fbpx
Zaznacz stronę

Od 25 maja 2018 r. zacznie obowiązywać Ogólne rozporządzenie o ochronie danych osobowych, które wprowadza nowe obowiązki dla firm i instytucji, które przetwarzają dane. Jednym z nich, w określonych przypadkach, będzie powołanie Inspektora Ochrony Danych. Czy będzie to niebawem nowy zawód?

Inspektor Ochrony Danych to rola przewidziana w Ogólnym rozporządzeniu o ochronie danych, które weszło w życie w maju 2016 r.

Obecnie trwa 2-letni okres przejściowy na dostosowanie się. 25 maja 2018 r. nowe przepisy zaczną bezpośrednio obowiązywać, ze wszelkimi konsekwencjami za niedostosowanie się. Zmieniają one znacząco podejście do ochrony danych osobowych, dając administratorom danych z jednej strony większą swobodę w doborze środków organizacyjnych i technicznych, a z drugiej jednak nakładając szereg nowych zadań.

W tym wpisie przedstawię jedno z nich. Będzie ono w niektórych podmiotach wymuszało powołanie osoby, która będzie zajmowała się nadzorowaniem przestrzegania przepisów o ochronie danych osobowych. Już dziś warto się zastanowić, czy ten obowiązek będzie dotyczył Twojej organizacji.

Poprzednik Inspektora Ochrony Danych.

Obecne przepisy o ochronie danych osobowych wymieniają już podobną rolę. Jest to Administrator Bezpieczeństwa Informacji (ABI). Jego powołanie jest dobrowolne. Jednak w przypadku jego niewyznaczenia administrator danych musi we własnym zakresie wypełniać większość przewidzianych ustawą zadań ABI. W rzeczywistości więc, szczególnie w większych organizacjach, taka osoba już często się pojawiała, ponieważ ciężko sobie wyobrazić, aby organ reprezentujący administratora danych – właściciel firmy, zarząd, kierownik jednostki budżetowej – był w stanie realnie samodzielnie wykonywać te zadania i zapewniać właściwy nadzór nad danymi osobowymi. Przede wszystkim nie dysponują oni odpowiednim czasem na wykonywanie tych obowiązków, a po drugie, często nie posiadają kompleksowej wiedzy o ochronie danych osobowych.

Rola ABI wrasta z roku na rok.

Wzrost powołania ABI nastąpił znacząco po 1 stycznia 2015 r., kiedy to zmiana dotychczasowej ustawy o ochronie danych umożliwiła podmiotom, które zdecydują się na wyznaczenie takiej osoby i zgłoszenie jej do jawnego rejestru GIODO, pewne ustępstwa w zakresie ochrony danych. Jest to zwolnienie z obowiązku zgłoszenia zbiorów zwykłych do GIODO, a także możliwość przeprowadzenie przez ABI kontroli na zlecenie Generalnego Inspektora. Nie oznacza to, że pracownicy Biura GIODO nie będą mogli już przeprowadzić kontroli w takim podmiocie. Taka możliwość zawsze istnieje. Jednak posiadając ABI nie będziemy się zbyt stresować obecnością kontrolerów, ponieważ taka osoba będzie wiedziała jakie dokumenty przygotować i będzie w stanie doradzić nam, jak się do niej przygotować.

Idea Inspektora Ochrony Danych.

Od 25 maja 2018 r. ABI zmieni nazwę na Inspektor Ochrony Danych (IOD).

Otrzyma kilka nowych zadań, ale główna idea pozostanie bez zmian. Ma być łącznikiem pomiędzy podmiotem, GIODO a osobami, których dane dotyczą. Jest uznawany za gwaranta ochrony danych w organizacji, w której został powołany. Dlatego też, GIODO już teraz zachęca do jego wyznaczenia, nawet jeśli administrator danych nie znajdzie się wśród podmiotów do tego zobowiązanych. Obserwując liczbę powołanych ABI po 2015 r. można spodziewać się, że część podmiotów faktycznie pójdzie tą samą drogą. O tym dlaczego warto powołać ABI pisałam tutaj.

Obowiązek powołania IOD.

Wraz z obowiązywaniem nowego rozporządzenia o ochronie danych wejdzie obowiązek powołania Inspektora Ochrony Danych w sytuacji, gdy jest to:

  • organ lub podmiot publiczny (niezależnie od skali przetwarzania, za wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości);
  • podmiot, którego główna działalność  polega na przetwarzaniu na dużą skalę danych wrażliwych;
  • podmiot, który w ramach swojej głównej działalności regularnie i na dużą skalę monitoruje osoby fizyczne;

Warto w tym miejscu powiedzieć o tym, że nie musimy być administratorem danych. Czyli to niekoniecznie my decydujemy o tym jakie dane, w jakim celu i przez jaki okres będą przetwarzane. Możemy być zobowiązani do tego, także gdy na zlecenie innych podmiotów okaże się, że wykonujemy działalność objętą wymogiem wyznaczenia Inspektora.

Przetwarzaniem jest wykonywanie jakiejkolwiek operacji z użyciem danych osobowych, jak zbieranie danych, modyfikowanie, skanowanie, czy archiwizowanie.

Do ustalenia pozostaje, jakie konkretnie podmioty mogą się spodziewać nowego obowiązku. Na pewno oprócz podmiotów publicznych, w tym jednostek budżetowych, co nie ulega dyskusji, dotknie to również szpitale, przychodnie, apteki, sklepy medyczne, gabinety lekarskie, czy fizjoterapeutyczne. Przetwarzają one dane wrażliwe, często dużej ilości osób. Rozporządzenie jednak nie precyzuje, co oznacza duża skala, administrator danych sam musi ocenić, czy w swojej sytuacji ten obowiązek będzie go dotyczył. Z kolei główna działalność oznacza zawsze, że bez przetwarzania danych osobowych jej prowadzenie nie byłoby możliwe. Nie potrzeba przy tym prowadzić skomplikowanych operacji na danych. Przetwarzaniem jest wykonywanie jakiejkolwiek operacji z użyciem danych osobowych, jak zbieranie danych, modyfikowanie, skanowanie, czy archiwizowanie. Dlatego wystarczy, że bez pobierania danych osobowych nie będzie możliwe wykonywanie działalności. Trudno sobie przecież wyobrazić, by udało nam się odbyć wizytę u lekarza bez podawania danych, czy w aptece zrealizować pustą receptę. Regularne monitorowanie na dużą skalę oznacza korzystanie z nadzoru wideomonitoringu, śledzenia lokalizacji, monitorowania wykorzystania usług, czy korzystania z produktów.

Dobrowolne wyznaczenie IOD.

Administrator danych ma rozważyć, czy wykonywana przez niego działalność będzie podlegała obowiązkowemu wyznaczeniu Inspektora Ochrony Danych. Z pewnością wszystkie organizacje wymienione powyżej w przepisach Ogólnego rozporządzenia mogą już się przygotowywać do wypełnienia nałożonego na nie obowiązku. Te nie ulegną już zmianie. Możliwe też, że nasze wewnętrzne przepisy (ponieważ kraje we własnym zakresie mogą doprecyzować niektóre kwestie) rozszerzą ten obowiązek na inne podmioty, np. według skali zatrudnienia. W tym momencie nie przedstawiono jednak jeszcze takiego projektu.

Dla zmartwionych potrzebą utworzenia nowego stanowiska w ramach organizacji dodam tylko, że nie zawsze będzie taka potrzeba. Ogólne rozporządzenie dopuszcza powołanie osoby, która będzie świadczyła usługę outsourcingu w tym zakresie. Często takie rozwiązanie będzie o wiele tańsze i korzystniejsze, niż zatrudnienie osoby na etat.

Niezależnie od tego, czy znajdziemy się w kręgu podmiotów zobowiązanych do wyznaczenia Inspektora Ochrony Danych, obowiązują nas pozostałe zadania, przewidziane w Ogólnym rozporządzeniu dla administratorów danych i podmiotów przetwarzających dane na ich zlecenie.

ABI powołani przed 25 maja 2018 r. 

Na zakończenie chciałabym jeszcze doprecyzować kwestię tego, co stanie się w sytuacji, gdy już powołaliśmy ABI, czyli przyszłego Inspektora Ochrony Danych. Czy będziemy musieli po 25 maja 2018 r. powołać go ponownie? Wszystko wskazuje na to, że Administratorzy Bezpieczeństwa Informacji zarejestrowani w rejestrze przed 25 maja 2018 r. z mocy prawa powinni stać się Inspektorami Ochrony Danych. Takie jest aktualne stanowisko GIODO. Z kolei projekt nowej ustawy o ochronie danych (kraje mogą to rozstrzygać we własnym zakrese) przewiduje, że do 30 września 2018 r. dotychczas powołani ABI zachowają swoje funkcje i do tego czasu będzie należało poinformować GIODO o tym, czy obecny ABI będzie pełnił dalej taką rolę już jako Inspektor, czy też nastąpi zmiana w tym zakresie.

 

 

A czy Twoja firma jest już gotowa na RODO? 

Zapoznaj się ze szczegółami mojego autorskiego kursu online, który dostarczy Ci nie tylko niezbędnej wiedzy w pigułce, ale i zapewni wszystkie wzory wymaganych dokumentów, polityk i instrukcji!

CHCĘ POZNAĆ SZCZEGÓŁY KURSU!