Inspektor ochrony danych vs. ABI. Co zmienia RODO?

Wejście w życie Ogólnego Rozporządzenia o ochronie danych osobowych (RODO) istotnie zmieni sytuacje prawną administratorów bezpieczeństwa informacji. Inspektor ochrony danych (IOD) zastąpi ABI. Będzie to tylko zmiana nazwy? Co z dotychczasowymi osobami pełniącymi funkcję ABI? Jak będzie prowadzony proces ewidencjonowania IOD?

Obowiązek wyznaczenia IOD

Art. 37 ust. 1 RODO stanowi podstawę do obowiązkowego powołania IOD przez administratora. Sytuacje, w których IOD będzie musiał zostać wyznaczony są następujące:

  1. przetwarzania dokonują organ lub podmiot publiczny;

  2. główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;

  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych).

1. Podmioty publiczne

Jasną podstawą obowiązkowego wyznaczenia inspektora ochrony informacji jest punkt 1. Wszystkie organy lub podmioty publiczne będą musiały wyznaczyć IOD. Obowiązkiem tym zostaną objęte m.in. gminy, prokuratury, urzędy skarbowe czy samorządowe kolegia odwoławcze. Wyznaczenie IOD będzie również obowiązkowe dla urzędów wojewódzkich czy marszałkowskich. W projekcie ustawy o ochronie danych osobowych wskazano (w art. 4), że podmiotami publicznymi są organy publiczne w rozumieniu art. 5 § 2 pkt 3 KPA oraz podmioty publiczne wskazane w art. 9 ustawy o finansach publicznych. Wszystkie takie jednostki będą musiały wyznaczyć IOD.

2. Monitorowanie na dużą skalę

Sytuacja z pkt 2 nie jest już tak klarowna. RODO nie wyjaśnia, co należy rozumieć przez pojęcie „dużej skali” . Również pojęcie „monitorowanie” nie jest do końca jasne. RODO używa tego pojęcia w wielu miejscach i w różnych kontekstach. Jednak już teraz można stwierdzić, że monitorowanie może odnosić się do usługodawców internetowych, którzy obserwują zachowania swoich użytkowników i na tej podstawie dokonują profilowania. Ponadto, można wskazać, że stosowanie monitoringów wizyjnych może oznaczać konieczność powołania IOD. Dotyczy to np. firm ochroniarskich.

3. Przetwarzanie danych wrażliwych

Obowiązek  wyznaczenia inspektora ochrony powstanie również w sytuacji przetwarzania szczególnych kategorii danych osobowych (danych wrażliwych). Obejmie on szpitale, związki wyznaniowe czy podmioty archiwizujące dokumentację medyczną.

Wspólny IOD dla grupy przedsiębiorstw.

Ważna dla przedsiębiorców działających w ramach grupy będzie możliwość wyznaczenia wspólnego IOD. Ważne jest, aby tak wyznaczony IOD był na bieżąco i łatwo dostępny dla wszystkich podmiotów wchodzących w skład grupy. Dotychczas brak było podstawy do wyznaczenia jednego ABI dla grupy przedsiębiorstw.

Outsourcing IOD

RODO jednoznacznie przesądza, że IOD może być pracownikiem administratora danych osobowych, ale również może być osobą zewnętrzną. Na gruncie obecnie obowiązującej ustawy outsourcing ABI nie był jednoznacznie dozwolony, jednak wielu przedsiębiorców decydowało się na takie rozwiązanie. Teraz outsourcing IOD stanie się bezproblemowy.

Kwalifikacje zawodowe IOD

Zgodnie z RODO Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych. Ponadto, musi on zapewnić prawidłowe wykonanie zadań szczegółowo unormowanych w art. 39 RODO, czyli m.in. dotyczących przestrzegania zasad wynikających z RODO. W odróżnieniu od ustawy o ochronie danych osobowych, RODO nie przewiduje obowiązku niekaralności IOD, czy posiadania pełni praw publicznych.

Zawiadomienie UODO o wyznaczeniu IOD

Zgodnie z projektem ustawy przepisy wprowadzające ustawę o ochronie danych osobowych, osoby wykonujące w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji, pełnią funkcję inspektora ochrony danych do dnia 1 września 2018 r. Do 1 września 2018 r. należy poinformować UODO o wyznaczeniu IOD. Przewidziano również obowiązek zawiadomienia o niepowierzeniu funkcji IOD dotychczasowemu ABI. Takie zawiadomienie składa się również do dnia 1 września 2018 r.

Ponadto, w przypadku każdej zmiany danych IOD administrator danych będzie zobowiązany poinformować UODO w terminie 14 dni od dnia zaistnienia zmiany.

Inspektor ochrony danych – nowa nazwa, nowe zadania

Przede wszystkim inspektor ochrony danych musi zostać był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Oznacza to, że IOD nie może zostać pominięty w żadnej kwestii związanej z przetwarzaniem danych. Wyznaczający IOD musi zapewnić mu odpowiednie narzędzia, aby inspektor ochrony danych mógł prawidłowo wykonywać swoje zadania. Ponadto, konieczne jest zapewnienie szkoleń w celu utrzymania przez IOD wiedzy fachowej.

Do szczegółowych zadań IOD należy między innymi:

  1. informowanie administratora, o obowiązkach spoczywających na nich na mocy RODO i doradzanie im w tej sprawie;

  2. monitorowanie przestrzegania RODO;

  3. monitorowanie przestrzegania polityk ochrony danych wprowadzonych przez administratora;

  4. szkolenia personelu uczestniczącego w przetwarzaniu danych;

  5. przeprowadzanie audytów bezpieczeństwa;

  6. współpraca z organem nadzorczym (GIODO – UODO).

ABI vs. IOD

Funkcje ABI określone w dotychczasowej ustawie o ochronie danych osobowych były szczegółowo określone. Dotyczyło to w szczególności sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania. Przepisy normujące zadania IOD nie są tak bardzo szczegółowe. IOD znając specyfikę danej organizacji będzie musiał samodzielnie określać jakie czynności są potrzebne do zabezpieczenia danych osobowych. Audytu bezpieczeństwa dokonywane przez IOD będą musiał być nie mniej szczegółowe niż sprawdzenia dokonywane przez ABI.

Certyfikaty ochrony danych a IOD

Otrzymanie certyfikatu ochrony danych będzie wymagało od IOD szczegółowego wykazania prawidłowości wykonywania zadań. Jeżeli inspektor ochrony danych nie będzie wykonywał swoich zadań zgodnie z RODO, to administratorowi nie zostanie przyznany certyfikat lub znak jakości ochrony danych osobowych.

Zostaw odpowiedź

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *