Zgodnie z art. 37 ust. 1 lit a Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) organy i podmioty publiczne (z wyjątkiem sądów w zakresie sprawowania prze nie wymiaru sprawiedliwości) – dalej RODO, organ lub podmiot publiczny będący administratorem lub podmiotem przetwarzającym będzie zobowiązany do wyznaczania inspektora ochrony danych.
Regulacje zawarte w art. 37 – 39 RODO w dużej mierze pokrywają się z obecnie obowiązującym art. 36a ustawy o ochronie danych osobowych.
Inspektor ochrony danych będzie mógł być bądź pracownikiem administratora/podmiotu przetwarzającego lub wykonywać swoje zadanie na podstawie umowy o świadczenie usług. Niezależnie od podstawy prawnej zatrudnienia administrator będzie podlegał najwyższemu kierownictwu (analogicznie jak ma to miejsce obecnie w odniesieniu do administratorów bezpieczeństwa informacji – art. 36a ust. 7 ustawy o ochronie danych osobowych). Ponadto prawodawca unijny kładzie duży nacisk na niezależność inspektorów.
Co ważne RODO dopuszcza, aby dla kilku organów lub podmiotów wyznaczyć - z uwzględnieniem ich struktury organizacyjnej i wielkości - jednego inspektora ochrony danych. Wskazany zapis będzie szczególnie istotny dla mniejszych administratorów, nie posiadających rozbudowanej struktury administracyjnej, które mogłyby mieć problem z pozyskaniem wykwalifikowanego personelu w zakresie ochrony danych osobowych (np. szkoły, placówki opiekuńczo-wychowawcze, domy pomocy społecznej). Inspektorowi danych będzie mógł wykonywać inne zadania i obowiązki pod warunkiem, że nie będzie to powodowało konfliktu interesów.
Administrator i podmiot przetwarzający są zobowiązani do publikacji danych kontaktowych inspektora ochrony danych oraz zawiadomienia o nich organu nadzorczego.
W projekcie polskiej ustawy o ochronie danych osobowych z 8 lutego 2018 r. wskazano, że przypadku wyznaczenia wspólnego inspektora, każdy z podmiotów jest zobowiązany do przekazania zawiadomienia do organu nadzoru (art. 8 ust. 5 projektu). Doprecyzowano również, że publikacja danych inspektora powinna odbyć się na stornie internetowej niezwłocznie po jego wyznaczeniu.
O statusie obecnych administratorów bezpieczeństwa informacji, w związku z wejściem RODO, pisaliśmy tutaj.
Inspektor ochrony danych ma być wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań inspektora określonych w RODO. Oczywiście w przypadku inspektora będącego pracownikiem samorządowym będzie on musiał spełniać warunki określone w ustawie o pracownikach samorządowych, dla osób zatrudnionych na stanowisku urzędniczym.
Inspektor ma być właściwie i niezwłocznie włączany we wszystkie sprawy związane z ochroną danych osobowych.
Do zadań inspektora ochrony danych należeć będzie:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
- monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;
- współpraca z organem nadzorczym;
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami z organem nadzorczym, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
