+48 607 60 38 90 / +48 784 624 171 | biuro@4itsecurity.pl

Bezpieczeństwo IT - oficjalny blog 4 IT SECURITY

25 marca 2017

RODO - Inspektor Ochrony Danych Osobowych zamiast Administratora Bezpieczeństwa Informacji

Ogólne rozporządzenie o ochronie danych osobowych, które będzie obowiązujące od 25 maja 2018 r. wprowadza daleko idące zmiany dotyczące osoby, do zadań której należy nadzorowanie przestrzegania przepisów o ochronie danych osobowych w organizacji. Co ważne zmieni się nie tylko nazwa zajmowanego przez tę osobę stanowiska z administratora bezpieczeństwa informacji na inspektora ochrony danych, ale również jej kompetencje i zadania. Będzie on odgrywał kluczową rolę w systemie zarządzania bezpieczeństwem danych osobowych. Stąd też dokonanie wyboru kompetentnego inspektora ochrony danych, mającego zarówno bogatą wiedzę teoretyczną, jak i konkretne umiejętności praktyczne, nabiera coraz większego znaczenia.

Kiedy powołanie inspektora ochrony danych będzie obowiązkowe?

Obecnie w polskim prawodawstwie powołanie Administratora Bezpieczeństwa Informacji jest dobrowolne (zgodnie z art. 36b administrator albo powołuje ABI, albo sam wykonuje jego obowiązki), ale po wejściu w życie rozporządzenia dobrowolność wyznaczenia inspektora zostanie zachowana tylko dla części podmiotów z sektora prywatnego, gdyż obowiązek powołania inspektora dotyczy wszystkich jednostek administracji publicznej, a także wszystkich innych podmiotów, które przetwarzają dane osobowe na dużą skalę. Nie ulega wątpliwości, że za podmioty publiczne należy uznać przede wszystkim państwowe i samorządowe jednostki organizacyjne, w tym jednostki samorządu terytorialnego (np. gminy), które przetwarzają dane osobowe, jak również publiczne szkoły, przedszkola lub zakłady wodociągowe.

Przypadki, w których wyznaczenie inspektora ochrony danych będzie obowiązkowe, zostały opisane w art. 37 ust. 1 GDPR. Zgodnie z jego treścią do powołania inspektora ochrony danych będą zobligowane:

  • wszystkie organy lub podmioty publiczne (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości),
  • administratorzy danych oraz podmioty przetwarzające powierzone dane osobowe, których główna działalność polega na operacjach przetwarzania danych osobowych, które ze względu na ich charakter, zakres lub cele przetwarzania wymagają regularnego i systematycznego monitorowania na dużą skalę osób, których dane te dotyczą,
  • administratorzy danych oraz podmioty przetwarzające powierzone dane osobowe, których główna działalność polega na przetwarzaniu na dużą skalę tzw. szczególnych kategorii danych (o których mowa w art. 9 ust. 1 GDPR) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (o których mowa w art. 10 GDPR).

 

Obowiązek wyznaczenia inspektora danych będzie definiowany poprzez:

  • kategorię przetwarzanych danych,
  • cel przetwarzania danych na dużą skalę,
  • zawsze gdy będzie mowa o jednostce publicznej.

 

Kim jest Inspektor Ochrony Danych Osobowych?

Inspektor ochrony danych osobowych to osoba, która w danej organizacji, firmie u danego przedsiębiorcy ma zajmować się z jednej strony doradzaniem w sprawie zasad ochrony danych osobowych a z drugiej - monitorowaniem działań administratora danych osobowych w tym zakresie.

Kryterium wyboru inspektora ochrony danych są jego kwalifikacje zawodowe, w szczególności specjalistyczna wiedza z zakresu prawa i praktyk w dziedzinie ochrony danych, oraz umiejętność realizacji ustawowych zadań.

Kwalifikacje zawodowe i wiedza fachowa wymagane od inspektora

Kwalifikacje zawodowe i wiedza fachowa wymagana od inspektora obejmują:

  • znajomość krajowych i europejskich przepisów i praktyk w zakresie ochrony danych, w tym pogłębiona znajomość RODO,
  • zrozumienie prowadzonych operacji przetwarzania, technologii informatycznych i bezpieczeństwa danych,
  • znajomość organizacji i sektora, w którym działa,
  • zdolność do promowania kultury ochrony danych wewnątrz organizacji.

 

Status i zadania inspektora danych w porównaniu z funkcją, jaką pełnił administrator bezpieczeństwa informacji ulega znaczącej zmianie.

W świetle RODO (art. 39) inspektor ochrony danych zobowiązany będzie do:

  • informowania administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tym zakresie,
  • monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora danych lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacji przetwarzania oraz powiązane z tym audyty,
  • udzielania na żądanie zaleceń co d oceny skutków oraz monitorowanie ich wykonania w przypadku, gdy administrator danych przed rozpoczęciem przetwarzania zobowiązany jest do przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych,
  • współpracy z organem nadzorczym,
  • pełnienia funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, w przypadku gdy ocena skutków pod kątem przetwarzania niosłaby duże zagrożenia dla podmiotu danych, gdyby administrator nie przedsięwziął środków w celu zminimalizowania tego ryzyka, oraz w stosownych przypadkach prowadzenie konsultacji we wszystkich innych sprawach.

 

Unijne przepisy wskazują, iż inspektor ochrony danych osobowych musi mieć zagwarantowaną niezależność i podlegać najwyższemu kierownictwu tak, aby mógł bezpośrednio skontaktować się z osobami decyzyjnymi w sprawie przetwarzania danych osobowych a także mieć dostęp do wszystkich informacji, które związane są z przetwarzaniem danych osobowych w organizacji. Nie może być on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Niezależność Inspektora ma zapewniać również zakaz wydawania mu instrukcji, co do sposobu wykonywania jego obowiązków (niedopuszczalne będzie zatem np. zlecenie Inspektorowi, przez zarząd administratora, przygotowania raportu z audytu ochrony danych o określonej z góry treści). Ta gwarancja niezależności inspektora ochrony danych jest niezbędna dla zapewnienia mu możliwości wykonywania zadań. Dlatego też, Inspektor Ochrony Danych Osobowych powinien mieć zapewnione od strony Administratora Danych:

  • aktywne wsparcie,
  • wystarczające ilości czasu na wypełnienie obowiązków,
  • odpowiednie wsparcie finansowe, infrastrukturalne (np. przez zapewnienie lokali i sprzętu) oraz przez oddelegowanie personelu,
  • oficjalne poinformowanie wszystkich pracowników o wyznaczeniu inspektora ochrony danych,
  • umożliwianie stałego poszerzania swojej wiedzy w zakresie ochrony danych osobowych.

 

Brak gwarancji niezależności inspektora ochrony danych narażałby go na nieformalną presję ze strony administratora danych lub zwierzchników w przypadkach, w których formułowane przez inspektora wnioski powodowałyby konieczność ponoszenia przez te podmioty kosztów czy obciążałyby odpowiedzialnością określone osoby.

Inspektor Ochrony Danych musi być właściwie i niezwłocznie angażowany we wszystkie sprawy dotyczące ochrony danych. Oznacza to, że powinien on uczestniczyć we wszystkich pracach, które mogą wpływać na kształt operacji związanych z przetwarzaniem danych osobowych w organizacji. Szczególną rolę Inspektora w procesie przetwarzania danych podkreśla art. 35 ust. 2 RODO, który nakłada na administratora danych obowiązek konsultowania się z Inspektorem w ramach procesu prowadzenia oceny ryzyka dla przetwarzanych danych.

Obowiązek publikacji

Podkreślenia wymaga przy tym, że RODO nakłada na administratorów lub podmioty przetwarzające obowiązek publikacji danych Inspektora oraz powiadomienia o nich Organów Nadzorczych, jako jeden z elementów spełnienia obowiązku informacyjnego. Osoby, których dane dotyczą, będą w sprawach przetwarzania ich danych kontaktować się bezpośrednio z inspektorem ochrony danych. Dane kontaktowe Inspektora powinny obejmować informacje umożliwiające zarówno podmiotom danych jak i Organowi Nadzorczemu kontakt z Inspektorem w prosty i poufny sposób (bez konieczności kontaktowania się z innymi departamentami organizacji). Publikacji powinny podlegać zatem co najmniej bezpośredni numer telefonu do Inspektora, adres służbowy oraz bezpośredni adres poczty elektronicznej, natomiast ewentualne wskazanie imienia i nazwiska Inspektora nie jest bezwzględnie konieczne i należy do decyzji administratorów lub podmiotów przetwarzających.

Administrator danych musi więc wziąć pod uwagę podczas wyznaczania osoby na stanowisko inspektora, iż już samo odpowiadanie na zapytania kierowanych od osób, których dane dotyczą, w praktyce może być czasochłonne.

Outsourcing funkcji inspektora

Inspektorem ochrony danych może być wyłącznie osoba fizyczna. Może to być pracownik bądź współpracownik administratora danych czy podmiotu przetwarzającego. Rozporządzenie wskazuje również wprost, iż inspektor danych może także wykonywać swoje zadania na podstawie umowy o świadczenie usług, co jest jednoznaczne z tym iż, inspektor ochrony danych nie musi być pracownikiem administratora, dopuszczalny jest  outsourcing tej funkcji (art. 37 ust. 6 RODO), przy czym wszystkie warunki wskazane w art. 37-39 RODO mają zastosowanie w pełnym zakresie zarówno do wewnętrznego, jak i zewnętrznego inspektora. Outsourcing funkcji inspektora może być wykonywany przez zespół, jednak pod nadzorem wyznaczonego lidera wskazanego w umowie o powierzeniu funkcji inspektora, wraz z podziałem zadań w ramach tego zespołu. Zespół może być powołany także wewnątrz organizacji, z zastrzeżeniem podziału zadań i odpowiedzialności lidera jako inspektora. Można to uznać za zapewnienie zasobów niezbędnych do wykonania tych zadań, a więc spełnienie warunku z art. 38 ust. 2 RODO, co może być celowe lub wręcz niezbędne, gdy wymaga tego skala zadań inspektora wynikająca np. z wielkości organizacji, ilości przetwarzanych danych, skomplikowania systemów, ilości transferów danych, liczby skarg i wniosków.

Komentarze (1)

Dodaj

Bardzo ciekawy artykuł. Biorąc pod uwagę moje doświadczenie w tym temacie z tego co widzę robią się zdalne użyty za śmieszne pieniądze i za śmieszne pieniądze przejmuje sie role ABI czy nowe prawo coś zmieni? Chyba nie, dalej partyzantka.

Praktyk 28 kwietnia 2017

Popularne wpisy