25 maja 2018 roku jest datą przełomową dla ochrony danych osobowych. Od tego dnia zaczęło obowiązywać rozporządzenie unijne – RODO. Razem z nowymi przepisami pojawił się inspektor ochrony danych. Kim jest nowy bohater i dlaczego od kilku miesięcy jest tak bardzo poszukiwany?

Kim jest inspektor ochrony danych?

Inspektor ochrony danych to najprościej mówiąc strażnik ochrony danych osobowych w firmie. Często wymiennie jest nazywany poprzez użycie skrótu IOD lub w angielskim brzmieniu data protection officer (DPO). Wszystkie wersje są właściwe i oznaczają dokładnie to samo. Warto przypomnieć, że przed 25 maja podobną funkcję pełnił Administrator Bezpieczeństwa Informacji (ABI). Inspektor wskoczył w jego miejsce, ale prócz nazwy zmieniło się jeszcze kilka istotnych kwestii. IOD ma zdecydowanie więcej zadań, a co za tym idzie, większą odpowiedzialność.

Dobry inspektor zwiększa poziom bezpieczeństwa danych osobowych w firmie. Każde przedsiębiorstwo przetwarza jakieś dane osobowe, chociażby dane swoich pracowników. RODO narzuca, w dużym uproszczeniu, na  szefów firm – tzw. administratorów oraz na ich podwykonawców – tzw. podmioty przetwarzające obowiązek poprawnego zabezpieczenia i ochrony danych osobowych, które wykorzystuje. Nie zawsze jest to proste i właśnie dlatego pojawia się inspektor ochrony danych, który dzięki swoim kompetencjom wie, jak to zrobić. Dobry IOD jest gwarancją bezpieczeństwa danych. Trzeba jednak pamiętać, że to administrator lub podmiot przetwarzający będzie ponosił największą odpowiedzialność za przestrzeganie przepisów RODO. Dlatego tak ważne jest wybranie odpowiedniego inspektora i stworzenie mu jak najlepszych warunków do wykonywania powierzonych zadań.

Poprawnie zbudowany system ochrony danych osobowych usuwa stres związany z RODO

Inspektor ochrony danych odpowiada za budowę systemów ochrony danych w firmie. Dobrze działający system jest ważny z wielu powodów, m.in.:

  • chroni dane osobowe;
  • pozwala uniknąć strat wizerunkowych związanych z naruszeniami (np. wyciek danych);
  • pozwala uniknąć surowych kar finansowych.

Kary finansowe za brak RODO w firmie to przepis, który żyje. Od 25 maja minęło zaledwie kilka miesięcy, a europejskie organy nadzorcze już nałożyły na przedsiębiorców wysokie kary finansowe. Polski Urząd Ochrony Danych Osobowych zapowiedział, że kontrole ruszają również w naszym kraju. W zabieganym świecie biznesu bardzo łatwo o niedopatrzenia, dlatego posiadanie własnego inspektora ochrony danych jest pewnego rodzaju zabezpieczeniem, że ktoś w naszym imieniu czuwa nad przepisami. Przypomnijmy, że kary finansowe w RODO są wysokie. Za naruszenia obowiązków wynikających z RODO, m.in.:

  • za nieprawidłowe zabezpieczenie danych osobowych,
  • za niewypełnienie obowiązków informacyjnych względem osób, których dane posiadamy,
  • za niewłaściwe przetwarzanie danych np. bez żadnej lub bez ważnej podstawy prawnej grożą administracyjne kary pieniężne w wysokości do 10 mln euro, a w przypadku przedsiębiorstw nawet do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (jeżeli te 2% wynosi mniej niż 10 mln euro, to w dalszym ciągu można nałożyć na przedsiębiorstwo karę do 10 mln euro.

Kiedy należy zatrudnić inspektora ochrony danych?

Szefowie firm coraz częściej zdają sobie sprawę z powagi sytuacji i poważnie podchodzą do nowych przepisów. Docierające głosy z Europy o nałożonych karach, budują coraz większą świadomość wśród przedsiębiorców. Najwięksi gracze na rynku obawiają się nie tylko strat finansowych, ale przede wszystkim wizerunkowych. Co zrobić, żeby się zabezpieczyć na tę okoliczność? Odpowiedź jest prosta – powołać osobę, która się na tym zna. Podobnie jak w przypadku korzystania z pomocy księgowej czy radcy prawnego.

Dobrą praktyką wśród odpowiedzialnych za dane osobowe jest powołanie inspektora ochrony danych. Są jednak podmioty, które nie mają wyboru – tzn. mają taki obowiązek. Zgodnie z art. 37 ust. 1 RODO  wyznaczenie IOD jest konieczne, gdy:

  1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetworzeniu na dużą skalę szczególnych kategorii danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Podmiot publiczny, główna działalność, przetwarzanie na dużą skalę – czyli właściwie kto?

RODO słynie z bardzo ogólnych przepisów, które budzą wątpliwości nie tylko wśród przedsiębiorców, ale również inspektorów ochrony danych. Ogólność zapisów pozostawia  szerokie pole do interpretacji, a co za tym idzie, próbę obejścia prawa i uniknięcie odpowiedzialności. Tak właśnie jest w przytoczonym powyżej przepisie, który wskazuje konieczność powołania inspektora ochrony danych. Na szczęście z pomocą biegnie nasza krajowa ustawa oraz wytyczne niezależnego organu doradczego w zakresie ochrony danych i prywatności (Grupy Roboczej Art. 29 Ochrony Danych). W przypadku wytycznych należy pamiętać, że nie stanowią one źródła prawa:

Czym jest podmiot publiczny?

Podmiot publiczny – wyjaśnienie możemy znaleźć w ustawie z 10 maja 2018 roku o ochronie danych osobowych.

Organy i podmioty publiczne, które muszą wyznaczyć IOD to:

  • jednostki sektora finansów publicznych
  • instytucje badawcze
  • Narodowy Bank Polski;

Jak rozumieć pojęcie “głównej działalności”?

Główna działalność – według wspomnianych wytycznych jest ważna z punktu widzenia osiągnięcia celów administratora czy też podmiotu przetwarzającego. Przykładem tutaj może być firma świadcząca usługi ochrony mienia, poprzez prowadzenie monitoringu w miejscach publicznych. Bez wątpienia, główną działalnością jest ochrona, ale przetwarzanie danych osobowych jest ściśle z nią powiązane;

Kiedy mamy do czynienia z przetwarzaniem na “dużą skalę”?

Duża skala –  niezależny organ doradczy w zakresie ochrony danych osobowych zaleca rozważając pojęcie “dużej skali” wzięcie pod uwagę następujących czynników:

  • liczba osób, których dane dotyczą – konkretna liczba lub procent określonej grupy społeczeństwa;
  • zakres przetwarzanych danych osobowych;
  • okres, przez jaki dane są przetwarzane;
  • zakres geograficzny przetwarzania danych osobowych.

Dodatkowo, organ doradczy podaje przykłady przetwarzania na dużą skalę:

  • przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności;
  • przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem „kart miejskich”;
  • przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności;

a także przykłady przetwarzania niemieszczącego się w definicji „dużej skali”

  • przetwarzanie danych pacjentów, dokonywanie przez pojedynczego lekarza;
  • przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata lub radcę prawnego.

Inspektor ochrony danych = bezpieczeństwo.

Kogo stać na funkcjonowanie bez IOD? Nawet jeśli rozporządzenie bezpośrednio nie narzuca obowiązku powołania inspektora, to bardzo korzystnym dla organizacji może być dobrowolne wyznaczenie takiej osoby. Niewątpliwie dla administratorów i podmiotów przetwarzających będzie to bardzo bezpieczne rozwiązanie. Inspektor ochrony danych jest również pośrednikiem między przedsiębiorstwem a osobami, których dane są przetwarzane oraz między organem nadzorczym – Urzędem Ochrony Danych Osobowych.

Każde działanie zmierzające do odpowiedniego zabezpieczenia danych osobowych jest krokiem do zabezpieczenia się firmy przed ogromnymi stratami wizerunkowymi (np. w przypadku wycieku danych) oraz stratami finansowymi (w przypadku nałożenia przez Urząd kar finansowych oraz w przypadku konieczności wypłaty odszkodowań osobom, których dane były przetwarzane w niewłaściwy sposób). Wyznaczenie IOD to pierwszy i najważniejszy krok do właściwego posługiwania się z danymi w firmie. Osoba posiadająca wiedzę i doświadczenie w budowaniu systemów ochrony danych wprowadzi w firmie niezbędne procedury oraz działania zgodne z prawem.

Inspektora ochrony danych można wyznaczyć dla kilku organów lub podmiotów publicznych. Trzeba pamiętać, żeby uwzględnić to w strukturze organizacyjnej i wielkości tych podmiotów. RODO pozwala również na wyznaczenie jednego IOD dla grupy przedsiębiorstw. Musi zostać spełniony jeden warunek –  możliwość łatwego nawiązania kontaktu z każdej jednostki organizacyjnej.

Na jakich zasadach współpracować z inspektorem ochrony danych?

Inspektorem ochrony danych może zostać:

  • osoba spośród personelu firmy,
  • osoba wykonująca zadania na podstawie umowy o świadczenie usług zawartej z osobą fizyczną lub innym podmiotem spoza organizacji administratora czy podmiotu przetwarzającego.

Decyzja należy do szefa firmy, który musi rozważyć, która z opcji jest dla niego najlepsza. Należy dokonać w firmie wewnętrznej analizy. Większość administratorów i podmiotów przetwarzających decyduje się na inspektora ochrony danych w ramach outsourcingu. Korzyści takiego rozwiązania jest z pewnością dużo więcej:

  • niezależność;
  • brak konfliktu interesów;
  • współpraca z całym zespołem ekspertów;
  • wykorzystywanie wiedzy i doświadczenia zdobytego na stanowisku IOD w innych organizacjach;
  • brak konieczności szkolenia własnego pracownika w celu spełnienia warunków RODO

Inspektor zewnętrzny nie może być anonimowy. Musi być konkretną osobą, wybraną na podstawie swoich kwalifikacji, wiedzy i doświadczenia. IOD zewnętrzny musi mieć kontakt z personelem, dyrekcją czy firmami współpracującymi z szefem.

Zaangażowanie do pełnienia funkcji IOD osoby spośród własnego personelu może być ryzykowne:

  • pracownik może mieć opory przed zwróceniem uwagi swojemu szefowi. Tym samym inspektor ochrony danych traci niezależność – swoją największą broń wynikającą z przepisów RODO. Rozporządzenie unijne mówi wprost, że IOD nie powinien otrzymywać żadnych wskazówek i wytycznych dotyczących swoich działań. Ponadto, inspektor nie może zostać odwołany ani ukarany za poprawne wykonywanie obowiązków. Niestety, często w praktyce wygląda to zupełnie inaczej: inspektor pokornie wykonuje polecenia szefa, nawet jeśli nie zawsze są zgodne z nowymi przepisami;
  • przepisy rozporządzenia mówią, że IOD może wykonywać inne zadania, pod warunkiem, że kwestie związane z przetwarzaniem danych osobowych będą traktowane priorytetowo. Niestety, często praktyka wygląda zupełnie inaczej. Osoba pełniąca funkcję inspektora nie ma czasu na rzetelne realizowanie nowych obowiązków i co konieczne rozwijanie swojej wiedzy w tym zakresie;
  • wykonywanie przez IOD innych zadań i obowiązków nie może powodować tzw. konfliktu interesów – chodzi o równoczesne pełnienie funkcji na stanowiskach, które mają swój udział w określaniu celów i sposobów przetwarzania danych. Chodzi tutaj głównie o stanowiska dyrektorskie i kierownicze, np. dyrektor generalny, dyrektor ds. operacyjnych, kierownik kadr, kierownik działu IT, główny księgowy.

Mam inspektora ochrony danych… i co dalej?

Informacje o inspektorze ochrony danych muszą zostać opublikowane w ciągu 14 dni od momentu powołani oraz  zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych.

Zawiadomienie może zostać dokonane przez pełnomocnika podmiotu. Do zawiadomienia dołącza się pełnomocnictwo udzielone w formie elektronicznej, który obowiązkowo musi zostać opatrzony kwalifikowanym podpisem elektronicznym osoby udzielającej pełnomocnictwa. Za udzielenie pełnomocnictwa należy wnieść opłatę, a dowód jej uiszczenia dołączyć do zawiadomienia.

Prawidłowym i skutecznym sposobem zawiadomienia o wyznaczeniu jest zawiadomienie w postaci elektronicznej, opatrzone kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufania ePUAP.

Zawiadomienie należy przesłać, korzystając:

  1. z usług znajdujących się na stronie portalu biznes.gov.pl dotyczących odpowiednich zawiadomień o wyznaczeniu IOD, tj.:
    • zawiadomienie o wyznaczeniu nowego inspektora ochrony danych (ta usługa jest również właściwa dla podmiotów posiadających ABI przed 25 maja 2018 r.)
    • zawiadomienie o odwołaniu dotychczasowego inspektora ochrony danych i wyznaczeniu nowego inspektora ochrony danych;
  2. Skutecznie dostarczone do Prezesa UODO zawiadomienia są potwierdzane Urzędowym Poświadczeniem Przedłożenia (generowanym przez biznes.gov w postaci pliku UPP.xml) oraz informację potwierdzającą wysyłaną automatycznie na adres e-mail podany przy zakładaniu konta.
  3. z platformy ePUAP, postępując zgodnie z instrukcją „Jak wysyłać zawiadomienie o wyznaczeniu inspektora ochrony danych przez ePUAP2”, którą można znaleźć pod tym linkiem

Skutecznie dostarczone do UODO zawiadomienia są potwierdzane Urzędowym Poświadczeniem Przedłożenia (generowanym przez epuap.gov.pl w postaci pliku UPP.XML).

Kontakt z inspektorem ochrony danych musi być skuteczny

Z inspektorem ochrony danych zarówno wewnętrznym jak i zewnętrznym musi istnieć możliwość łatwego nawiązania kontaktu. Jego dane muszą zostać opublikowane w łatwo dostępnych miejscach. Wynika to z przepisów RODO oraz naszej ustawy o ochronie danych osobowych. Firmy, które wyznaczyły inspektora muszą udostępnić jego dane na stronie internetowej, a jeśli nie prowadzą strony www, to w ogólnie dostępny sposób w miejscu prowadzenia działalności.

Stanowisko Urzędu Ochrony Danych Osobowych dotyczące miejsca publikowania informacji o inspektorze ochrony danych na stronie internetowej jest jasno sprecyzowane. Dane kontaktowe IOD muszą znajdować się w ogólnie dostępnym miejscu strony np. w zakładce: „Kontakt”, „Inspektor ochrony danych”, „RODO” czy „Ochrona danych osobowych”. Niewłaściwa jest praktyka publikowania tych danych w miejscach wymagających długiego przeszukiwania, takich jak „Aktualności” czy „Polityka prywatności”. Prezes Urzędu Ochrony Danych Osobowych rozwiewa również wątpliwości dotyczące zakresu danych kontaktowych inspektora. Nie wystarczy, co stanowi ogólną praktykę przedsiębiorców, udostępnienie tylko adresu poczty elektronicznej lub numeru telefonu, ale należy udostępnić również imię i nazwisko osoby pełniącej funkcję IOD.

Szefowie firm często powierzają funkcję inspektora ochrony danych przypadkowym pracownikom. Taka praktyka jest strzałem w stopę, ponieważ w ostateczności za przetwarzanie danych zgodnie z przepisami odpowiada przedsiębiorca. Decydując się na przypadkową osobę, nie ma pewności, że system ochrony danych działa poprawnie. Tym samym, naraża siebie na straty wizerunkowe i finansowe. Dlatego dokonanie wyboru odpowiedniej osoby musi być bardzo przemyślane.

Jaki powinien być inspektor ochrony danych z prawdziwego zdarzenia? Możesz przeczytać w artykule obowiązki inspektora ochrony danych.