Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Porównanie statusu inspektora ochrony danych i administratora bezpieczeństwa informacji

14/10/2017

Inspektor Ochrony Danych, Administrator Bezpieczeństwa Informacji, Rodo, Ogólne Rozporządzenie O Ochronie Danych, Ustawa O Ochronie Danych Osobowych, Gdpr,

Status inspektora ochrony danych został uregulowany w art. 38 RODO (Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) i stanowi on w pewnym sensie rozwinięcie aktualnych rozwiązań obowiązujących na gruncie polskiej ustawy.


Aktualne, zwięzłe przepisy w tym zakresie sprowadzają się w zasadzie do niezależności administratora bezpieczeństwa informacji, ABI i jego właściwego umiejscowienia w strukturze podmiotu, z którym wiąże się także to, że ABI powinien mieć zagwarantowaną możliwość realnego realizowania zadań, które nakłada na niego ustawa. Zgodnie z art. 36a ust. 7 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Ponadto, stosownie do ust. 8 w/w przepisu administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań, o których mowa w ust. 2.

 

W związku z powyższym przepisy zakazują powierzania ABI-emu zadań, które naruszyłyby możliwość prawidłowej realizacji zadań ustawowych (art. 36a ust. 4 ustawy o ochronie danych osobowych). W tym miejscu warto nadmienić, że we wcześniejszej praktyce (przed nowelizacją ustawy o ochronie danych osobowych, która weszła w życie 1.01.2015) wykształciła się w wielu instytucjach tendencja, aby funkcję ABI powierzać osobom, które już były zatrudnione na innych stanowiskach w danej firmie (np. specjalistom ds. HR, IT, itp.). Osoby te często zatrudnione wcześniej na pełny etat w danej jednostce (do tego bez właściwego przygotowania merytorycznego) nie miały jednak często żadnej realnej możliwości realizowania dodatkowych zadań. Ponadto brak właściwego zrozumienia roli administratora bezpieczeństwa informacji w strukturze organizacji wielokrotnie prowadził (i nadal prowadzi) do powierzania takiej osobie zadań, które nie powinny być powierzane administratorowi bezpieczeństwa informacji (np. nadawania upoważnień do przetwarzania danych, powadzenia ewidencji upoważnień, obsługi kadrowo-płacowej, zarządzania systemami IT, itp.). Z brzmienia aktualnych przepisów dotyczących roli ABI wynika, że osoba ta powinna nadzorować powyższe obszary pod kątem przestrzegania przepisów ochrony danych osobowych, a nie za nie faktycznie odpowiadać (sytuacje takie w praktyce często prowadzą do tego, że ABI miałby kontrolować samego siebie). Należy uznać, że powierzanie tego typu zadań ABI już obecnie może być sprzeczne z art. 36a ust. 4 ustawy, gdyż prowadzi do naruszenia prawidłowego wykonywania zadań wskazanych w art. 36a ust. 2 ustawy o ochronie danych osobowych.

 

RODO nałożyło na Inspektora ochrony danych obowiązek zachowania tajemnicy zawodowej, niemniej jednak wypada stwierdzić, że obowiązek ten aktualnie wynika już z art. 39 ust. 2 ustawy o ochronie danych osobowych zgodnie z którym osoby, które zostały upoważnione do przetwarzania danych (a więc także ABI) , są obowiązane zachować w tajemnicy te dane osobowe\ oraz sposoby ich zabezpieczenia.

 

Przepisy RODO niewątpliwie wzmacniają pozycję inspektora ochrony danych (w skrócie zwanym IOD lub ang. DPO), zachowując jednocześnie dotychczasowe wymogi o których mowa była powyżej. W szczególności podtrzymana jest zasada niezależności DPO, której wyrazem jest także to, że inspektor ochrony danych musi podlegać bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

 

Dodatkowo RODO wymaga, aby inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania swoich zadań. Nie może on być także odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań (art. 38 ust. 3 RODO). Warto wspomnieć, że Grupa Robocza art. 29 bardzo szeroko rozumie „zakaz karania”, wskazując, iż: „Kary mogą przybrać szereg form i mogą być bezpośrednie albo pośrednie. Mogą polegać na braku albo opóźnieniu awansu, utrudnieniu rozwoju zawodowego, ograniczeniu dostępu do korzyści oferowanych pozostałym pracownikom. Nieistotny jest przy tym fakt nałożenia kary, gdyż sama możliwość jej wykonania i obawa z tym związana może być wystarczająca do utrudnienia DPO wykonywania zadań” (Wytyczne dotyczące inspektorów ochrony danych (‘DPO’) przyjęte 13 grudnia 2016 r., 16/EN WP 243). Pozostaje to oczywiście bez wpływu na to, że DPO będzie mógł być odwołany w oparciu o normalne uwagi (np. z uwagi na ciężkie naruszenie obowiązków pracowniczych). Jednak gwarancja stabilnego kontraktu w ocenie grupy roboczej daje większą rękojmię wykonywania zadań IOD w sposób niezależny. RODO kładzie także zdecydowanie większy nacisk na konieczność zapewnienia inspektorowi ochrony danych niezbędnych środków (w tym związanych z potrzebą rozwoju jego wiedzy fachowej).

 

Warto mieć także na uwadze, że RODO niejako rozszerza rozwiązanie przewidziane aktualnie w art. 36a ust. 4 ustawy o ochronie danych osobowych, wskazując, że jakkolwiek możliwe jest wykonywanie przez IOD innych zadań i obowiązków, to w art. 38 ust. 6 RODO jednoznacznie wskazano, że administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów. Grupa Robocza art. 29 trafnie wskazała, że ocenę tego czy w danej sytuacji taki konflikt nie występuje należy zawsze przeprowadzić indywidulanie -- z uwzględnieniem specyfiki danego podmiotu, jednocześnie zaznaczając, iż cyt. : „Jako regułę można uznać, że za powodujące konflikt interesów uważane będą stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych”. Warto mieć zatem na uwadze, że wielu aktualnych ABI może nie spełniać tego kryterium (np. kierownik działu IT, który podejmuje decyzje w zakresie wdrażania nowych systemów informatycznych, czy kierownik działu kadr, który prowadzi politykę personalną w ramach firmy, itp.).

 

Kolejnym czynnikiem który niewątpliwie bardzo wzmacnia pozycję ABI, jest rozwiązanie przyjęte w art. 38 ust. 1 RODO, zgodnie z którym administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Rozwiązanie to należy uznać za rewolucyjne, jako że do tej pory mogło ono ewentualnie funkcjonować w ramach dobrych praktyk w wewnętrznych procedurach konkretnego podmiotu. Niewątpliwie wymóg właściwego i niezwłocznego włączania DPO we wszystkie sprawy zobowiązuje do tego, aby inspektor był obecny w każdym procesie związanym z przetwarzaniem danych od samego początku (a więc najwcześniej jak jest to możliwe). Należy uznać, że jest to kluczowe dla możliwości prawidłowego pełnienia tej funkcji. Obecnie obowiązujące przepisy skupiają się bowiem na przeprowadzaniu sprawdzeń oraz diagnozowaniu nieprawidłowości i ich późniejszej naprawie. Uzupełnieniem mogą być ewentualnie  sprawdzenia doraźne – ale znajdują one uzasadnienie w sytuacji powzięcia przez administratora bezpieczeństwa informacji wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia. Dlatego niewątpliwie powszechnym problemem, który aktualnie się pojawia jest zbyt późne włączanie ABI w procesy związane z przetwarzaniem danych osobowych  (np. kierowanie prośby o zaopiniowanie systemu informatycznego  w momencie gdy została już podjęta decyzja o jego zakupie, czy odniesienia się do zapisów umowy z zewnętrznym dostawcą, co do której zapadła już decyzja o jej podpisaniu, itp.).

 

Nowe podejście niewątpliwie wymaga stworzenia w tym zakresie odpowiednich ram proceduralnych, co może być szczególnie kłopotliwe w przypadku dużych podmiotów o zasięgu globalnym, gdzie decyzje odnośnie wielu kwestii (np. wdrożenia nowego systemu IT) nie zapadają na szczeblu lokalnym.

 

Pewną nowością jest także konieczność zapewnienia, aby z inspektorem ochrony danych mogły się kontaktować osoby których dane dotyczą we wszelkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia (art. 38 ust. 4 RODO). Wprawdzie możliwość taka w zasadzie istnieje już teraz (każdy może sprawdzić, czy dany podmiot zgłosił ABI w rejestrze GIODO i napisać bezpośrednio do ABI), jednak nie była ona expressis verbis wyrażona w ustawie. Możliwość bezpośredniego zwracania się do IOD (którego dane kontaktowe będą musiały obligatoryjnie pojawić się w klauzulach informacyjnych) może przyczynić się do lepszego poznania działań realizowanych przez daną jednostkę. DPO dzięki temu będzie miał dodatkowo możliwość weryfikacji, jak administrator realizuje wymogi prawne wynikające z RODO lub innych aktów prawnych związanych z ochroną danych osobowych.

 

 

Inspektor Ochrony Danych, Administrator Bezpieczeństwa Informacji, Rodo, Ogólne Rozporządzenie O Ochronie Danych, Ustawa O Ochronie Danych Osobowych, Gdpr,
Kara 525 000 euro w związku z konfliktem interesów inspektora ochrony danych
Kara 525 000 euro w związku z konfliktem interesów inspektora ochrony danych
Lista pytań Prezesa UODO dotycząca IOD
Lista pytań Prezesa UODO dotycząca IOD
Lista kontrolna do przeprowadzenia wewnętrznego audytu zdalnego przez Inspektora Ochrony Danych
Lista kontrolna do przeprowadzenia wewnętrznego audytu zdalnego przez Inspektora Ochrony Danych