Inspektor Ochrony Danych

Informacje ogólne

Po wejściu do stosowania w dniu 25 maja 2018 r. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (ogólnego rozporządzenia o ochronie danych, zwanego dalej również „RODO”) rolę fachowego wsparcia dla administratorów danych i podmiotów przetwarzających odgrywać będą inspektorzy ochrony danych (zwani dalej również „DPO” od data protection officer). Zadaniem inspektorów ochrony danych - tak jak obecnie administratorów bezpieczeństwa informacji (ABI) - będzie działanie na rzecz zgodnego z przepisami o ochronie danych przetwarzania danych, zarówno w administracji publicznej, jak i w sektorze prywatnym.

RODO to akt, który będzie obowiązywać w krajach członkowskich bezpośrednio, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego. Nowością w polskim systemie prawnym będzie również Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680, jako że zasady zawarte w tym akcie nie są obecne w istniejących dziś polskich przepisach prawa. W powołanej dyrektywie przepisy dotyczące inspektora ochrony danych są ukształtowane analogiczne jak w RODO. W podobny sposób uregulowano zarówno status, jak i zadania inspektora, z tym, że przepisy dyrektywy w odróżnieniu do rozporządzenia będą wymagały implementacji przez naszego ustawodawcę.

Nowe przepisy istotnie wzmacniają rolę i pozycję inspektorów ochrony danych. Jednym z najważniejszych przejawów tego wzmocnienia jest fakt, że wyznaczenie inspektora ochrony danych, stanie się w wielu przypadkach obowiązkiem, a nie jak dotąd, uprawnieniem administratora danych.

Pomocne wskazówki, zalecenia i objaśnienia dotyczące stosowania ogólnego rozporządzenia o ochronie danych w zakresie, w jakim dotyczy ono inspektorów ochrony danych, zawierają przyjęte 13 grudnia 2016 r. Wytyczne Grupy Roboczej art. 29[1] dotyczące inspektorów danych osobowych. Wytyczne mają zastosowanie do RODO, jednak – jak wskazuje GR art. 29 - można je również odnosić do przepisów dyrektywy 2016/618. Celem wytycznych jest wyjaśnienie przepisów rozporządzenia ogólnego dotyczących inspektorów w celu ułatwienia administratorom i podmiotom przetwarzającym dostosowania się do przepisów prawa, a inspektorom ochrony danych wykonywania ich zadań. Wytyczne zawierają również zalecane dobre praktyki, oparte na doświadczeniu niektórych państw członkowskich.

Wprowadzone z początkiem 2015 r. nowe przepisy ustawy o ochronie danych osobowych odnoszące się do administratora bezpieczeństwa informacji w istotnym zakresie nawiązują do rozwiązań przyjętych w RODO. Przepisy te wymagają od ABI posiadania odpowiedniej wiedzy w dziedzinie ochrony danych osobowych, zachowania niezależności w wykonywaniu swojej funkcji, a jednym z jego głównych zadań czynią zapewnianie przestrzegania przepisów o ochronie danych osobowych. Tym samym skorzystanie przez administratorów danych z uprawnienia do powołania ABI oraz obecne realizowanie przez ABI jego zadań przewidzianych w krajowych przepisach o ochronie danych osobowych niewątpliwie pomaga w dobrym przygotowaniu się do stosowania nowych unijnych przepisów.



[1] Grupa Robocza art. 29 to powołany na mocy Dyrektywy 95/46 zespół roboczy do spraw ochrony osób fizycznych mający charakter doradczy i działający w sposób całkowicie niezależny. Jej misją jest służenie radą Komisji UE, i przyczynianie się do jednolitego stosowania przepisów krajowych przyjętych na mocy dyrektywy. Grupę tworzą przedstawiciele krajowych organów nadzorczych, przedstawicieli organów ustanowionych dla instytucji i organów unijnych (po jednym dla każdej z instytucji i organu) oraz przedstawicieli Komisji Europejskiej. Działania Grupy sprowadzają się głównie do wydawania niemających mocy wiążącej zaleceń, rekomendacji oraz opinii w sprawach unijnych aktów normatywnych z zakresu ochrony prywatności.