Inspektor ochrony danych we wszystkich podmiotach publicznych
Redaktor: Krystian Lurka
Data: 19.03.2018
Źródło: KL, Generalny Inspektor Ochrony Danych Osobowych
Wszystkie podmioty sektora publicznego od 25 maja 2018 roku, czyli od dnia, w którym zaczniemy w Polsce stosować RODO, będą zobowiązane do posiadania inspektora ochrony danych i udzielania mu wsparcia w zakresie wykonywania jego zadań. Obowiązek wyznaczenia inspektora ochrony danych, będą miały między innymi samodzielne publiczne zakłady opieki zdrowotnej i instytuty badawcze.
Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 nakłada obowiązek wyznaczenia inspektora ochrony danych przez każdy organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (art. 37 ust. 1 pkt a RODO). RODO wprowadziło w tym zakresie istotną zmianę. Wyznaczenie inspektora ochrony danych (obecnego ABI) w podmiotach sektora publicznego nie będzie, jak dotąd (na mocy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych) uprawnieniem, lecz stanie się obowiązkiem wszystkich organów i podmiotów publicznych.
Obowiązek wyznaczenia inspektora przez wszystkie podmioty sektora finansów publicznych
Projekt nowej ustawy o ochronie danych osobowych (wersja z 3 marca 2018 r.) wskazuje, że przez organy i podmioty publiczne zobowiązane do wyznaczenia inspektora ochrony danych rozumiane będą organy oraz podmioty publiczne wskazane w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych oraz instytuty badawcze w rozumieniu ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych.
Jeśli przepis w takim brzmieniu zostanie uchwalony, to obowiązek wyznaczenia inspektora ochrony danych, będą miały, między innymi
- organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały,
- jednostki samorządu terytorialnego oraz ich związki,
- samodzielne publiczne zakłady opieki zdrowotnej,
- uczelnie publiczne,
- inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego,
- instytuty badawcze w rozumieniu ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych.
Przepis taki wyraźnie przesądzałby o obowiązku wyznaczenia inspektora ochrony danych również przez sądy i trybunały, przy czym w ich przypadku – ze względu na ochronę niezawisłości sędziowskiej – z zakresu kompetencji inspektora będą wyłączone operacje przetwarzania danych mieszczące się w czynnościach orzeczniczych (sprawowania wymiaru sprawiedliwości).
Obowiązek zapewnienia odpowiedniego wsparcia i właściwe usytuowanie inspektora w strukturze organizacyjnej
Obowiązkiem kierownictwa podmiotu publicznego jest zapewnienie odpowiedniego wsparcia inspektorowi ochrony danych. Zgodnie z art. 38 ust. 2 RODO, administrator wspiera inspektora ochrony danych w wypełnianiu przez niego zadań, zapewniając mu niezbędne do tego zasoby oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
Ponadto do obowiązków administratorów danych należy zapewnienie, aby inspektor ochrony danych:
- podlegał bezpośrednio najwyższemu kierownictwu podmiotu publicznego (art. 38 ust. 3 RODO).
- miał zapewniony udział we wszystkich zagadnieniach związanych z ochroną danych osobowych (art. 38 ust. 1 RODO),
- nie otrzymywał instrukcji dotyczących wykonywania zadań (art. 38 ust. 3 RODO),
- nie został odwołany lub ukarany za wypełnianie przez niego jego zadań (art. 38 ust. 3 RODO),
- nie otrzymywał innych zadań i obowiązków, jeśli mogłyby one spowodować konflikt interesów (art. 38 ust. 6 RODO).
W celu zapewnienia niezależności inspektorowi, administrator lub podmiot przetwarzający powinni zatem wprowadzić wewnętrzne regulacje gwarantujące inspektorowi ochrony danych niezależność i skuteczność w wykonywaniu przez niego obowiązków i zadań. Odnosi się to zwłaszcza do podmiotów publicznych czy też podmiotów o złożonych strukturach, które będą musiały dostosować swoje regulaminy organizacyjne oraz statuty tak, aby ten cel osiągnąć.
Obowiązek zapewnienia inspektorowi możliwości skutecznego realizowania zadań
W odniesieniu do zakazu nakładania na inspektora dodatkowych zadań, mogących spowodować konflikt interesów, należy dodać, że w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych było przyjęte zbliżone rozwiązanie. Zgodnie z art. 36a ust. 4 u.o.d.o., administrator danych może powierzyć ABI inne zadania jedynie wówczas, gdy nie naruszy to prawidłowego wykonywania zadań ABI. Wymóg ten zobowiązuje administratora w każdej konkretnej sytuacji do starannego przeanalizowania, czy jakiekolwiek inne zadania funkcje, jakimi zamierzałby obarczyć ABI, nie utrudniłyby mu właściwego wykonywania jego ustawowych obowiązków. W tym zakresie brane muszą być pod uwagę rozmaite i liczne czynniki, np. ilość czasu potrzebnego na wykonywanie poszczególnych obowiązków, stopień skomplikowania i ważności zadań, rezerwa czasowa na nieplanowane zadania, ilość i rodzaj danych osobowych oraz procesów i systemów informatycznych służących do ich przetwarzania.
Efektywna pomoc inspektora ochrony danych jest w interesie podmiotu publicznego
Zasadniczą rolą inspektorów ochrony danych będzie doradzanie i weryfikacja prawidłowości wykonywania obowiązków wynikających z przepisów prawa dotyczących przetwarzania danych osobowych. Rola ta nie oznacza przeniesienia na inspektora ochrony danych odpowiedzialności za zgodne z prawem przetwarzanie danych osobowych, ponieważ nadal to administrator danych będzie ponosił pełną odpowiedzialność za zgodne z prawem przetwarzanie danych osobowych. Dlatego w interesie kierownictwa każdego podmiotu publicznego jest mieć niezależnego, właściwie usytuowanego w strukturze organizacyjnej, inspektora ochrony danych, który będzie mógł efektywnie realizować swoje obowiązki.
Obowiązek wyznaczenia inspektora przez wszystkie podmioty sektora finansów publicznych
Projekt nowej ustawy o ochronie danych osobowych (wersja z 3 marca 2018 r.) wskazuje, że przez organy i podmioty publiczne zobowiązane do wyznaczenia inspektora ochrony danych rozumiane będą organy oraz podmioty publiczne wskazane w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych oraz instytuty badawcze w rozumieniu ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych.
Jeśli przepis w takim brzmieniu zostanie uchwalony, to obowiązek wyznaczenia inspektora ochrony danych, będą miały, między innymi
- organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały,
- jednostki samorządu terytorialnego oraz ich związki,
- samodzielne publiczne zakłady opieki zdrowotnej,
- uczelnie publiczne,
- inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego,
- instytuty badawcze w rozumieniu ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych.
Przepis taki wyraźnie przesądzałby o obowiązku wyznaczenia inspektora ochrony danych również przez sądy i trybunały, przy czym w ich przypadku – ze względu na ochronę niezawisłości sędziowskiej – z zakresu kompetencji inspektora będą wyłączone operacje przetwarzania danych mieszczące się w czynnościach orzeczniczych (sprawowania wymiaru sprawiedliwości).
Obowiązek zapewnienia odpowiedniego wsparcia i właściwe usytuowanie inspektora w strukturze organizacyjnej
Obowiązkiem kierownictwa podmiotu publicznego jest zapewnienie odpowiedniego wsparcia inspektorowi ochrony danych. Zgodnie z art. 38 ust. 2 RODO, administrator wspiera inspektora ochrony danych w wypełnianiu przez niego zadań, zapewniając mu niezbędne do tego zasoby oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
Ponadto do obowiązków administratorów danych należy zapewnienie, aby inspektor ochrony danych:
- podlegał bezpośrednio najwyższemu kierownictwu podmiotu publicznego (art. 38 ust. 3 RODO).
- miał zapewniony udział we wszystkich zagadnieniach związanych z ochroną danych osobowych (art. 38 ust. 1 RODO),
- nie otrzymywał instrukcji dotyczących wykonywania zadań (art. 38 ust. 3 RODO),
- nie został odwołany lub ukarany za wypełnianie przez niego jego zadań (art. 38 ust. 3 RODO),
- nie otrzymywał innych zadań i obowiązków, jeśli mogłyby one spowodować konflikt interesów (art. 38 ust. 6 RODO).
W celu zapewnienia niezależności inspektorowi, administrator lub podmiot przetwarzający powinni zatem wprowadzić wewnętrzne regulacje gwarantujące inspektorowi ochrony danych niezależność i skuteczność w wykonywaniu przez niego obowiązków i zadań. Odnosi się to zwłaszcza do podmiotów publicznych czy też podmiotów o złożonych strukturach, które będą musiały dostosować swoje regulaminy organizacyjne oraz statuty tak, aby ten cel osiągnąć.
Obowiązek zapewnienia inspektorowi możliwości skutecznego realizowania zadań
W odniesieniu do zakazu nakładania na inspektora dodatkowych zadań, mogących spowodować konflikt interesów, należy dodać, że w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych było przyjęte zbliżone rozwiązanie. Zgodnie z art. 36a ust. 4 u.o.d.o., administrator danych może powierzyć ABI inne zadania jedynie wówczas, gdy nie naruszy to prawidłowego wykonywania zadań ABI. Wymóg ten zobowiązuje administratora w każdej konkretnej sytuacji do starannego przeanalizowania, czy jakiekolwiek inne zadania funkcje, jakimi zamierzałby obarczyć ABI, nie utrudniłyby mu właściwego wykonywania jego ustawowych obowiązków. W tym zakresie brane muszą być pod uwagę rozmaite i liczne czynniki, np. ilość czasu potrzebnego na wykonywanie poszczególnych obowiązków, stopień skomplikowania i ważności zadań, rezerwa czasowa na nieplanowane zadania, ilość i rodzaj danych osobowych oraz procesów i systemów informatycznych służących do ich przetwarzania.
Efektywna pomoc inspektora ochrony danych jest w interesie podmiotu publicznego
Zasadniczą rolą inspektorów ochrony danych będzie doradzanie i weryfikacja prawidłowości wykonywania obowiązków wynikających z przepisów prawa dotyczących przetwarzania danych osobowych. Rola ta nie oznacza przeniesienia na inspektora ochrony danych odpowiedzialności za zgodne z prawem przetwarzanie danych osobowych, ponieważ nadal to administrator danych będzie ponosił pełną odpowiedzialność za zgodne z prawem przetwarzanie danych osobowych. Dlatego w interesie kierownictwa każdego podmiotu publicznego jest mieć niezależnego, właściwie usytuowanego w strukturze organizacyjnej, inspektora ochrony danych, który będzie mógł efektywnie realizować swoje obowiązki.