Slider Prev
Powrót

Mateusz Heinrich

radca prawny / partner

Ogólne rozporządzenie o ochronie danych – Inspektor Ochrony Danych czyli ABI po nowemu

Już w 2018 roku Inspektor ochrony danych zastąpi Administratora Bezpieczeństwa Informacji. Przyjrzyjmy się jak Ogólne Rozporządzenie o ochronie danych reguluję rolę Inspektora i jakich zmian należy oczekiwać w praktyce.

W dniu 14 kwietnia 2016 r. Parlament Europejski przyjął rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (tzw. Ogólne rozporządzenie o ochronie danych).

Nowo uchwalone rozporządzenie uchyli obowiązującą aktualnie dyrektywą 95/46/WE i wejdzie w życie 20 dni po opublikowaniu w Dzienniku Urzędowym Unii Europejskiej. Będzie ono stosowane bezpośrednio we wszystkich państwach członkowskich dwa lata po tej dacie tak więc nowa rzeczywistość rozpocznie się wiosną 2018 roku.

Dziś pierwsza odsłona analizy zmian które czekają nas w zakresie Administratorów Bezpieczeństwa Informacji (ABI).

Zgodnie z art. 37 Rozporządzenia Administrator albo Procesor będzie musiał powołać Inspektora Ochrony Danych min. gdy jego główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1. (Artykuł 9 stanowi, że „zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby”.

Z pewnością konieczne będą wytyczne Grupy Roboczej Art. 29 ( którą zastąpi po wejściu w życie Rozporządzenia tzw. Europejska Rada Ochrony Danych ) w zakresie między innymi rozumienia pojęcia głównej działalności oraz przetwarzania na dużą skalę, gdyż mogą się pojawiać wątpliwości, na przykład odnośnie objęcia tym obowiązkiem dużych przedsiębiorstw zatrudniających olbrzymie rzesze pracowników ( zwłaszcza, że we wcześniejszych wersjach projektu Rozporządzenia przyjmowano kryteria ilościowe podmiotów danych jako przesłankę do objęcia administratora bądź procesora obowiązkiem powołania DPO ).

Podobnie skoro Rozporządzenie stanowi, iż „grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej”, można zastanawiać się w którą stronę pójdzie praktyka międzynarodowych firm działających w Polsce w ramach grup kapitałowych.

Czy będzie to zachętą do powoływania „regionalnych” DPO (dla wszystkich spółek działających w ramach UE) czy raczej krajowych (dla wszystkich spółek działających w jednym kraju)?

Koncepcja regionalnych DPO wydaje mi się wątpliwa, gdyż mimo obowiązywania Rozporządzenia w całej UE wciąż w porządkach prawnych państw członkowskich pozostaną szczegółowe lokalne regulacje w zakresie ochrony danych osobowych (min. krajowe przepisy prawa pracy, ubezpieczeń społecznych i inne przepisy sektorowe etc.), i stanowi to znaczne utrudnienie dla jednej osoby osadzonej w danym porządku prawnym do odpowiadania za pozostałe jurysdykcje.

Jak widać możliwości jest wiele i czas pokaże jak korporacje przygotują się do wejścia w życie Rozporządzenia.

Poniżej zamieszczamy treść sekcji czwartej Rozporządzenia która reguluje funkcję Inspektora Ochrony Danych ( tzw. DPO – Data Protection Officer ) która to zastąpi znanego z polskiej ustawy ABI wraz z wyciągiem z aktualnie obowiązującej polskiej ustawy o ochronie danych osobowych w zakresie funkcji ABI.

SEKCJA 4

INSPEKTOR OCHRONY DANYCH

Artykuł 37 Wyznaczenie inspektora ochrony danych

1. Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

2. Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.

3. Jeżeli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych.

4. W przypadkach innych niż te, o których mowa w ust. 1, administrator, podmiot przetwarzający, zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających mogą wyznaczyć lub jeżeli wymaga tego prawo Unii lub prawo państwa członkowskiego, wyznaczają inspektora ochrony danych. Inspektor ochrony danych może działać w imieniu takich zrzeszeń i innych podmiotów reprezentujących administratorów lub podmioty przetwarzające.

5. Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39.

6. Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.

7. Administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy.

Artykuł 38 Status inspektora ochrony danych

1. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

2. Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.

3. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

4. Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.

5. Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego.

6. Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.

Artykuł 39 Zadania inspektora ochrony danych

1. Inspektor ochrony danych ma następujące zadania:

a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;

d) współpraca z organem nadzorczym;

e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

2. Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

USTAWA

z dnia 29 sierpnia 1997 r.

o ochronie danych osobowych

Art. 36a.  1. Administrator danych może powołać administratora bezpieczeństwa informacji.

2. Do zadań administratora bezpieczeństwa informacji należy:

1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,

c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7.

3. Rejestr, o którym mowa w ust. 2 pkt 2, jest jawny. Przepis art. 42 ust. 2 stosuje się odpowiednio.

4. Administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w ust. 2.

5. Administratorem bezpieczeństwa informacji może być osoba, która:

1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;

2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;

3) nie była karana za umyślne przestępstwo.

6. Administrator danych może powołać zastępców administratora bezpieczeństwa informacji, którzy spełniają warunki określone w ust. 5.

7. Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

8. Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań, o których mowa w ust. 2.

9. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia:

1) tryb i sposób realizacji zadań, o których mowa w ust. 2 pkt 1 lit. a i b,

2) sposób prowadzenia rejestru zbiorów danych, o którym mowa w ust. 2 pkt 2

– uwzględniając konieczność zapewnienia prawidłowości realizacji zadań administratora bezpieczeństwa informacji oraz niezależności i organizacyjnej odrębności w wykonywaniu przez niego zadań.

Art. 36b.  W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych.