Inspektor ochrony danych obowiązkowy we wszystkich w podmiotach publicznych

Inspektor ochrony danych obowiązkowy we wszystkich w podmiotach publicznych fotolia.pl

Jak informuje Generalny Inspektor Ochrony Danych Osobowych, wszystkie podmioty sektora publicznego od 25 maja 2018 r., czyli od dnia, w którym zaczniemy w Polsce stosować RODO, będą zobowiązane do posiadania inspektora ochrony danych i udzielania mu wsparcia w zakresie wykonywania jego zadań.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (ogólne rozporządzenie o ochronie danych - RODO) nakłada obowiązek wyznaczenia inspektora ochrony danych przez każdy organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (art. 37 ust. 1 pkt a RODO). RODO wprowadziło w tym zakresie istotną zmianę. Wyznaczenie inspektora ochrony danych (obecnego ABI) w podmiotach sektora publicznego nie będzie, jak dotąd (na mocy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych) uprawnieniem, lecz stanie się obowiązkiem wszystkich organów i podmiotów publicznych.

Jak wskazuje projekt nowej ustawy o ochronie danych osobowych (wersja z 3 marca 2018 r.), przez organy i podmioty publiczne zobowiązane do wyznaczenia inspektora ochrony danych rozumiane będą organy oraz podmioty publiczne wskazane w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych oraz instytuty badawcze w rozumieniu ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych. Jeśli przepis w takim brzmieniu zostanie uchwalony, to obowiązek wyznaczenia inspektora ochrony danych, będą miały, m.in:

  • organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały,
  • jednostki samorządu terytorialnego oraz ich związki,
  • samodzielne publiczne zakłady opieki zdrowotnej,
  • uczelnie publiczne,
  • inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego,
  • instytuty badawcze w rozumieniu ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych.

Przepis taki wyraźnie przesądzałby o obowiązku wyznaczenia inspektora ochrony danych również przez sądy i trybunały, przy czym w ich przypadku - ze względu na ochronę niezawisłości sędziowskiej - z zakresu kompetencji inspektora będą wyłączone operacje przetwarzania danych mieszczące się w czynnościach orzeczniczych (sprawowania wymiaru sprawiedliwości).

Obowiązkiem kierownictwa podmiotu publicznego jest zapewnienie odpowiedniego wsparcia inspektorowi ochrony danych. Zgodnie z art. 38 ust. 2 RODO, administrator wspiera inspektora ochrony danych w wypełnianiu przez niego zadań, zapewniając mu niezbędne do tego zasoby oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej. Ponadto do obowiązków administratorów danych należy zapewnienie, aby inspektor ochrony danych:

  • podlegał bezpośrednio najwyższemu kierownictwu podmiotu publicznego (art. 38 ust. 3 RODO),
  • miał zapewniony udział we wszystkich zagadnieniach związanych z ochroną danych osobowych (art. 38 ust. 1 RODO),
  • nie otrzymywał instrukcji dotyczących wykonywania zadań (art. 38 ust. 3 RODO),
  • nie został odwołany lub ukarany za wypełnianie przez niego jego zadań (art. 38 ust. 3 RODO),
  • nie otrzymywał innych zadań i obowiązków, jeśli mogłyby one spowodować konflikt interesów (art. 38 ust. 6 RODO).

W celu zapewnienia niezależności inspektorowi, administrator lub podmiot przetwarzający powinni zatem wprowadzić wewnętrzne regulacje gwarantujące inspektorowi ochrony danych niezależność i skuteczność w wykonywaniu przez niego obowiązków i zadań. Odnosi się to zwłaszcza do podmiotów publicznych czy też podmiotów o złożonych strukturach, które będą musiały dostosować swoje regulaminy organizacyjne oraz statuty tak, aby ten cel osiągnąć.

W odniesieniu do zakazu nakładania na inspektora dodatkowych zadań, mogących spowodować konflikt interesów, należy dodać, że w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych było przyjęte zbliżone rozwiązanie. Zgodnie z art. 36a ust. 4 u.o.d.o., administrator danych może powierzyć ABI inne zadania jedynie wówczas, gdy nie naruszy to prawidłowego wykonywania zadań ABI. Wymóg ten zobowiązuje administratora w każdej konkretnej sytuacji do starannego przeanalizowania, czy jakiekolwiek inne zadania funkcje, jakimi zamierzałby obarczyć ABI, nie utrudniłyby mu właściwego wykonywania jego ustawowych obowiązków. W tym zakresie brane muszą być pod uwagę rozmaite i liczne czynniki, np. ilość czasu potrzebnego na wykonywanie poszczególnych obowiązków, stopień skomplikowania i ważności zadań, rezerwa czasowa na nieplanowane zadania, ilość i rodzaj danych osobowych oraz procesów i systemów informatycznych służących do ich przetwarzania (więcej informacji na temat możliwości łączenia funkcji ABI z innymi zadaniami i funkcjami można znaleźć w prowadzonym przez GIODO serwisie ABI-Informator w sekcji Pytania i odpowiedzi/Powołanie i status ABI).

Zasadniczą rolą inspektorów ochrony danych będzie doradzanie i weryfikacja prawidłowości wykonywania obowiązków wynikających z przepisów prawa dotyczących przetwarzania danych osobowych (więcej na temat obowiązku wyznaczenia inspektora ochrony danych oraz jego zadań można znaleźć w ABI – Informatorze, w sekcji Inspektor Ochrony Danych). Rola ta nie oznacza przeniesienia na inspektora ochrony danych odpowiedzialności za zgodne z prawem przetwarzanie danych osobowych, ponieważ nadal to administrator danych będzie ponosił pełną odpowiedzialność za zgodne z prawem przetwarzanie danych osobowych. Dlatego w interesie kierownictwa każdego podmiotu publicznego jest mieć niezależnego, właściwie usytuowanego w strukturze organizacyjnej, inspektora ochrony danych, który będzie mógł efektywnie realizować swoje obowiązki.

Źródło: www.giodo.gov.pl

Niedz., 18 Mrz. 2018 0 Komentarzy
Sylwia Cyrankiewicz-Gortyńska
sekretarz redakcji Sylwia Cyrankiewicz-Gortyńska