Inspektor ochrony danych – nowy ABI?

Wraz z wejściem w życie przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO), wprowadzona zostanie instytucja Inspektora Ochrony Danych (Data Protection Officer, DPO). O tym, czy DPO jest nowym Administratorem Bezpieczeństwa Informacji (ABI), kto ma obowiązek jego powoływania oraz co jeszcze zmieni się w tym zakresie po 25 maja 2018 r. – w poniższym artykule.

 

Do zadań inspektora ochrony danych należy informowanie osób, które przetwarzają dane osobowe, o obowiązkach spoczywających na nich w związku z nowymi przepisami oraz bieżące doradztwo w tym zakresie. DPO ma za zadanie monitorować przestrzeganie regulacji dotyczących ochrony danych osobowych oraz wewnętrznych polityk ochrony danych, a także udzielać zaleceń co do oceny skutków dla ochrony danych. Ponadto, DPO jest odpowiedzialny za działania zwiększające świadomość ochrony danych osobowych, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty. Jest to też oficer łącznikowy między przedsiębiorstwem a przyszłym Urzędem Ochrony Danych Osobowych (dotychczasowym GIODO), a także między przedsiębiorstwem a osobami, których dane dotyczą. Mogą się one z nim kontaktować we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO.

 

Obowiązek wyznaczenia DPO leży na przedsiębiorcach, których główna działalność polega na takich operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Przesłanki te są nieostre i wymagają analizy w każdym konkretnym przypadku analizowanego podmiotu – nie sposób jest z góry dokonać kwalifikacji charakteru, zakresu lub celów operacji przetwarzania oraz oszacować wielkość skali przetwarzania bez znajomości szerszego kontekstu działalności. Ponadto, obowiązkowo DPO musi być powołany, gdy główna działalność przedsiębiorcy polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (np. pochodzenia rasowego lub etnicznego, poglądów politycznych, ale nie tylko), oraz danych dotyczących wyroków skazujących i naruszeń prawa. Także podmioty publiczne mają obowiązek powołania DPO, a prawo wewnątrzkrajowe również będzie mogło przewidzieć przepisy nakładające obowiązek jego wyznaczenia.

 

Kto może zostać inspektorem? Według RODO, DPO może być członkiem personelu administratora lub procesora, ale też może wykonywać zadania na podstawie umowy o świadczenie usług. Istnieje też możliwość ustanowienia jednego inspektora dla wielu podmiotów. DPO jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań. Inspektor ochrony danych powinien więc wykazywać się wiedzą zarówno teoretyczną, jak i praktyczną dotyczącą prawa ochrony danych osobowych. GIODO zaleca, aby DPO dysponował również specyficzną wiedzą biznesową i sektorową dotyczącą działalności administratora, a także wiedzą na temat systemów IT oraz zabezpieczeń stosowanych u administratora.

 

DPO może wykonywać inne zadania i obowiązki, ale nie mogą one powodować konfliktu interesów – do takich GIODO zalicza m.in. sprawowanie stanowisk kierowniczych, ale również niższych stanowisk, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych. DPO ma bowiem być niezależny – nie otrzymuje instrukcji dotyczących wykonywania swoich zadań, podlega bezpośrednio tylko najwyższemu kierownictwu, i jest zobowiązany do zachowania poufności co do wykonywania swoich zadań. Musi być właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych, i należy zapewnić mu zasoby niezbędne do wykonywania zadań, dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania fachowej wiedzy.

 

Niezależnie od tego, czy w danym przypadku powołanie inspektora danych osobowych jest obowiązkowe, RODO nie uniemożliwia ustanowienia DPO, gdy obowiązek taki na przedsiębiorcy nie spoczywa. Odpowiednio dobrany inspektor, w obliczu specyfiki przetwarzania danych i szeregu obowiązków, z którymi będą musieli zmierzyć się administratorzy danych, może stanowić bezcenne oparcie dla kadry zarządzającej – nie tylko dbając o przestrzeganie prawa, ale także dając codzienne wskazówki wszystkim pracownikom, dla których zagadnienia związane z bezpieczeństwem danych osobowych nie są jasne.

 

Jeżeli są Państwo zainteresowani uzyskaniem szczegółowych informacji prosimy o kontakt z Dorianem Dudą – adwokat@keller.pl, tel. + 48 71 781 84 70.

Powyższe materiały mają wyłącznie charakter informacyjny i nie stanowią porady prawnej. Jeżeli są Państwo zainteresowani uzyskaniem szerszych informacji, prosimy o kontakt z Kancelarią.

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

^