Inspektor ochrony danych

Czy naruszenie przepisów odnoszących się do inspektora ochrony danych może skutkować administracyjnymi karami pieniężnymi nakładanymi na administratora danych lub podmiot przetwarzający?

Stosownie do art. 83 ust. 4 lit. a ogólnego rozporządzenia o ochronie danych osobowych (RODO), naruszenia przepisów bezpośrednio odnoszących się do inspektorów ochrony danych (art. 37–39 RODO) podlegają administracyjnej karze pieniężnej do 10 mln euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Karami administracyjnymi obwarowane są zatem zarówno poszczególne obowiązki administratorów danych i podmiotów przetwarzających dotyczące wyznaczania inspektora ochrony danych i zapewnienia mu określonych warunków wykonywania funkcji, jak i wykonywanie zadań przez inspektorów ochrony danych. Organ nadzorczy, nakładając karę finansową, będzie brał pod uwagę m.in. charakter oraz wagę naruszenia, a także skutki dla ochrony praw i wolności osób, których dane dotyczą.

Dlaczego zarówno w ABI-Informatorze, jak i Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych osobowych prowadzenie rejestru czynności jest zaliczane do zadań inspektora ochrony danych, skoro z art. 30 RODO wynika, iż jest ono obowiązkiem administratora danych? Przecież IOD ma pełnić rolę doradczą, monitorującą i „łącznikową”, a nie wyręczać administratora danych w jego obowiązkach. Zagadnienie prawidłowego rozdzielenia i określenia ról oraz odpowiedzialności jest niezmiernie ważne, zwłaszcza w jednostkach o rozbudowanej strukturze, z różnorodnym zakresem, podstawą prawną i celem przetwarzania danych. Może więc warto zalecić ADO, w jaki sposób mają wykonywać ciążące na nich obowiązki, kto ma to fizycznie robić, gdyż raczej wątpliwe, aby wykonywali je osobiście, a nie mogą ich przerzucać na inspektora ochrony danych.

Zgodnie z artykułem 30 ust. 1 i 2 RODO, do administratora należy obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiada, a do podmiotu przetwarzającego - prowadzenie rejestru kategorii czynności przetwarzania dokonywanych w imieniu administratora. To te podmioty są odpowiedzialne za efektywne wykonanie tego obowiązku i pozostawanie w gotowości do wykazania tego na żądanie organów ochrony danych. Tym samym są one zobowiązane samodzielnie określić, kto konkretnie w danej organizacji ma wykonywać określone czynności składające się na spełnienie wymogów określonych w art. 30 RODO, uwzględniając konkretne okoliczności, m.in. takie jak wielkość i struktura organizacyjna danego podmiotu oraz skala przetwarzania danych. Zgodnie z jedną z najważniejszych zasad, na których oparta jest nowa regulacja – zasadą rozliczalności, odpowiedni dobór rozwiązań zapewniających zgodność z przepisami o ochronie danych osobowych należy do administratorów danych i podmiotów przetwarzających.

Ze względu na swoją zawartość i cele rejestry czynności i kategorii czynności mogą być również przydatnym instrumentem monitorowania zgodności dla inspektorów ochrony danych. Wprawdzie z art. 30 rozporządzenia ogólnego bezsprzecznie wynika, że obowiązek prowadzenia rejestrów należy do administratorów i podmiotów przetwarzających, nie zaś do inspektora ochrony danych, niemniej trudno sobie wyobrazić, że inspektor ochrony danych - jako osoba dysponująca odpowiednią wiedzą i umiejętnościami w dziedzinie ochrony danych osobowych - nie będzie angażowała się w tworzenie i prowadzenie rejestrów, a następnie wykorzystywała ich w swojej pracy. Ponadto zgodnie z artykułem 38 RODO, administrator oraz podmiot przetwarzający zobowiązani są do zapewnienia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Udział w prowadzeniu wskazanego rejestru może w znacznym stopniu przyczyniać się do realizacji ww. obowiązku.

W Wytycznych dotyczących inspektorów ochrony danych (DPO)Grupa Robocza Art. 29 wskazuje, że obowiązki prowadzenia rejestru są obowiązkami administratora i podmiotu przetwarzającego, jednak w praktyce często to inspektor ochrony danych tworzy i prowadzi powyższe rejestry na podstawie danych otrzymanych od pozostałych komórek organizacji. Jak wskazano w Wytycznych: „Taka procedura została ustalona na mocy wielu obowiązujących przepisów państw członkowskich i przepisów o ochronie danych osobowych mających zastosowanie do instytucji i organów UE”.

Czy przyszły inspektor ochrony danych będzie wyznaczany na podstawie takich samych kwalifikacji jak obecnie administrator bezpieczeństwa informacji?

Wymogi stawiane inspektorom ochrony danych (DPO) przez przepisy ogólnego rozporządzenia o ochronie danych (RODO) są podobne do tych stawianych obecnie ABI, ale nie są identyczne. Zgodnie z art. 36a ust. 5 pkt 2 ustawy o ochronie danych osobowych, osoba powoływana na stanowisko ABI powinna posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych. RODO zaś w art. 37 ust. 5 stanowi, iż inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 ogólnego rozporządzenia.

Wymagany od inspektora poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale zgodnie z Wytycznymi dotyczącymi inspektorów ochrony danych (DPO)musi być on współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Wyższy poziom wiedzy powinien być wymagany np. w przypadku:

·         wyjątkowo skomplikowanych procesów przetwarzania,

·         przetwarzania dużej ilości danych szczególnych kategorii,

·         podmiotów regularnie przekazujących dane do państw trzecich.

Inspektor ochrony danych powinien mieć odpowiednią wiedzę z zakresu krajowych, europejskich oraz sektorowych przepisów i praktyk w zakresie ochrony danych osobowych, a także dogłębną znajomość RODO. Jednocześnie powinien posiadać odpowiednią wiedzę na temat:

·         procesów przetwarzania, systemów informatycznych oraz zabezpieczeń stosowanych u administratora,

·         sektora, w którym działa administrator,

·         procedur administracyjnych i funkcjonowania jednostki.

Jeśli chodzi o osobiste cechy DPO kwalifikujące go do wykonywania funkcji, to są to: rzetelne podejście i wysoki poziom etyki zawodowej.

Ocena umiejętności wykonywania zadań wymaga uwzględnienia charakteru i zakresu zadań inspektora, spośród których kilka stanowi nowość w stosunku do obecnych wymogów. Zgodnie z przepisami RODO, inspektor będzie miał m.in. obowiązek identyfikowania poszczególnych obowiązków ciążących na mocy RODO na administratorze (w tym kierownictwie i wszystkich osobach przetwarzających dane) oraz podmiocie przetwarzającym (w tym kierownictwie i wszystkich osobach przetwarzających dane osobowe), informowania o nich oraz doradzania w zakresie tych obowiązków. Specjalnego merytorycznego przygotowania wymagać będzie udzielanie administratorowi i podmiotowi przetwarzającemu zaleceń co do oceny skutków dla ochrony danych (więcej na temat roli inspektora w ocenie skutków dla ochrony danych w Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (DPO) oraz w Wytycznych Grupy Roboczej Art. 29 dotyczących oceny skutków dla ochrony danych). Nowym, ważnym zadaniem będzie obowiązek pełnienia roli punktu kontaktowego dla organu nadzorczego i punktu kontaktowego dla osób, których dane dotyczą (art. 38 ust. 4 RODO).

Grupa Robocza Art. 29 w Wytycznych dotyczących inspektorów ochrony danych (DPO) w odniesieniu do umiejętności wykonywania zadań inspektora wskazuje, że priorytetem dla niego powinno być zapewnienie przestrzegania rozporządzenia. DPO ma zatem odgrywać kluczową rolę w zakresie wspierania „kultury ochrony danych” oraz pomagać w implementacji niezbędnych elementów RODO, tj.:

·         zasad przetwarzania danych osobowych,

·         praw osób, których dane dotyczą,

·         ochrony danych w fazie projektowania oraz domyślnej ochrony danych,

·         rejestru czynności przetwarzania,

·         wymogów bezpieczeństwa przetwarzania,

·         zgłaszania naruszeń.

Znaczenie fachowej wiedzy w zakresie prawa i praktyk zostało dodatkowo podkreślone przez zobowiązanie administratorów danych i podmiotów przetwarzających do zapewnienia inspektorowi ochrony danych zasobów niezbędnych do utrzymania wysokiego i aktualnego poziomu wiedzy (art. 38 ust. 2 RODO). Wymóg uaktualniania wiedzy i zapewnienia na to środków finansowych jest uzasadniony wobec zmieniającego się stale stanu wiedzy technicznej, rozwoju technologicznego i postępu wielkoskalowych metod przetwarzania danych. Warto, aby już teraz ABI – przyszły inspektor ochrony danych korzystał z wszelkich możliwości kształcenia się, rozwijania swojego doświadczenia i umiejętności w różnych formach edukacyjnych, a możliwość powołania się na wskazany art. 38 ust. 2 RODO może być mu bardzo pomocna w uzyskaniu niezbędnych na to środków finansowych.

Mimo iż ogólne rozporządzenie o ochronie danych bardzo mocno akcentuje wymóg wiedzy i fachowości DPO, nie reguluje zasad czy trybu weryfikacji spełnienia tego wymogu. Niemniej certyfikaty, dyplomy oraz inne dokumenty poświadczające wiedzę i doświadczenie inspektora niewątpliwie w większości przypadków będą ważnym kryterium kwalifikacyjnym i argumentem przemawiającym na korzyść osoby wyznaczanej do pełnienia tej funkcji.

Czy podmioty publiczne mogą powołać jednego IOD poza sytuacją uregulowaną w art. 37 ust. 2 RODO?

Zgodnie z art. 37 ust. 2 RODO jednego inspektora będzie mogło powołać -przy uwzględnieniu ich struktury organizacyjnej i wielkości - kilku administratorów danych będących podmiotami publicznymi, np. publiczne placówki oświatowe, muzea. Podmioty takie, np. ze względu na realizowanie zadań publicznych w tym samym obszarze, mogą przyjmować podobne rozwiązania organizacyjne i korzystać z tych samych procedur. Prawodawca europejski przyjął w tym przypadku model niejako „wspólnego wyznaczenia inspektora ochrony danych”, bo w takiej sytuacji ułatwiona będzie współpraca administratorów w zakresie zorganizowania inspektorowi wsparcia i prawidłowych warunków do rzetelnego wypełniania jego zadań. Można zatem zasadnie zakładać, że mimo wyznaczenia na inspektora ochrony danych tej samej osoby przez kilka podmiotów, będzie on mógł efektywnie wypełniać swoje obowiązki.

Przepisy RODO nie zawierają wyrażonego wprost zakazu wyznaczania przez kilka podmiotów publicznych tej samej osoby na inspektora ochrony danych poza sytuacją wskazaną w art. 37 ust. 3. Skorzystanie z takiego rozwiązania wymaga dokonania starannej analizy, czy wyznaczona osoba będzie w stanie prawidłowo wypełniać wszystkie swoje obowiązki wobec każdego administratora danych.

Trzeba mieć przy tym świadomość, że wiele z obowiązków inspektorów przewidzianych w RODO wymaga stałego zaangażowania na rzecz administratora, który inspektora wyznaczył, oraz tzw. „efektywnej dostępności” inspektora dla osób z danej organizacji. Do zadań IOD należy np. bieżące monitorowanie zgodności przetwarzania danych osobowych z przepisami prawa oraz udzielanie informacji i rad w zakresie obowiązków wynikających z tych przepisów. Zwłaszcza w pierwszych latach stosowania nowych przepisów inspektorzy będą odgrywać ważną rolę we wspieraniu „kultury ochrony danych” i pomagać w zrozumieniu i implementacji wszystkich elementów unijnego rozporządzenia, spośród których wiele jest w naszym systemie prawa nowością.

Trudno będzie również wykonywać równolegle w wielu podmiotach zadania w zakresie punktu kontaktowego dla osób, których dane dotyczą, oraz punktu kontaktowego dla organu nadzorczego. Na mocy rozporządzenia każda osoba w każdej sprawie dotyczącej jej danych ma prawo kontaktować się z wyznaczonym dla danej organizacji inspektorem. Organ nadzorczy będzie natomiast mógł wymagać od inspektora gotowości do współpracy w związku z realizacją zadań i uprawnień organu w zakresie prowadzonych postępowań, a także tzw. „uprzednich konsultacji”.

Zreformowane przepisy o ochronie danych osobowych wymagają od administratorów stosowania takich rozwiązań i środków w zakresie przetwarzania i ochrony danych osobowych, które będą odpowiadały konkretnym potrzebom, specyfice prowadzonych przez nich procesów przetwarzania danych osobowych. Nie będzie można stosować jednej uniwersalnej matrycy do wielu różnych sytuacji, np. jednego, tego samego wzoru dokumentacji opisującej środki służące zabezpieczeniu danych. Dlatego w wymaganiach co do kwalifikacji inspektorów ochrony danych podkreśla się szczegółową wiedzę na temat charakteru prowadzonych operacji przetwarzania danych, stosowanych systemów informatycznych oraz ich zabezpieczeń, a także sektora, w którym działa administrator danych.

Ponadto, każda osoba pełniąca funkcję DPO musi unikać konfliktu interesów. Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. Zatem z pełnieniem funkcji inspektora wiążą się bardzo konkretne wymagania prawne i wymagań tych trzeba będzie sumiennie przestrzegać. Dlatego należy się spodziewać, że wejście w życie rozporządzenia ogólnego spowoduje wyeliminowanie praktyki polegającej na korzystaniu przez administratorów danych z usług osób pełniących funkcję inspektora równocześnie w kilkudziesięciu różnych podmiotach. Praktyka taka będzie bowiem nie do pogodzenia z bardzo konkretnymi wymaganiami określonymi w przepisach oraz z nowym, dużo bardziej odpowiedzialnym podejściem do ochrony danych osobowych. Administratorzy danych świadomi poważnych konsekwencji nieprzestrzegania przepisów RODO, powinni zatem przykładać dużą wagę do możliwości prawidłowego i terminowego wypełniania zadań przez inspektora i jego faktycznej dostępności. Osoba ta musi bowiem stanowić realne, fachowe i stałe wsparcie w zakresie zapewnienia zgodności działania z przepisami o ochronie danych osobowych.

Ile maksymalnie podmiotów będzie mógł obsługiwać jeden IOD?

Ani przepisy rozporządzenia ogólnego, ani ich interpretacje wydawane np. przez Grupę Roboczą Art. 29 w postaci wytycznych, nie dają odpowiedzi na takie pytanie. Stosowanie tego rozwiązania będzie mogło jednak następować jedynie w uzasadnionych przypadkach, a liczba obsługiwanych podmiotów musi się mieścić w racjonalnych granicach. Ocena tej kwestii zależna jest od wielu czynników, w tym m.in. od: efektywnej dostępności inspektora, możliwości uzyskania przez niego szczegółowej wiedzy na temat funkcjonowania podmiotu, dysponowania przez niego odpowiednią do zakresu zadań i specyfiki procesów przetwarzania danych ilością czasu, konieczności unikania konfliktu interesów oraz wielkości i struktury organizacyjnej jednostki będącej administratorem danych. Na powyższe pytanie konkretnie będzie można zatem odpowiedzieć jedynie w kontekście konkretnych sytuacji. Niemniej tak jak każda decyzja dotycząca przyjmowanych rozwiązań w zakresie ochrony danych osobowych, również decyzja w zakresie wyboru odpowiedniej osoby do pełnienia funkcji inspektora, musi być podejmowana z pełną świadomością ciążącej na administratorze danych odpowiedzialności za prawidłowe przestrzeganie przepisów prawa.

Czy różni przedsiębiorcy niewchodzący w skład tej samej grupy przedsiębiorstw mogą powołać jednego IOD?

Art. 37 ust. 2 RODO wyraźnie przewiduje możliwość powołania jednego inspektora ochrony danych przez administratorów tworzących grupę przedsiębiorstw, np. grupę kapitałową, o ile będzie można nawiązać z nim kontakt z każdej jednostki organizacyjnej. Grupa przedsiębiorstw została zdefiniowana w przepisach rozporządzenia jako przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane.

Prawodawca europejski w art. 37 ust. 2 RODO przyjął model niejako „wspólnego wyznaczenia inspektora ochrony danych” przez grupę przedsiębiorstw, ze względu na wzajemne powiązania tych przedsiębiorstw, wspólne regulacje wewnętrzne, podobne zasady i sposoby postępowania z danymi osobowymi.

Każde z przedsiębiorstw, wyznaczając na swojego inspektora tę samą osobę, będzie miało możliwość pozostawania jednocześnie w zgodzie nie tylko z warunkiem wskazanym w tym przepisie (łatwości nawiązania kontaktu z inspektorem), ale też ze wszystkimi innymi wymaganiami określonymi w przepisach prawa co do inspektorów ochrony danych. Co bardzo ważne - w takiej sytuacji możliwe będzie np. racjonalne i wspólne określenie zasad dotyczących zapewnienia takiemu inspektorowi wystarczającej ilości czasu na wypełnianie jego obowiązków, pomoc w stworzeniu planu jego pracy, a w razie potrzeby wsparcie jego funkcjonowania zespołem odpowiednich specjalistów. Inspektor obsługujący grupę podobnie funkcjonujących podmiotów ma możliwość rzetelnego poznania szczegółów ich funkcjonowania oraz obowiązujących je przepisów. Z powyższych powodów rozwiązanie przyjęte w art. 37 ust. 2 wydaje się racjonalne i uzasadnione, i można przypuszczać, że grupy przedsiębiorstw będą chciały z niego korzystać.

Regulacja przyjęta w tym przepisie nie oznacza jednak, że nie jest dopuszczalne wyznaczenie jednej osoby przez kilku administratorów danych poza wskazanym przypadkiem, czyli poza grupą przedsiębiorstw. Przepisy RODO nie zawierają bowiem zakazu w tym zakresie. W każdym przypadku skorzystania z takiego rozwiązania bezwzględnym warunkiem jest to, żeby ta osoba była w stanie autentycznie wypełniać swoje obowiązki wobec każdej obsługiwanej przez niego organizacji i to w sposób w pełni odpowiadający przepisom prawa i potrzebom konkretnego administratora danych (zobacz też odpowiedź na pytanie „Czy podmioty publiczne mogą powołać jednego IOD poza sytuacją uregulowaną w art. 37 ust. 2 RODO?”). Analogiczne stanowisko GIODO konsekwentnie prezentował również w odniesieniu do ABI na gruncie ustawy o ochronie danych osobowych.