były wykorzystywane przez działy biznesowe. Z tego też powodu pojawiła się potrzeba wzmocnienia roli osoby odpowiedzialnej za nadzór nad ochroną danych osobowych w firmach.

Potrzeba rynku wymogła na europejskim ustawodawcy konieczność poszerzenia roli i zadań osoby sprawującej nadzór nad ochroną danych osobowych u przedsiębiorców. Wprowadzony zmienionymi przepisami Inspektor Ochrony Danych z założenia ma być osobą, która będzie miała realny wpływ na to, jak chroni się przetwarzane dane osobowe, a jego rola nie będzie się już sprowadzała do działań czysto formalnych.

Przede wszystkim Inspektor będzie wyznaczany zawsze, gdy przetwarzanie danych osobowych będzie dokonywane przez podmiot publiczny (z wyjątkiem sądów, w ramach sprawowania przez nie wymiaru sprawiedliwości), gdy przetwarzanie polega w znacznej mierze na regularnym i systematycznym monitorowaniu osób na dużą skalę oraz gdy główna działalność administratora polegać będzie na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (dawniej – wrażliwych danych osobowych). W innych przypadkach powołanie Inspektora Ochrony Danych nie będzie obowiązkowe, jednak zakres wymagań, jakie nowe prawo stawia przedsiębiorcom, w tym także małym i średnim, powoduje, że wszelkie przedsiębiorstwa, koncentrujące się na profilowaniu i gromadzeniu informacji, które wcale niekoniecznie wprost gromadzą podstawowe dane osobowe, ale posiadają na tyle dużo informacji o poszczególnych osobach, że możliwa jest ich identyfikacja, muszą bardzo poważnie potraktować nowe obowiązki. Warto jednocześnie dodać, że nowe obowiązki będą niezależne do kraju, w którym przedsiębiorca ma siedzibę lub gdzie w rzeczywistości przetwarzane są dane obywateli UE.

Inspektor Ochrony Danych nie musi być członkiem personelu administratora, lecz może wykonywać zadania na podstawie umowy o świadczenie usług. Zwraca się uwagę, że grupa przedsiębiorstw może wyznaczyć jednego – wspólnego Inspektora. Dopuszczalne jest również, by jedna osoba pełniła tę funkcję dla kilku podmiotów. W obu przypadkach niezbędne jest jednak zapewnienie, by Inspektor był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Oznacza to wprost, że Inspektor powinien mieć bieżącą – operacyjną wiedzę o wszystkich istniejących oraz planowanych inicjatywach w ramach organizacji, które koncentrują się na przetwarzaniu danych osobowych. W ramach każdej z tych inicjatyw Inspektor powinien po przeprowadzonej analizie potwierdzić, że dane są chronione w sposób należyty. Jednym z celów tak ukształtowanych obowiązków jest ukrócenie istniejącej często obecnie praktyki, w której Administrator Bezpieczeństwa Informacji pełni swoją funkcję w stu różnych podmiotach, nie mając realnego wpływu ani kontroli nad zapewnieniem przez te podmioty właściwej ochrony danych.

W świetle nowych uregulowań Inspektor Ochrony Danych powinien być wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia spoczywających na nim zadań.

Wśród zadań, które Inspektor zobowiązany będzie wykonywać, znajdzie się między innymi:

bieżące informowanie administratora i pracowników o obowiązkach spoczywających na nich na mocy rozporządzenia;

monitorowanie przestrzegania rozporządzenia i innych przepisów o ochronie danych oraz polityki administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

udzielanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;

współpraca z organem nadzorczym, w tym pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych.

Szczególnie podkreślane jest, że Inspektor powinien wypełniać swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania danych, mając na uwadze charakter, zakres, kontekst i cele ich przetwarzania. Oznacza to, że będzie on musiał merytorycznie zagłębiać się we wszystkie procesy przetwarzania danych osobowych, będzie musiał rozumieć ich kontekst biznesowy, potencjalne skutki naruszenia bezpieczeństwa danych, a także skuteczność obecnie wdrożonych mechanizmów kontrolnych. W przypadku wykrycia niespójności praktyk podmiotu i przepisów prawa oraz mechanizmów kontrolnych lub przy pojawieniu się nadmiernego ryzyka niekompensowanego odpowiednimi – skutecznymi zabezpieczeniami, Inspektor będzie musiał przekazać zalecenia, które powinny być uwzględnione w działaniach podmiotu przetwarzającego dane.

Warto podkreślić, że Inspektor powinien mieć zapewnioną pełną niezależność, co wydaje się oczywiste z punktu widzenia roli, jaka została mu przypisana. Nie może on być odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań, podlega bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Oczywiście Inspektor będzie zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań.

Podsumowując, należy stwierdzić, że Inspektor Ochrony Danych będzie podmiotem realnie wspierającym przedsiębiorców i inne podmioty uprawnione lub obowiązane do jego powołania, w przestrzeganiu prawidłowej ochrony danych osobowych. Dotychczasowe formalne działania Administratora Bezpieczeństwa Informacji mają zostać zastąpione bieżącym doradztwem profesjonalnego Inspektora w działaniach przedsiębiorców związanych z przetwarzaniem danych. Zapowiadane kontrole ochrony danych osobowych także u małych i średnich przedsiębiorców mogą spowodować, że powszechną praktyką będzie współpraca z Inspektorem, który, działając na podstawie dobrze skonstruowanej umowy o świadczenie usług, przynajmniej w pewnych zakresach będzie odpowiadał za prawidłowość działań przedsiębiorców w opisanym obszarze.