RODO nie wskazuje administratorom i podmiotom przetwarzającym konkretnych środków i procedur w zakresie bezpieczeństwa, zamiast tego zobowiązuje przedsiębiorców do samodzielnego dostosowania metody zabezpieczania i przetwarzania danych do charakteru swojej działalności oraz indywidualnego dobierania odpowiednich środków technicznych i organizacyjnych.

Temu celowi służyć mają m.in. takie instrumenty, jak podejście oparte na ryzyku, zasada rozliczalności (ust. 2 art. 5 RODO), uwzględnianie ochrony danych w fazie projektowania czy domyślna ochrona danych (art. 25 RODO).

Podejście oparte na ryzyku polega na tym, że  w każdej sytuacji, kiedy podmiot zbiera i korzysta z danych osobowych, musi on przede wszystkim wykonać analizę ryzyka, jakie to przetwarzanie może spowodować dla prywatności osób, których dane dotyczą. RODO zobowiązuje podmioty do przeprowadzania analizy prowadzonych procesów przetwarzania danych  oceniając związane z nimi ryzyko oraz dostosowania do skali ryzyka środków ochrony przetwarzania danych osobowych (patrz: Czym jest ocena skutków dla ochrony danych osobowych  oraz  Komunikat PUODO z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony).

Administrator danych, będąc zobowiązanym do przetwarzania zgodnego z prawem, powinien realizować nowe zasady przetwarzania danych, które wprowadza RODO. Jedną z podstawowych zasad jest zasada rozliczalności. 

Oznacza to, że administrator danych musi moc wykazać, iż postępuje zgodnie z zasadami dotyczącymi przetwarzania danych osobowych, jak również  w stanie będzie udowodnić,  że stosuje właściwe i skuteczne  środki techniczne i organizacyjne w celu spełnienia obowiązków, jakie nakłada na niego RODO. Rozporządzenie nie zawiera  konkretnych rozwiązań, nie określa standardów technicznych zabezpieczenia danych, więc każdy administrator biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych musi samodzielnie zdecydować w jaki sposób zabezpieczyć przetwarzanie danych oraz jakie wdrożyć procedury i dokumentację.

RODO  dodaje nowy obowiązek uwzględnienia ochrony danych osobowych w fazie projektowania (privacy by design ) oraz domyślną ochronę danych (privacy by default ).

Zasada privacy by design zakłada, że ochrona prywatności powinna być uwzględniana już na wstępnych etapach projektowania usług, produktów bądź systemów mających służyć do przetwarzania danych osobowych. Oznacza to, że prywatność będzie chroniona nie  przez dodatki do systemu już istniejącego rozwiązania  lub późniejsze wdrażanie mechanizmów gwarantujących ochronę danych osobowych, a powinna być wbudowana w  konstrukcję każdego nowego projektu od początku.

Zasada privacy by default natomiast oznacza konieczność wdrażania odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania.  Zabezpieczenia mają być ustawione domyślnie, a zmiana takiego ustawienia powinna następować jedynie na wyraźne żądanie użytkownika programu. 

Przyjęty model regulacji powoduje konieczność budowania  w organizacji całego systemu skutecznej ochrony danych osobowych w oparciu o fachową wiedzę oraz konkretne  umiejętności praktyczne. Niewątpliwie jedną z głównych ról w tym zakresie mają do odegrania inspektor ochrony danych (IOD) lub specjalista ds. ochrony danych, którzy doradzają podmiotowi, jakie działania ułatwiające przestrzeganie przepisów RODO, on powinien podjąć. To oni mają w sposób profesjonalny działać w celu  prawidłowego zorganizowania procesów przetwarzania i zapewnienia bezpieczeństwa danych osobowych, stając się w ten sposób gwarantem właściwego zgodnego z prawem przetwarzania danych, a zatem rozliczalności kwestii ochrony danych osobowych.

Jednym z efektów europejskiej reformy prawa ochrony danych osobowych jest wprowadzenie w określonych w RODO przypadkach obligatoryjnego wyznaczenie inspektorów ochrony danych.

Obowiązek ten spoczywa na wszystkich organach i podmiotach publicznych (niezależnie od rodzaju przetwarzanych przez nie danych), a także na innych organizacjach, które w ramach swojej głównej działalności zajmują się systematycznym monitorowaniem osób fizycznych na dużą skalę lub przetwarzają szczególne kategorie danych osobowych na dużą skalę (patrz: Wytyczne dotyczące inspektorów ochrony danych DPO, Procedura wyznaczenia inspektora ochrony danych oraz Wyznaczenie inspektora ochrony danych przez podmiot spoza Unii Europejskiej).

6 lutego 2019 r. weszła w życie  Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, tzw.  dyrektywa policyjna, która   obliguje do wyznaczenia inspektora ochrony danych w szczególności: sądy, prokuratury, Policję, Straż Graniczną, Służbę Więzienną, Żandarmerię Wojskową, Służbę Ochrony Państwa. Obowiązek taki spoczywa również na  Generalnym Inspektorze Informacji Finansowej, Krajowej Administracji Skarbowej. Inspektora ochrony danych muszą wyznaczyć także komendanci straży gminnej i miejskiej. Taki sam obowiązek dotyczy Głównego Inspektora Nadzoru Drogowego, Straży Ochrony Kolei, Ministerstwa Środowiska, Głównego Inspektora Ochrony Środowiska, Straży Rybackiej, Głównego Inspektora Straży Leśnej, Państwowej Straży Łowieckiej, Urzędu Żeglugi Śródlądowej, urzędów morskich, Państwowej Inspekcji Sanitarnej, Państwowej  Straży Pożarnej a także Inspektora Nadzoru Wewnętrznego (MSWiA), podmioty odpowiedzialne za bezpieczeństwo imprez masowych oraz przewoźnicy lotniczy (patrz: Kolejne przepisy dotyczące realizacji zadań przez inspektora ochrony danych).

Inspektorem ochrony danych może być pracownik administratora lub podmiotu przetwarzającego albo osoba wykonująca zadania na podstawie umowy o świadczenie usług. Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. 

Dla skuteczniejszego wypełnienia swoich obowiązków inspektor ochrony danych powinien posiadać odpowiednie kwalifikacje do pełnienia swojej roli; wiedzę fachową na temat prawa i praktyk w zakresie krajowych i europejskich przepisów w dziedzinie ochrony danych, w tym znajomość RODO oraz umiejętności wypełnienia swoich zadań, określonych w ust. 1 art. 39 RODO (patrz: Jakie kwalifikacje powinien posiadać Inspektor Ochrony Danych).

Należyty poziom wiedzy merytorycznej oraz praktyczne rozwiązania dla skutecznego sprawowania funkcje IOD zapewniają różne szkolenia i kurs  dla   Inspektorów Ochrony Danych.

Po wyznaczeniu IOD, podmiot, który go powołał zawiadamia Prezesa Urzędu Ochrony Danych Osobowych  oraz udostępnia jego dane (patrz: Jak formalnie powołać  Inspektora Ochrony Danych i zgłosić go do rejestru Prezesa Urzędu  Ochrony Danych Osobowych?).

Jednym z podstawowych  zadań  IOD jest doradzanie administratorowi i podmiotowi przetwarzającemu w zakresie obowiązków wynikających z przepisów o ochronie danych osobowych tak, aby przetwarzanie danych w organizacji odbywało się zgodnie z prawem. Z tego powodu inspektor ochrony danych powinien być włączany we wszystkie sprawy dotyczące ochrony danych osobowych. W odniesieniu do oceny skutków dla ochrony danych, w RODO wyraźnie przewidziano, że administrator dokonując oceny skutków konsultuje się z inspektorem ochrony danych. Co również istotne, inspektor ochrony danych pełni funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem oraz dla osób, których dane dotyczą.

Reasumując, należy stwierdzić, że inspektor ochrony danych odgrywa bardzo ważną i użyteczną rolę we wspieraniu administratora i podmiotu przetwarzającego  w dostosowaniu  do wymogów RODO, ponieważ posiada on odpowiednie narzędzia do monitorowania procesów przetwarzania danych osobowych.  Jego fachowa wiedza, konkretne umiejętności praktyczne stanowią podstawę  dla budowania w określonej organizacji systemu skutecznej ochrony danych osobowych. Dlatego Grupa Robocza Art. 29 zaleca, aby organizacje, które zgodnie z obowiązującymi przepisami nie są zobowiązane do wyznaczenia IOD, powołały go na zasadzie dobrowolności albo zatrudniły pracowników lub konsultantów zewnętrznych i powierzyły im zadania w obszarze ochrony danych osobowych.

Olga Sklyarova, audytor JDS Consulting

Akredytowany Kurs Inspektora Ochrony Danych