Miesięcznik informatyków i menedżerów IT sektora publicznego

Anna Matusiak-Wekiera

Organizacja pracy inspektora ochrony danych

Już za niecały rok administrator bezpieczeństwa informacji przestanie funkcjonować. Jego miejsce zajmie inspektor ochrony danych, od którego będzie się wymagało obszerniejszej wiedzy i znacznie większego doświadczenia.

Rys. B. Brosz

W art. 61 ust. 1 projektu ustawy z dnia 28 marca 2017 r. o ochronie danych osobowych (itwa.pl/9l) wskazano: „Osoby wykonujące w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji pełnią funkcję inspektora ochrony danych do dnia 1 września 2018 r.”. Tym samym projektodawca przewidział przepis przejściowy, w którym wyjaśnia, że status osób, które obecnie pełnią funkcję administratora bezpieczeństwa informacji (ABI), 25 maja 2018 r. zmieni się z mocy prawa na status inspektora ochrony danych (IOD; ang. Data Protection Officer – DPO). Projekt zakłada również, że do 1 września 2018 r. zarówno administrator ochrony danych (ADO), jak i IOD mogą na podstawie art. 61 ust. 2 projektowanej ustawy podjąć decyzję o niewykonywaniu funkcji IOD lub o zmianie osoby IOD poprzez zawiadomienia o tym fakcie organu nadzorczego. Przyczyny podjęcia takiej decyzji dla każdej ze stron mogą być zbieżne dla obu stron. Administrator ochrony danych może np. uznać, że dotychczasowy ABI nie spełnia wymagań rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (DzUrz L 119 z 04.05.2016 r.) (rodo) w zakresie wiedzy fachowej i kwalifikacji zawodowych względem charakteru, skomplikowania oraz skali przetwarzanych przez ADO danych osobowych. Innym argumentem ADO może być fakt, że wobec nieobjęcia go dyspozycją art. 37 rodo, w której określono obowiązek wyznaczenia IOD, rezygnuje z powierzania komukolwiek tej funkcji, Z kolei IOD może uznać, że ze względu na liczne dodatkowe obowiązki przewidziane w rodo, a szczególnie z powodu rozmiaru oraz specyfiki procesów przetwarzania danych osobowych przez ADO, nie czuje się wystarczająco przygotowany do pełnienia tej funkcji.

Kompetencje inspektora ochrony danych

W wytycznych Grupy Roboczej art. 29 ds. Ochrony Danych wskazano, że

W przypadku wyjątkowo skomplikowanych procesów przetwarzania danych osobowych lub w przypadku przetwarzania dużej ilości danych szczególnej kategorii może być wymagany DPO posiadający wyższy poziom wiedzy. Ponadto inaczej sytuacja przedstawiać się będzie w przypadku podmiotów regularnie przekazujących dane do państw trzecich. W związku z tym wybór DPO powinien być dokonany z zachowaniem należytej staranności i brać pod uwagę charakter przetwarzania danych w ramach jednostki (itwa.pl/9m).

Warto zatem przyjrzeć się kompetencjom, jakie powinien posiadać ABI, aby odpowiedzialnie wykonywał obowiązki IOD. Coraz częściej mówi się o tym, że IOD mają odegrać kluczową rolę w zapewnianiu zgodności przetwarzania danych osobowych z rodo i – jak to wskazał GIODO w publikacji „Wykonywanie obowiązków ABI, przyszłego inspektora ochrony danych, w świetle ogólnego rozporządzenia o ochronie danych”
(itwa.pl/9n) – „stanowić fundament nowego, skutecznego systemu ochrony danych”. Stąd też dyskusja na temat kwalifikacji i statusu IOD będzie zapewne coraz bardziej ożywiona.

Zgodnie z art. 37 ust. 5 rodo IOD jest wyznaczany na podstawie kwalifikacji zawodowych, do których zalicza się wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz umiejętności wypełniania swoich zadań. Grupa Robocza art. 29 w swoich wytycznych zaleca, aby IOD posiadał wiedzę dotyczącą krajowych i europejskich przepisów o ochronie danych osobowych oraz praktykę w zakresie ochrony danych, a także aby dogłębnie znał przepisy rodo. Co więcej, zaleca się również, aby IOD dysponował wiedzą biznesową i sektorową dotyczącą nie tylko samego ADO, ale i stosowanych u niego procesów przetwarzania danych, systemów informatycznych i zabezpieczeń.

Umiejętność wykonywania zadań przez IOD powinna być rozumiana, zgodnie z wytycznymi Grupy Roboczej art. 29, jako konglomerat cech osobowych, takich jakich rzetelność w wykonywaniu obowiązków i wysoki poziom etyki zawodowej. Należy zatem zauważyć, że choć kandydat na IOD będzie oceniany przez ADO pod kątem specyfiki i konkretnych potrzeb ADO (co będzie zgodne z motywem 97 rodo), to faktyczne wymogi na to stanowisko są wysokie i wskazują na profesjonalizację osób pełniących funkcję IOD, na co zresztą zwrócił uwagę GIODO w dokumencie „Materiał dotyczący koniecznych zmian legislacyjnych w zakresie statusu i kompetencji organu ochrony danych osobowych oraz w zakresie aspektów proceduralnych przepisów o ochronie danych osobowych” (itwa.pl/9o). Co więcej, analiza zadań IOD określonych w rodo oraz nowych obowiązków nałożonych na ADO prowadzą do wniosku, że profesjonalizm IOD – w ramach danego projektu – może również oznaczać konieczność podjęcia decyzji o powołaniu zespołu zadaniowego składającego się z ekspertów posiadających wiedzę w danym obszarze albo o nabyciu pewnej usługi od podmiotu zewnętrznego (np. analiza ryzyka).

Środki ochrony danych osobowych

Drugim kluczowym zagadnieniem, które wpływać będzie na sposób wykonywania funkcji IOD po 25 maja 2018 r., jest rola ADO w zapewnieniu IOD odpowiedniego statusu w ramach jednostki organizacyjnej. Może się bowiem zdarzyć, że IOD, który dysponuje odpowiednimi kwalifikacjami zawodowymi, w przypadku niezapewnienia mu przez ADO przewidzianego przez prawo statusu w organizacji (choćby przez zwiększenie wymiaru czasu pracy, umożliwienie udziału w szkoleniach, zagwarantowanie wsparcia merytorycznego innych komórek organizacyjnych i odpowiedniej infrastruktury) – odmówi wykonywania funkcji IOD pod rządami rodo i na rzecz tego konkretnego ADO.

[...]

Autorka jest radcą prawnym, członkiem Komisji Ekspertów do spraw reformy prawa ochrony danych osobowych w Unii Europejskiej powołanej przy GIODO. Audytor wiodący systemu zarządzenia bezpieczeństwem informacji zgodnie z normą ISO 27001, wykładowca na studiach podyplomowych z ochrony danych osobowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej