Miesięcznik informatyków i menedżerów IT sektora publicznego

Maciej Gawroński

Wytyczne dla inspektorów ochrony danych

Wprowadzenie instytucji IOD nie jest zmianą rewolucyjną z polskiego punktu widzenia. Odpowiada ona bowiem instytucji ABI. Warto przeanalizować zaktualizowane 5 kwietnia 2017 r. wytyczne Grupy Roboczej Art. 29 (WP29) dotyczące IOD.

Według wytycznych Grupy Roboczej Art. 29 (WP29) należy w każdym przypadku przeprowadzić analizę potrzeby/obowiązku powołania inspektora ochrony danych (IOD). Taka pisemna analiza powinna stać się częścią dokumentacji ochrony danych, zgodnie z zasadą rozliczalności. Ta logika ma dalej idące implikacje. Potwierdza ona bowiem, że podstawą wykazania zgodności z rodo powinna być pełna dokumentacja zgodności rodo i sposobu podejścia do niej – a więc wdrożenia. Tylko za pomocą dokumentacji można sprostać wymogowi rozliczalności. Wytyczne potwierdzają dotychczasową polską praktykę, że tam, gdzie inspektor nie jest wymagany, dopuszczalne jest wyznaczenie specjalisty ds. ochrony danych niepodlegającego reżimowi IOD.

Inspektora powinny wyznaczyć organy publiczne i podmioty publiczne1. Projekt uodo w tym zakresie odwołuje się do organów publicznych wskazanych w art. 5 § 2 pkt 3 Kodeksu postępowania administracyjnego (tekst jedn. DzU z 2017 r., poz. 1257) oraz podmiotów publicznych wskazanych w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (tekst jedn. DzU z 2016 r., poz. 1870 ze zm.). Wytyczne rekomendują powołanie IOD także dla podmiotów funkcjonalnie odpowiadających sektorowi publicznemu, czyli zasadniczo dla przedsiębiorstw użyteczności publicznej, ale i dla organów dyscyplinarnych zawodów regulowanych.

Monitorowanie na dużą skalę

Zgodnie z rodo podmioty dokonujące monitorowania na dużą skalę innego niż okazjonalne także powinny powołać IOD. Szczególnie użyteczne są przykłady podawane przez wytyczne: dostarczanie sieci telekomunikacyjnej2, świadczenie usług telekomunikacyjnych, namierzanie adresów e-mail użytkowników internetu (e-mail retargeting), profilowanie użytkowników internetu – data driven marketing3, profilowanie oszustw finansowych (tzw. fraudów) i prania pieniędzy, stała geolokacja klientów, programy lojalnościowe, reklama behawioralna, zdalne monitorowanie zdrowia i telemedycyna, monitoring wizyjny, szeroko pojęty internet rzeczy (IoT).

Należy powołać IOD, jeśli podmiot inaczej niż okazjonalnie (wyjątkowo) przetwarza na dużą skalę dane specjalne4, czyli: rasowe, etniczne, poglądy polityczne, przekonania religijne, światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne dla identyfikacji, dane dotyczące zdrowia, seksualności lub orientacji seksualnej oraz dane dotyczące skazań, naruszeń prawa, reakcji organów ścigania i bezpieczeństwa. Wytyczne podkreślają, że przesłanki obowiązku powołania IOD należy badać osobno dla administratora, a osobno dla podmiotu przetwarzającego, i że mogą wystąpić sytuacje „krzyżowe”.

Kwalifikacje IOD

Ambitnie prezentują się oczekiwania Grupy Roboczej Art. 29 względem kwalifikacji IOD. Osoba na tym stanowisku powinna cechować się: dogłębnym zrozumieniem rodo, wiedzą o europejskich przepisach ochrony danych, o krajowych przepisach ochrony danych, o sektorze działania administratora, o konkretnym (swoim) administratorze, o operacjach przetwarzania danych, o systemach informatycznych, o zabezpieczeniach stosowanych u administratora, o potrzebach w zakresie ochrony danych, a przy podmiotach i organach publicznych – wiedzą o procedurach administracyjnych i zasadach działania jednostki. Wskazówki te administrator powinien wykorzystać przy konstruowaniu wymagań na stanowisko IOD oraz wypracować sposoby ich weryfikacji.

Wytyczne wskazują, że IOD powinien mieć możliwość uczestnictwa w spotkaniach wyższego i średniego szczebla organizacji; należy zapewnić obecność inspektora przy podejmowaniu decyzji dotyczących przetwarzania danych osobowych – jego stanowisko powinno być „zawsze brane pod uwagę”. Zalecenie, aby dokumentować powody odstępstwa od rekomendacji IOD, jest zastosowaniem zasady rozliczalności. Inspektor powinien być natychmiast informowany o stwierdzonych naruszeniach ochrony danych. Podobnie jak obecnie ABI, IOD nie ma uprawnień decyzyjnych – decyzje powinny być podejmowane przez kierownictwo organizacji i to ono ponosi za nie odpowiedzialność.

Zadania i zasoby

Inspektor powinien wiedzieć o wszelkich aspektach ochrony danych w organizacji, oceniać je i doradzać w tej kwestii, co stanowi obecne obowiązki ABI. Zadania IOD odpowiadają jego uprawnieniom. Wytyczne zalecają, aby IOD opracował metodologię oceny skutków dla ochrony danych i konsultował zabezpieczenia. Analiza ryzyka powinna być stosowana przez IOD na co dzień dla prawidłowej priorytetyzacji jego zadań. Inspektor może też prowadzić rejestr czynności przetwarzania danych. Wytyczne podkreślają wymienioną w rodo potrzebę zapewnienia IOD odpowiednich zasobów, w tym wsparcia kierownictwa, odpowiedniego wymiaru czasu na wykonywanie zadań, budżetu, wyposażenia, zasobów kadrowych, komunikacji wewnętrznej, dostępu do organizacji i ciągłego szkolenia. Zwracają uwagę na możliwą potrzebę powołania zespołu IOD.

[...]

Autor jest radcą prawnym, jednym z czterech ekspertów prawa Technologii Mediów i Telekomunikacji rekomendowanych przez Ranking Kancelarii Prawniczych 2017 dziennika „Rzeczpospolita”, pomysłodawcą i współtwórcą obowiązków dla podprzetwarzającego (art. 28 ust. 2 i 4 rodo) i współliderem prac nad zasadami przenoszalności danych (art. 20 rodo) w Grupie Ekspertów Komisji Europejskiej ds. Kontraktów Cloud Computingowych. Jest partnerem zarządzającym w kancelarii Gawroński & Partners.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej