Zadania inspektora ochrony danych

Zadania inspektora ochrony danych w ogólnym rozporządzeniu o ochronie danych zostały sformułowane w sposób ogólny, bez wskazania trybu oraz terminów ich realizacji. Jest to istotna różnica w stosunku do tego co obecnie przewiduje ustawa o ochronie danych osobowych i akty do niej wykonawcze w zakresie zadań ABI.

Taki sposób ujęcia obowiązków inspektora jest wyrazem nowego podejścia do ochrony danych osobowych opartego na analizie ryzyka i zasadzie rozliczalności, zapisanej w art. 5 ust 2 RODO. Wyznaczenie inspektorowi ochrony danych roli doradczej i weryfikacyjnej wobec działań administratora danych i podmiotu przetwarzającego (oraz ich pracowników) sprawia, że zarówno zadania DPO jak i sposób ich realizacji są ściśle powiązane nie tylko z obowiązkami administratorów danych lub podmiotów przetwarzających, ale też nowym sposobem podejścia do ich realizacji. Na podstawie art. 24 RODO administratorzy i podmioty przetwarzające, są zobowiązani uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, i odpowiednio do nich - dobierać i wdrażać środki techniczne i organizacyjne, tak, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te powinny być w razie potrzeby poddawane przeglądom i uaktualniane. Ponadto zarówno przy określaniu ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania, ich dostępności oraz sposobów przetwarzania konieczne jest stosowanie mechanizmów takich jak zapewnienie ochrony danych osobowych na etapie projektowania oraz domyślnej ochrony danych („privacy by design” oraz „privacy by default”), zarówno przed przystąpieniem do przetwarzania danych, jak i w czasie samego przetwarzania (art. 25 RODO).

DPO wykonując swoje zadania (art. 39 ust. 2), powinien zatem stosować indywidualne rozwiązania, dostosowane do potrzeb podmiotów, w których pełni swoją funkcję, a także cech konkretnego przetwarzania danych i związanego z tym przetwarzaniem ryzyka. Konieczność realizacji obowiązków w powyższy sposób w konsekwencji ma prowadzić do skuteczniejszej ochrony danych. Spowoduje z pewnością również większe zróżnicowanie i wzrost innowacyjności w dziedzinie ochrony danych osobowych.

Zakres zadań inspektora ochrony danych zawiera art. 39 ust. 1 RODO. Wyliczenie zawarte w tym przepisie nie jest jednak katalogiem zamkniętym, ponieważ jeden z obowiązków inspektora ochrony danych można wywodzić też z art. 38 ust. 4 RODO (pełnienie roli punktu kontaktowego, dla osób których dane dotyczą). W Wytycznych Grupy Roboczej art. 29 dotyczących inspektorów danych osobowych do zadań DPO zaliczono również prowadzenie rejestru czynności i kategorii czynności, o których mowa wskazanych w art. 30 RODO. Wobec powyższego zadania inspektora ochrony danych obejmować będą:

1) Informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

Jednym z zadań inspektora ochrony danych osobowych, wymienionym na pierwszym miejscu, jest informowanie oraz doradzanie administratorowi i podmiotowi przetwarzającemu oraz ich pracownikom w zakresie ich obowiązków. Zarówno to zadanie, jak i zadanie wymienione na drugim miejscu - monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych wskazuje, że DPO ma przede wszystkim pełnić doradczą i weryfikacyjną rolę wobec działań i decyzji administratorów danychi podmiotów przetwarzających dane. Podmiotem, który faktycznie podejmuje decyzje i odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiedni stopień bezpieczeństwa oraz wykazanie, że przetwarzanie odbywa się zgodnie z przepisami ochrony danych osobowych jest administrator danych lub  podmiot przetwarzający. DPO występuje zaś niejako w potrójnej roli: wskazuje obowiązki, doradza co do sposobu ich wykonania, a następnie ocenia poprawność wykonania tych obowiązków.

Niewątpliwie prawidłowe wykonywanie powyższego zadania przez DPO bezpośrednio przekłada się na podejmowanie przez administratorów i podmioty przetwarzające świadomych i trafnych decyzji. Ponieważ RODO wprowadza szereg nowych praw podmiotów danych oraz obowiązków administratorów (np. prawo do bycia zapomnianym, prawo do przenoszenia danych, uwzględnianie ochrony danych w fazie projektowania, domyślną ochronę danych, zgłaszanie naruszeń ochrony danych osobowych) należy spodziewać się, że zwłaszcza w pierwszych latach stosowania RODO niezbędne będzie duże zaangażowanie DPO w edukowanie innych osób.

Aby kompetentnie edukować i doradzać innym DPO musi być do tego dobrze przygotowany merytorycznie, musi sam bardzo dobrze znać obowiązki administratorów i podmiotów przetwarzających oraz powiązane z nimi uprawnienia podmiotów danych. Konieczne jest posiadanie przez niego rzetelnej wiedzy, zarówno teoretycznej (w zakresie przepisów prawa unijnych, krajowych, sektorowych związanych z działalnością obsługiwanego administratora danych i podmiotu przetwarzającego oraz ich regulacji wewnętrznych), jak i praktycznej w zakresie właściwego stosowania tych przepisów, przekładania ich na sprawdzone rozwiązania, procedury i środki służące ochronie danych. Powyższe przygotowanie powinno obejmować również stale uaktualnianą wiedzę na temat m.in. metod przetwarzania danych, systemów informatycznych oraz zabezpieczeń danych osobowych.

Dbanie o edukację osób podejmujących działania i decyzje w zakresie ochrony danych osobowych jest działaniem ciągłym i powtarzalnym, wymagającym umiejętności interpersonalnych i dydaktycznych. Z pewnością możliwe będzie wykorzystywanie na tym polu dotychczasowych doświadczeń obecnych ABI w zakresie zapewniania zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

2) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

Zadaniem inspektora danych jest m.in. monitorowanie przestrzegania przepisów ogólnego rozporządzenia o ochronie danych, pozostałych przepisów unijnych oraz krajowych przepisów odnoszących się do ochrony danych, polityk administratora lub podmiotu przetwarzającego w zakresie ochrony danych osobowych. Monitorowanie to prowadzenie ciągłego bieżącego nadzoru, w czym pomocne mają być instrumenty wskazane w treści tego przepisu tj: polityki w dziedzinie ochrony danych, podział obowiązków oraz audyty, działania zwiększające świadomość personelu uczestniczącego w operacjach przetwarzania oraz szkolenia.

Grupa Robocza art. 29 w Wytycznych dotyczących inspektorów ochrony danych wskazuje w szczególności następujące działania DPO w ramach sprawowania przez niego stałego bieżącego nadzoru przestrzegania przepisów ogólnego rozporządzenia o ochronie danych, pozostałych przepisów unijnych oraz krajowych przepisów odnoszących się do ochrony danych, polityk administratora lub podmiotu przetwarzającego w zakresie ochrony danych osobowych:

  • zbieranie informacji w celu identyfikacji procesów przetwarzania;
  • analizowanie i sprawdzanie zgodności przetwarzania;
  • informowanie, doradzanie i rekomendowanie określonych działań

Audyty i inne działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania, są bardzo ważną częścią pracy DPO. Sformułowanie „działania” świadczy o tym, że aktywność inspektora ochrony danych w tym zakresie nie powinna mieć charakteru jednorazowego, a charakter ciągły i długofalowy. Wykonując ten obowiązek inspektor ochrony danych powinien dostosować sposób i rodzaj przekazywanych informacji do grupy docelowej, tak aby zadanie to było realizowane w sposób efektywny i skuteczny. W wykonywaniu tego obowiązku administrator lub podmiot przetwarzający powinni wspierać inspektora ochrony danych, m. in. zapewniając mu odpowiednie zasoby oraz zobowiązując swoich pracowników do udziału w ww. szkoleniach.

3) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;

Zgodnie art. 35 RODO, jeżeli dany rodzaj przetwarzania, w szczególności z użyciem nowych technologii ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Artykuł ten nakłada obowiązek na administratora konsultowania się przy dokonywaniu oceny z inspektorem ochrony danych, jeżeli został on wyznaczony. Po stronie inspektora ochrony danych odpowiada mu obowiązek DPO przedstawienia administratorowi opinii w tym zakresie oraz monitorowania wykonania zaleceń (art. 39 ust. 1 lit. c RODO)

RODO określa, kiedy i jak należy dokonywać oceny skutków dla ochrony danych, natomiast  nie zawiera konkretnych wskazówek, w jaki sposób oceny takiej należałoby dokonać.  Pomocne w tym zakresie są Wytyczne Grupy Roboczej art. 29, zgodnie z nimi administrator dokonując ww. oceny powinien konsultować się z DPO w następujących kwestiach:

  • czy należy przeprowadzić ocenę skutków dla ochrony danych, metodologii przeprowadzenia oceny skutków dla ochrony danych,
  • czy należy przeprowadzić wewnętrzną ocenę czy też zlecić ją podmiotowi zewnętrznemu,
  • zabezpieczeń (w tym środków technicznych i organizacyjnych) stosowanych do łagodzenia wszelkich zagrożeń praw i interesów osób, których dane dotyczą,
  • prawidłowości przeprowadzonej oceny skutków dla ochrony danych i zgodności jej wyników z RODO (czy należy kontynuować przetwarzanie, czy też nie oraz jakie zabezpieczenia należy zastosować).

Jeśli administrator nie zgadza się z zaleceniami DPO w wyżej wymienionych przypadkach, dokumentacja oceny skutków dla ochrony danych powinna zawierać pisemne uzasadnienie nieuwzględnienia zaleceń DPO. Ponadto Grupa Robocza art. 29 rekomenduje by administrator jasno np. w umowie z DPO, ale również w informacjach przekazywanych pracownikom, kierownikom i innym, wskazał zakres obowiązków DPO w danej organizacji, w szczególności w kontekście przeprowadzania oceny skutków dla ochrony danych.

4) współpraca z organem nadzorczym

Reforma ochrony danych zakłada nowy, bardziej efektywny system monitorowania zgodności przetwarzania danych z RODO. W celu skonsolidowania tego systemu i zapewnienia jego efektywności w katalogu zadań inspektorów ochrony danych wyraźnie zapisano obowiązek współpracy z organem nadzorczym, a w art. 57 RODO - obowiązek wypełniania przez organ nadzorczy zadań na rzecz m.in. inspektora ochrony danych. Współpracę między DPO i organem nadzorczym niewątpliwie należy rozumieć jako działanie dwukierunkowe, ale też jako działanie we wspólnych celach i obszarach tj. np. monitorowanie i egzekwowanie stosowania RODO, upowszechnianie wśród administratorów i podmiotów przetwarzających wiedzy o obowiązkach spoczywających na nich na mocy RODO, udzielanie osobie, której dane dotyczą, na jej żądanie informacji o wykonywaniu praw przysługujących jej na mocy RODO, monitorowanie zmian w stosownych dziedzinach (o ile zmiany te mają wpływ na ochronę danych osobowych), w szczególności monitorowanie rozwoju technologii informacyjno-komunikacyjnych i praktyk handlowych oraz udzielanie zaleceń administratorowi w zakresie oceny skutków. Inspektor ochrony danych, jako fachowiec i osoba, odpowiedzialna w danym podmiocie za monitorowanie przestrzegania przepisów RODO, dysponuje często najszerszą wiedzą na temat przetwarzania danych przez dany podmiot. W związku z tym, jego pomoc może być nieoceniona w wielu przypadkach związanych z realizacją zadań organu nadzorczego. Z drugiej strony organ nadzorczy powinien wspierać inspektorów ochrony danych swoimi działaniami tj. szeroko rozumianymi działaniami edukacyjnymi (tj np. szkolenia, debaty, konferencje naukowe), legislacyjnymi oraz konsultacyjnymi.

5) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;

Inspektor Ochrony Danych ma obowiązek pełnienia roli punktu kontaktowego dla organu nadzorczego, w związku z czym, jeżeli organ nadzorczy zwróci się do inspektora ochrony danych o udzielenie mu informacji w określonych przypadkach, DPO powinien się z tego obowiązku należycie wywiązać.

Jednym z przykładów w tym zakresie może być art. 33 RODO, gdzie w przypadku zgłoszenia naruszenia ochrony danych przez administratora organowi nadzorczemu, administrator jest zobowiązany do podania danych kontaktowych DPO w celu uzyskania przez organ wszelkich ważnych w tej sprawie informacji.  Przepis ten zobowiązuje jednocześnie inspektora ochrony danych do współpracy oraz przekazywania wszelkich niezbędnych informacji organowi nadzorczemu.

Kolejnym przepisem, z którego może wynikać obowiązek pełnienia funkcji punktu kontaktowego przez DPO dla organu nadzorczego jest art. 36 RODO. Zgodnie z art. 35 RODO na administratora danych nałożony jest obowiązek dokonywania oceny skutków dla ochrony danych oraz konsultowania się w tej sprawie z powołanym DPO. Ponadto, w przypadku, gdy zmienia się ryzyko wynikające z operacji przetwarzania administrator powinien dokonać przeglądu, by stwierdzić czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych. Jeżeli ocena ta wykaże, że przetwarzanie może powodować wysokie ryzyko przy braku zastosowania przez administratora środków dla zminimalizowania tego ryzyka, to zgodnie z art. 36 RODO administrator konsultuje się w tej sprawie z organem nadzorczym. Zasadne jest założenie, że DPO jako doradca administratora, powinien w tej sprawie ściśle współpracować z organem nadzorczym, przedstawiając wszystkie istotne aspekty mogące mieć wpływ na treść przyszłego zalecenia. 

Warto zwrócić uwagę, że powołany inspektor ochrony danych zgodnie z Wytycznymi Grupy Roboczej art. 29 powinien, komunikować się w języku używanym przez organ nadzorczy. Jest to istotne, ponieważ przepisy RODO umożliwiają sprawowanie funkcji DPO przez obcokrajowca, nie mniej w celu wykonywania nałożonych zadań, osoba ta musi być w stanie porozumiewać się z organem nadzorczym.

6) pełnienie roli punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.

Osoby, których dane dotyczą, zgodnie z art. 38 ust. 4 RODO, powinny mieć możliwość skontaktowania się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia. W związku z tym, na stronie internetowej administratora lub podmiotu przetwarzającego powinny się znaleźć dane kontaktowe inspektora ochrony danych, umożliwiające kontakt z nim zainteresowanym podmiotom. W dużej organizacji, ilość pytań wpływających do inspektora ochrony danych może być tak duża, że mogłoby to powodować trudności w wykonywaniu przez niego innych zadań. W związku z powyższym pożądane byłoby w takim przypadku, wyznaczenie pracowników lub powołanie zespołu osób, które wspierałyby inspektora ochrony danych w zakresie wykonywania tego zadania.

7) prowadzenie rejestru czynności lub rejestru kategorii czynności

Ważną zmianą jaką wprowadza RODO, jest odejście od obowiązku zawartego w Dyrektywie 95/46/WE tj. obowiązku notyfikacji procesów zautomatyzowanego przetwarzania danych organowi nadzorczemu. Uzasadnieniem rezygnacji z tego rozwiązania, jest to, że obowiązek ten powoduje duże obciążenia administracyjne i finansowe i nie zawsze przyczynia się do poprawy ochrony danych osobowych (motyw 89 RODO).

Powyższe nie oznacza jednak, iż instytucja rejestru nie będzie w dalszym ciągu wykorzystywana jako pomocna w ewidencjonowaniu przetwarzanych danych osobowych. Art. 30 ust. 1 i 2 RODO nakłada obowiązek prowadzenia wewnętrznego rejestru czynności przetwarzania danych osobowych, za które odpowiada administrator danych(obowiązek administratora danych) i rejestru kategorii czynności przetwarzania danych dokonywanych w imieniu administratora (obowiązek podmiotu przetwarzającego). Jednakże, jak wskazuje Grupa Robocza art. 29  w Wytycznych dotyczących inspektorów ochrony danych, w praktyce często to DPO tworzy i prowadzi powyższe rejestry w oparciu o dane otrzymane od pozostałych komórek organizacji. Taka procedura została ustalona na mocy wielu obowiązujących przepisów państw członkowskich i przepisów o ochronie danych osobowych mających zastosowanie do instytucji i organów UE.

W rejestrach prowadzonych na podstawie RODO będą zamieszczanenastępujące dane:

 

Lp.

Zawartość rejestru czynności przetwarzania prowadzonego przez administratora danych

Zawartość rejestru czynności przetwarzania prowadzonego przez podmiot przetwarzający

1.

imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz DPO

imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz DPO

2.

cele przetwarzania

 

3.

opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych

kategorie przetwarzań dokonywanych w imieniu każdego z administratorów

4.

kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych

 

5.

gdy ma to zastosowanie – informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń

gdy ma to zastosowanie – informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń

6.

jeżeli jest to możliwe – planowane terminy usunięcia poszczególnych kategorii danych

 

7.

jeżeli jest to możliwe – ogólny opis technicznych i organizacyjnych środków bezpieczeństwa , o których mowa w art. 32 ust. 1 RODO

jeżeli jest to możliwe – ogólny opis technicznych i organizacyjnych środków bezpieczeństwa , o których mowa w art. 32 ust. 1 RODO

 

Pojęcie „czynności przetwarzania” i „kategorii czynności przetwarzania” nie zostało doprecyzowanie w przepisach RODO. Biorąc jednak pod uwagę podobieństwo elementów tych rejestrów do elementów zgłoszenia zbioru do rejestracji oraz lokalnego zbioru danych osobowych prowadzonego przez ABI na podstawie ustawy o ochronie danych osobowych i aktów wykonawczych do tej ustawy stwierdzić należy, że przez rejestrowanie czynności przetwarzania danych można rozumieć klasyfikowanie przetwarzanych danych ze względu m.in. na: zakres przetwarzanych danych, cele przetwarzania, kategorie osób, których dane dotyczą oraz jeżeli jest to możliwe - środki bezpieczeństwa.

Celem tego obowiązku jest - jak wskazuje motyw 82 RODO - zachowanie zgodności z niniejszym rozporządzeniem. Ze względu na swoją zawartość rejestry mogą być rzeczywiście pomocnym narzędziem w stosowaniu zasady rozliczalności, zapewnianiu przestrzegania RODO oraz prowadzeniu prawidłowej polityki w zakresie ochrony danych. Ponadto rejestry te mają ułatwiać organowi nadzorczemu efektywne wypełnianie jego obowiązków kontrolnych (art. 30 ust. 4 w zw. z art. 31 RODO – każdy administrator i każdy podmiot przetwarzający zobowiązani są współpracować z organem nadzorczym i na jego żądanie udostępniać mu rejestry w celu monitorowania operacji przetwarzania). Rejestr powinien być prowadzony w formie pisemnej, w tym formie elektronicznej (art. 30 ust. 3 RODO).

Prowadzenie wspomnianych rejestrów nie będzie jednak obowiązkiem powszechnym. Zgodnie z art. 30 ust. 5 RODO, z obowiązku prowadzenia powyższych rejestrów zwolniono przedsiębiorców lub podmioty zatrudniające mniej niż 250 pracowników, jeżeli przetwarzanie przez nie danych nie powoduje ryzyka naruszenia praw lub wolności osób, których dane dotyczą, ma sporadyczny charakter i nie obejmuje szczególnych kategorii danych osobowych, ani danych dotyczących wyroków skazujących i naruszeń prawa.

Należy również podkreślić, iż prowadzenie ww. rejestrów nie wyklucza możliwości prowadzenia również innych (np. bardziej szczegółowych) ewidencji przetwarzanych danych, jeśli wynika to z analizy ryzyka oraz konkretnych potrzeb administratora danych lub podmiotu przetwarzającego.