W 2018 roku będą obowiązywać nowe przepisy dotyczące ochrony danych osobowych w jednostakch budżetowych. Zniesiony zostanie obowiązek zgłaszania rejestru danych do Generalnego Inspektora Ochrony Danych Osobowych.
Informacje ogólne o zmianach w procedurach ochrony danych
Po wejściu do stosowania w dniu 25 maja 2018 r. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (ogólnego rozporządzenia o ochronie danych, zwanego dalej również „RODO”) rolę fachowego wsparcia dla administratorów danych i podmiotów przetwarzających odgrywać będą inspektorzy ochrony danych (zwani dalej również „DPO” od data protection officer). Zadaniem inspektorów ochrony danych – tak jak obecnie administratorów bezpieczeństwa informacji (ABI) – będzie działanie na rzecz zgodnego z przepisami o ochronie danych przetwarzania danych, zarówno w administracji publicznej, jak i w sektorze prywatnym.
Bez wątpienia przetwarzanie danych osobowych w jednostkach administracji samorządowej oraz w podległych instytucjach, placówkach oraz spółkach odbywa się w sposób ciągły i na masową skalę – i każda jednostka budżetowa stanie przed nowymi obowiązkami.
Zanim zaczną obowiązywać nowe procedury Rozporządzenia UE (RODO) warto tez odnotować wiele problemów z obowiązującymi przepisami ochrony danych, co wykazał raport kontroli NIK w samorządach – ZOBACZ RAPORT >>
Nowe przepisy UE (RODO) i powołanie Inspektora Ochrony Danych w jednostce budżetowej
Nowe przepisy istotnie wzmacniają rolę i pozycję inspektorów ochrony danych.
Jednym z najważniejszych przejawów tego wzmocnienia jest fakt, że wyznaczenie inspektora ochrony danych, stanie się w wielu przypadkach obowiązkiem, a nie jak dotąd, uprawnieniem administratora danych.
Przypadki, w których wyznaczenie inspektora ochrony danych będzie obowiązkowe, zostały opisane w art. 37 ust. 1 RODO:
- wszystkie organy lub podmioty publiczne (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości),
- administratorzy danych oraz podmioty przetwarzające powierzone dane osobowe, których główna działalność polega na operacjach przetwarzania danych osobowych, które ze względu na ich charakter, zakres lub cele przetwarzania wymagają regularnego i systematycznego monitorowania na dużą skalę osób, których dane te dotyczą,
- administratorzy danych oraz podmioty przetwarzające powierzone dane osobowe, których główna działalność polega na przetwarzaniu na dużą skalę tzw. szczególnych kategorii danych (o których mowa w art. 9 ust. 1 RODO) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (o których mowa w art. 10 GDPR).
Art. 37 ust. 1 lit. a rozporządzenia stanowi, że inspektora ochrony danych musi wyznaczyć każdy organ lub podmiot publiczny (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości).
RODO nie definiuje jednak co należy rozumieć przez „organy lub podmioty publiczne”, daje tym samym możliwość doprecyzowania katalogu tego typu podmiotów na gruncie ustawodawstw poszczególnych krajów członkowskich.
Bez wątpienia w pierwszej kolejności pojęcie to obejmuje jednak organy administracji publicznej oraz organy administracji samorządu terytorialnego. Może mieć jednak dużo szerszy zakres i obejmować na przykład:
- jednostki organizacyjne administracji publicznej oraz samorządu terytorialnego (w tym np. jednostki budżetowe oświaty, jednostki budżetowe pomocy społecznej, publiczne zakłady opieki zdrowotnej, jednostki planowania przestrzennego, gospodarki nieruchomościami, gospodarki komunalnej, zarządzania transportem publicznym, utrzymaniem czystości etc.),
- podmioty reprezentujące Skarb Państwa (np. Agencja Mienia Wojskowego, Agencja Restrukturyzacji Rolnictwa, Agencja Rynku Rolnego, Urzędy Skarbowe etc.),
- podmioty zarządzane przez Skarb Państwa lub o dominującym udziale Skarbu Państwa (np. państwowe instytuty, agencje czy też spółki prawa handlowego, w których dominujący udział ma Skarb Państwa).
Warto też się zastanowić, co w przypadku podmiotów z sektora prywatnego, które w ramach prowadzonej działalności gospodarczej realizują zadania publiczne zlecone przez administrację publiczną lub samorządową (np. prywatni przewoźnicy realizujący usługę transportu miejskiego czy też usługi komunalne).
Tego typu podmioty nie można jednak literalnie traktować jako „organy lub podmioty publiczne” więc omawiana regulacja nie będzie miała do nich bezpośredniego zastosowania.
Grupa robocza art. 29 zaleca jednak, by tego typu podmioty na zasadzie dobrej praktyki również wyznaczały inspektora ochrony danych.
Zadania inspektora ochrony danych w ogólnym rozporządzeniu o ochronie danych zostały sformułowane w sposób ogólny, bez wskazania trybu oraz terminów ich realizacji. Jest to istotna różnica w stosunku do tego co obecnie przewiduje ustawa o ochronie danych osobowych i akty do niej wykonawcze w zakresie zadań ABI.
Taki sposób ujęcia obowiązków inspektora jest wyrazem nowego podejścia do ochrony danych osobowych opartego na analizie ryzyka i zasadzie rozliczalności, zapisanej w art. 5 ust 2 RODO. Wyznaczenie inspektorowi ochrony danych roli doradczej i weryfikacyjnej wobec działań administratora danych i podmiotu przetwarzającego (oraz ich pracowników) sprawia, że zarówno zadania DPO jak i sposób ich realizacji są ściśle powiązane nie tylko z obowiązkami administratorów danych lub podmiotów przetwarzających, ale też nowym sposobem podejścia do ich realizacji.
Na podstawie art. 24 RODO administratorzy i podmioty przetwarzające, są zobowiązani uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, i odpowiednio do nich – dobierać i wdrażać środki techniczne i organizacyjne, tak, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te powinny być w razie potrzeby poddawane przeglądom i uaktualniane.
Ponadto zarówno przy określaniu ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania, ich dostępności oraz sposobów przetwarzania konieczne jest stosowanie mechanizmów takich jak zapewnienie ochrony danych osobowych na etapie projektowania oraz domyślnej ochrony danych („privacy by design” oraz „privacy by default”), zarówno przed przystąpieniem do przetwarzania danych, jak i w czasie samego przetwarzania (art. 25 RODO).
DPO wykonując swoje zadania (art. 39 ust. 2), powinien zatem stosować indywidualne rozwiązania, dostosowane do potrzeb podmiotów, w których pełni swoją funkcję, a także cech konkretnego przetwarzania danych i związanego z tym przetwarzaniem ryzyka. Konieczność realizacji obowiązków w powyższy sposób w konsekwencji ma prowadzić do skuteczniejszej ochrony danych. Spowoduje z pewnością również większe zróżnicowanie i wzrost innowacyjności w dziedzinie ochrony danych osobowych.
Zakres zadań inspektora ochrony danych zawiera art. 39 ust. 1 RODO. Wyliczenie zawarte w tym przepisie nie jest jednak katalogiem zamkniętym, ponieważ jeden z obowiązków inspektora ochrony danych można wywodzić też z art. 38 ust. 4 RODO (pełnienie roli punktu kontaktowego, dla osób których dane dotyczą). W Wytycznych Grupy Roboczej art. 29 dotyczących inspektorów danych osobowych do zadań DPO zaliczono również prowadzenie rejestru czynności i kategorii czynności, o których mowa wskazanych w art. 30 RODO. Wobec powyższego zadania inspektora ochrony danych obejmować będą:
1) Informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
2) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
3) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;
4) współpraca z organem nadzorczym
5) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;
6) pełnienie roli punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.
7) prowadzenie rejestru czynności lub rejestru kategorii czynności
Forma zatrudnienia inspektora ochrony danych
Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów. Możliwe będzie więc nadal pełnienie funkcji inspektora ochrony danych w modelu outsourcingu, na podstawie umowy o świadczenie usług. Mimo, że również obecnie, funkcję ABI wykonują zarówno osoby będące pracownikami administratorów danych, jak i osoby, które zawarły z administratorem danych umowę cywilnoprawną, ustawa o ochronie danych osobowych nie zawiera przepisu wprost odnoszącego się do tego zagadnienia.
Podkreślenia wymaga jednak, że osoba wykonująca funkcję DPO na podstawie umowy o świadczenie usług musi spełniać wszystkie wymogi stawiane przez przepisy RODO, np. wymogi dotyczące unikania konfliktu interesów, gwarancji niezależności, łatwości nawiązania z nim kontaktu, właściwego i terminowego włączania go we wszystkie sprawy dotyczące ochrony danych osobowych.
Grupa Robocza art. 29 w Wytycznych dotyczących inspektorów danych osobowych wskazuje, ze funkcja DPO może być również pełniona na podstawie umowy o świadczenie usług zawartej nie tylko z osobą fizyczną, ale też innym podmiotem. W pracy zespołowej można bowiem połączyć indywidualne atuty i umiejętności poszczególnych osób tak, aby zapewnić wydajniejszą obsługę administratora danych. W takim przypadku konieczne jest jednak , aby każdy członek podmiotu sprawującego funkcję DPO spełniał wszystkie istotne wymogi wskazane w Sekcji 4* RODO, oraz miał zapewnioną, wynikającą z tych przepisów ochronę. W celu zapewnienia przejrzystości prawnej i dobrej organizacji zalecany jest ponadto wyraźny podział zadań oraz wyznaczenie jednej osoby jako wiodącej osoby kontaktowej i osoby ‘odpowiedzialnej’ za każdego klienta. Kwestie te powinny być jasno określone w umowie o świadczenie usług.
Gwarancje niezależności DPO
Podobnie jak ma to miejsce na gruncie aktualnie obowiązującej ustawy o ochronie danych osobowych (art. 36a ust. 8 uodo) inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora, czy też nie – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny (motyw 97 RODO).
W celu zapewnienia niezależności DPO administrator lub podmiot przetwarzający powinni wprowadzić wewnętrzne regulacje gwarantujące inspektorowi ochrony danych niezależność w wykonywaniu przez niego obowiązków i zadań. Odnosi się to w szczególności do podmiotów publicznych czy też podmiotów o złożonych strukturach, które będą musiały dostosować swoje regulaminy organizacyjne oraz statuty tak, aby zapewnić niezależność DPO.
Zgodnie z Wytycznymi Grupy Roboczej art. 29 dotyczącymi inspektora ochrony danych umiejscowienie inspektora ochrony danych w strukturze organizacyjnej danego podmiotu powinno być czytelne dla całego personelu administratora lub podmiotu przetwarzającego, w związku z czym w przypadku powołania DPO, administrator lub podmiot przetwarzający powinien zawiadomić o tym fakcie pozostałych pracowników. W celu zapewnienia niezależności inspektorowi ochrony danych ogólne rozporządzenie o ochronie danych, wprowadza kilka szczegółowych rozwiązań, które pozwalają na osiągnięcie ww. celu, mianowicie:
1) Bezpośrednia podległość DPO najwyższemu kierownictwu
2) Wspieranie DPO w wypełnianiu jego zadań
3) Zapewnienie udziału DPO we wszystkich zagadnieniach związanych z ochroną danych osobowych
4) Zakaz wydawania instrukcji DPO co do wykonywania przez niego zadań
5) Unikanie konfliktu interesów DPO
6) Zakaz odwoływania i karania DPO
7) Obowiązek zachowania tajemnicy lub poufności co do wykonywania zadań przez DPO
Źródła:
https://abi.giodo.gov.pl/inspektor-ochrony-danych/
