Inspektor ochrony danych vs. ABI. Co zmienia RODO?

Wejście w życie Ogólnego Rozporządzenia o ochronie danych osobowych (RODO) istotnie zmieni sytuacje prawną administratorów bezpieczeństwa informacji. Inspektor ochrony danych (IOD) zastąpi ABI. Będzie to tylko zmiana nazwy? Co z dotychczasowymi osobami pełniącymi funkcję ABI?

Obowiązek wyznaczenia IOD

Art. 37 ust. 1 RODO stanowi podstawę do obowiązkowego powołania IOD przez administratora. Sytuacje, w których IOD będzie musiał zostać wyznaczony są następujące:

  1. przetwarzania dokonują organ lub podmiot publiczny;

  2.  główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;

  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych).

1. Podmioty publiczne

Jasną podstawą obowiązkowego wyznaczenia inspektora ochrony informacji jest punkt 1. Wszystkie organy lub podmioty publiczne będą musiały wyznaczyć IOD. Obowiązkiem tym zostaną objęte m.in. gminy, prokuratury, urzędy skarbowe czy samorządowe kolegia odwoławcze. Wyznaczenie IOD będzie również obowiązkowe dla urzędów wojewódzkich czy marszałkowskich.

2. Monitorowanie na dużą skalę

Sytuacja z pkt 2 nie jest już tak klarowna. RODO nie wyjaśnia, co należy rozumieć przez „dużą skalę”. Również pojęcie „monitorowanie” nie jest do końca jasne. RODO używa tego pojęcia w wielu miejscach i w różnych kontekstach. Jednak już teraz można stwierdzić, że monitorowanie może odnosić się do usługodawców internetowych, którzy obserwują zachowania swoich użytkowników i na tej podstawie dokonują profilowania.

3. Przetwarzanie danych wrażliwych

Obowiązek  wyznaczenia inspektora ochrony powstanie również w sytuacji przetwarzania szczególnych kategorii danych osobowych (danych wrażliwych). Obejmie on szpitale, związki wyznaniowe czy podmioty archiwizujące dokumentację medyczną.

Wspólny IOD dla grupy przedsiębiorstw.

Ważna dla przedsiębiorców działających w ramach grupy będzie możliwość wyznaczenia wspólnego IOD. Ważne jest, aby tak wyznaczony IOD był na bieżąco i łatwo dostępny dla wszystkich podmiotów wchodzących w skład grupy. Dotychczas brak było podstawy do wyznaczenia jednego ABI dla grupy przedsiębiorstw.

Outsourcing IOD

RODO jednoznacznie przesądza, że IOD może być pracownikiem administratora danych osobowych, ale również może być osobą zewnętrzną. Na gruncie obecnie obowiązującej ustawy outsourcing ABI nie był jednoznacznie dozwolony, jednak wielu przedsiębiorców decydowało się na takie rozwiązanie. Teraz outsourcing IOD stanie się bezproblemowy.

Kwalifikacje zawodowe IOD

Zgodnie z RODO Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych. Ponadto, musi on zapewnić prawidłowe wykonanie zadań szczegółowo unormowanych w art. 39 RODO. W odróżnieniu od ustawy o ochronie danych osobowych, RODO nie przewiduje obowiązku niekaralności IOD, czy posiadania pełni praw publicznych.

Inspektor ochrony danych – nowa nazwa, nowe zadania

Przede wszystkim inspektor ochrony danych musi zostać był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Oznacza to, że IOD nie może zostać pominięty w żadnej kwestii związanej z przetwarzaniem danych. Wyznaczający IOD musi zapewnić mu odpowiednie narzędzia, aby inspektor ochrony danych mógł prawidłowo wykonywać swoje zadania. Ponadto, konieczne jest zapewnienie szkoleń w celu utrzymania przez IOD wiedzy fachowej.

Do szczegółowych zadań IOD należy między innymi:

  1. informowanie administratora, o obowiązkach spoczywających na nich na mocy RODO i doradzanie im w tej sprawie;

  2. monitorowanie przestrzegania RODO;

  3. monitorowanie przestrzegania polityk ochrony danych wprowadzonych przez administratora;

  4. szkolenia personelu uczestniczącego w przetwarzaniu danych;

  5. przeprowadzanie audytów bezpieczeństwa;

  6. współpraca z organem nadzorczym (GIODO).

ABI vs. IOD

Na razie nie wiadomo, czy wejście w życie RODO spowoduje automatyczne odwołanie ABI. Zmiany zadań, które mają wykonywać IOD są na tyle istotne, że z pewnością rewizja kompetencji obecnych ABI będzie konieczna.

Certyfikaty ochrony danych a IOD

Otrzymanie certyfikatu ochrony danych będzie wymagało od IOD szczegółowego wykazania prawidłowości wykonywania zadań. Jeżeli inspektor ochrony danych nie będzie wykonywał swoich zadań zgodnie z RODO, to administratorowi nie zostanie przyznany certyfikat lub znak jakości ochrony danych osobowych.

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *