Powołanie inspektora ochrony danych – nowy obowiązek
Ma być łącznikiem z organem nadzoru, ale przede wszystkim podpowiadać, jak dbać o zapewnienie prywatności osobom, których dane są przetwarzane, nie dopuszczając na przykład do ich wycieku – słowem działać zgodnie z prawem obowiązującym od 25 maja. Stanowisko, jakie piastuje inspektor ochrony danych jest też z góry ustalone – powołany przez kierownictwo spółki, podlega tylko jemu i jest w niej wyjątkowo ważny.
Firmy muszą mieć inspektorów ochrony danych – IOD, jeśli pozyskują informacje o różnych osobach, bez których nie mogłyby prowadzić swoich biznesów. To oni mają czuwać nad właściwym, zgodnym z prawem przetwarzaniem takich danych – doradzać kierownictwu spółki, informować o jej obowiązkach, reagować na uchybienia, monitorować wykonywanie zaleceń i przestrzeganie przepisów. To wszystko ma służyć odpowiedniej ochronie wykorzystywanych zasobów i podejmowaniu przez ich administratorów lub podmioty przetwarzające je usługowo (tzw. procesorów) właściwych decyzji z tym związanych.
Wyznaczenie inspektora ochrony danych – kto musi
Nie wszędzie jednak inspektorzy ochrony danych muszą być powołani. Wyjątków od tego nie ma w sektorze publicznym, a w prywatnym obowiązek ten dotyczy podmiotów, których główna działalność polega na przetwarzaniu danych na dużą skalę i ze względu na jej charakter, zakres oraz cele, wymaga regularnego i systematycznego monitorowania osób, których dane dotyczą. Poza tym IOD musi być wyznaczony tam, gdzie dla wykonywania głównej działalności administratora lub procesora wykorzystuje się na dużą skalę szczególne kategorie danych osobowych (dotyczących np. stanu zdrowia, przekonań, wyznania) oraz informacje o wyrokach skazujących i czynach zabronionych.
W ustaleniu, kto powinien powołać IOD, nie pomagają bardzo ogólne sformułowania zawarte w przepisach, takie jak np. przetwarzanie na dużą skalę. Pomocne w tym są dwa dokumenty. Przede wszystkim wstępna część unijnego rozporządzenia w sprawie danych osobowych (RODO) – czyli jego motywy. Ponadto Wytyczne Grupy Roboczej art. 29 (która przygotowała reformę) dotyczące IOD. Można zapoznać się z nimi na stronie internetowej Urzędu Ochrony Danych Osobowych (UODO).
Niezależnie od wspomnianych wymagań, nie ma przeszkód, aby kierownictwo spółki postanowiło utworzyć u siebie tego rodzaju stanowisko, nie mając takiego obowiązku. Prezes UODO, prawny kontynuator Generalnego Inspektora Ochrony Danych Osobowych (GIODO), nawet do tego zachęca. Inspektor może firmie się przydać, bo RODO wprowadziło zasadę dbania o ochronę danych na podstawie ryzyk, które musi przewidzieć podmiot je przetwarzający i do których musi sam dostosować odpowiednie procedury postępowania z nimi i ich zabezpieczania. Część firm może temu samodzielnie nie sprostać. Poza tym, dla organu nadzoru to też dość wygodne, bo IOD ma także pełnić funkcję punktu kontaktowego, czyli pośrednika pomiędzy administratorem lub podmiotem przetwarzającym, a urzędem. Przede wszystkim udziela on fachowego wsparcia firmie, ale też, gdy organ będzie prowadził wobec niej postępowanie, inspektor ochrony danych powinien jej pomóc wykazać, że stosowała procedury i rozwiązania techniczne, właściwe dla ochrony przetwarzanych danych– odpowiednie do ich rodzaju, skali i ryzyk.
Wybór rozwiązań należy do administratora, obecne prawo nie narzuca ich żadnemu podmiotowi. Jednak, jak wiadomo, w dobie rozwiniętych technologii przede wszystkim wiele procesów zachodzi z wykorzystaniem programów informatycznych, które usprawniają pracę różnych działów w przedsiębiorstwach, komunikację wewnątrz firmy, kontrolują obieg dokumentów i porządkują informacje niezbędne do prowadzenia działalności i wywiązywania się z różnych powinności wobec instytucji i organów państwowych. W ślad za tym idzie niemała rynkowa oferta zabezpieczeń takich systemów. Wraz z reformą ochrony danych osobowych pojawiły się też rozwiązania, które wprost wspomagają wypełnianie obowiązków wynikających z nowych zasad ochrony danych osobowych, jak np. RODO Advanced – specjalny dodatkowy moduł do oprogramowania Teta, oferowany przez Unit4 Polska. Dzięki niemu można np. stworzyć kartotekę aktualnych i historycznych oświadczeń o zgodach na przetwarzanie danych wyrażonych przez kandydatów do pracy czy zleceniobiorców albo ewidencję upoważnień do przetwarzania danych udzielonych uprawnionym do tego osobom w firmie.
Osoby, których dane są przetwarzane, muszą mieć możliwość skontaktowania się z IOD. Jego dane powinny być dla nich dostępne – np. na stronie internetowej administratora lub podmiotu przetwarzającego. Takie prawo przysługuje m.in. klientom, kontrahentom, a także pracownikom.
W każdym razie zadaniem administratora jest dobrać rozwiązania adekwatne z jednej strony do jego potrzeb, z drugiej jak najbardziej bezpiecznych (z punktu widzenia ochrony) interesów osób, których dane wykorzystuje w swoim biznesie. IOD jest od tego, aby go w tym wesprzeć, a zarazem zwracać uwagę na nieprawidłowości. Do niego urząd będzie zwracać się o udzielenie wszelkich informacji związanych z przetwarzaniem danych przez firmę (w tym także dostępu do dokumentów), a IOD powinien się z tego należycie wywiązać. Szczególnie musi być na to gotowy, gdy w przedsiębiorstwie dojdzie do poważniejszych naruszeń (np. wycieku danych), które administrator (lub procesor) ma obowiązek niezwłocznie zgłosić UODO, podając zarazem dane kontaktowe inspektora. Organ przede wszystkim z nim będzie wyjaśniał różne kwestie związane z takim zdarzeniem, IOD nie musi działać w strukturach firmy i być jej pracownikiem. Może wykonywać swoje zadania na podstawie umowy cywilnoprawnej. Tę funkcję można też powierzać specjalistom z firm audytorskich zajmujących się ochroną danych osobowych, którzy na dodatek mogą pełnić rolę inspektorów dla więcej niż jednego przedsiębiorcy, bo dla powiązanych ze sobą spółek. Ma to chociażby tę zaletę, że pozwala obniżyć koszty, a polityka ochrony danych jest wówczas spójniejsza dla całej grupy. Decyzje co do tego należą do administratorów. Jeśli jednak powołają takiego fachowca u siebie, muszą przestrzegać kilku ważnych zasad.
Specjalista z gwarancją niezależności
Ma on podlegać jedynie najwyższemu kierownictwu, zgodnie z wynikającą z RODO gwarancją jego niezależnej, wysokiej pozycji w strukturze administratora danych. Ponadto skraca drogę raportowania, co nie jest bez znaczenia, kiedy trzeba szybko podjąć działania naprawcze w przypadku naruszenia ochrony danych.
Grupa Robocza art. 29 w wytycznych dotyczących Inspektora Ochrony Danych opowiedziała się za jak najszerszym ułatwianiem mu pracy w firmie. Może polegać to na:
- wsparciu ze strony kadry kierowniczej (np. na poziomie zarządu),
- ustaleniu wymiaru czasu umożliwiającego wykonywanie zadań,
- odpowiedniej pomocy finansowej i infrastrukturalnej, czyli zapewnieniu pomieszczenia, sprzętu, wyposażenia,
- wsparciu kadrowym, np. powołaniu zespołu inspektora ochrony danych,
- umożliwieniu dostępu do innych działów, np. HR, prawnego, IT,
- ciągłym szkoleniu, dając możliwość ciągłego aktualizowania wiedzy.
Obowiązkiem administratora i procesorów jest też włączanie inspektorów we wszystkie sprawy dotyczące ochrony danych osobowych, wykorzystywanych w działalności. Nie można mu bowiem ogranicza dostępu do informacji niezbędnych dla realizacji jego zadań. Szefowie spółek nie powinni tego traktować jako uciążliwość, gdyż to oni w konsekwencji poniosą odpowiedzialność przed organem nadzoru i osobami, których dane przetwarzają – np. za uchybienia i narażenie ich na straty, kiedy zbiory te dostaną się w niepowołane ręce. IOD ma być partnerem w sprawach, którymi się zajmuje, w interesie firmy, dla której pracuje i na dodatek nie wolno mu wydawać poleceń co do tego, jak powinien je załatwiać. Nie wolno go także ani odwołać ani ukarać w trybie dyscyplinarnym, chyba że nie wywiązuje się należycie ze swoich zadań.
Oczywiście nie ma on ponadto uprawnień decyzyjnych w kwestiach wykraczających poza zadania wyznaczone mu przez unijne rozporządzenie. Niemniej RODO zezwala na to, aby inspektor piastował jednocześnie inną funkcję, co organizacyjnie czy finansowo może być opłacalne dla przedsiębiorstwa. Jedyny warunek to taki, żeby nie doszło wówczas do konfliktu interesów. Rzecz w tym, że nie może on pełnić stanowiska związanego z określaniem sposobów i celów przetwarzania danych przez określony podmiot. Wykluczone jest zatem, aby był on np. dyrektorem generalnym, finansowym, czy kierował działem HR albo IT. Prezes UODO zwraca też uwagę na konflikt interesów możliwy wtedy, gdy zewnętrzny IOD zostanie poproszony o reprezentowanie obsługiwanego przez niego klienta przed sądem w sprawie dotyczącej ochrony danych osobowych.
14 dni na zgłoszenie IOD urzędowi
Firmy, które 25 maja spełniały warunki zobowiązujące do wyznaczenia inspektorów ochrony danych osobowych, powinny były ich powoła i zgłosić organowi nadzoru do 1 września. Część z nich musiała z tego obowiązku wywiązać się wcześniej, do końca lipca. W każdym razie 1 września to termin przyjęty przejściowo w związku z niedawnym startem nowych unijnych zasad. Po tej dacie obowiązuje ogólny przepis, że podmiot, który wejdzie na rynek, albo zmieni działalność (jej skalę) i w związku z tym powinien mieć swojego IOD, o jego powołaniu powiadamia urząd w ciągu 14 dni. Dotyczy to również każdej zmiany osoby na tym stanowisku.
Powinna to być osoba o ogromnej wiedzy z zakresu ochrony danych osobowych. Dobrze, jeśli dodatkowo zna specyfikę branży, w której działa obsługiwana przez nią firma. Poza tym nie może to być wyłącznie teoretyk, lecz ktoś z doświadczeniem w stosowaniu przepisów z tej dziedziny. RODO wymaga wprost, aby posiadał umiejętności niezbędne do wykonywania swojej roli. Osoba na tym stanowisku musi także prezentować wysoki poziom etyki zawodowej i pamiętać, że obowiązuje go zachowanie tajemnicy lub poufności co do wypełniania powierzonych mu zadań.