Unijna reforma przepisów o ochronie danych osobowych bazuje na dwóch filarach:
- Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, „RODO”) oraz
- Dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW („Dyrektywa 2016/680”).
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
W obu przypadkach, realizacja wskazanego założenia na poziomie poszczególnych organizacji wspierana jest przez inspektora ochrony danych (IOD), jako centralnej postaci systemu ochrony danych osobowych. o ile obowiązki, status oraz pozycja IOD-a na gruncie RODO doczekały się bogatego opracowania, o tyle literatura na temat wykonywania funkcji IOD na gruncie przepisów Dyrektywy 2016/680 oraz implementującej ją do polskiego porządku prawnego ustawy z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. 2019 poz. 125, „Ustawa DODO”) pozostaje niewystarczająca.
Aby zniwelować te niekorzystne różnice, a przez to wspomóc IOD-ów powołanych na gruncie Ustawy DODO jak i samych administratorów, poniższy artykuł omawia wymagania wobec osoby mającej piastować funkcję IOD, rozpoczynając w ten sposób cykl opracowań przybliżających zagadnienia związane z drugim, nie mniej ważnym filarem unijnej reformy przepisów o ochronie danych osobowych.
IOD na gruncie Ustawy DODO – wymagania
Motyw 63 Dyrektywy 2016/680 wskazuje, że inspektor ochrony danych to wyznaczona przez administratora osoba, która będzie pomagać mu w monitorowaniu wewnętrznego przestrzegania przepisów przyjętych na podstawie Dyrektywy 2016/680. Osoba ta powinna wspierać zarówno administratora, jak i pracowników przetwarzających dane osobowe, dostarczając im bieżących informacji oraz porad dotyczących przestrzegania spoczywających na nich obowiązków w zakresie ochrony danych.
Artykuł 46 ust. 2 Ustawy DODO stanowi, że funkcję IOD może sprawować osoba, która:
- ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
- nie była skazana prawomocnym wyrokiem orzeczonym za przestępstwo lub przestępstwo skarbowe popełnione z winy umyślnej,
- ma odpowiednie kwalifikacje zawodowe, w szczególności wiedzę fachową na temat prawa i praktyki w dziedzinie ochrony danych osobowych, oraz umiejętności niezbędne do wykonywania zadań, o których mowa w art. 47 ust. 1 Ustawy DODO, tj.:
- informowania administratora oraz osób zajmujących się przetwarzaniem o obowiązkach spoczywających na nich na mocy Ustawy DODO oraz innych przepisów dotyczących ochrony danych,
- prowadzenia działań podnoszących świadomość oraz organizowanie szkoleń dla osób uczestniczących w operacjach przetwarzania,
- monitorowania zgodności przetwarzania danych przez administratora oraz osoby zajmujące się przetwarzaniem danych osobowych z przepisami Ustawy DODO oraz innymi przepisami dotyczącymi ochrony danych,
- monitorowania realizowania polityk administratora w dziedzinie ochrony danych osobowych, w tym przydział na ich podstawie obowiązków dla osób zajmujących się przetwarzaniem,
- współpracy z Prezesem UODO,
- monitorowania realizacji zaleceń, o których mowa w art. 38 ust. 4 Ustawy DODO, oraz przedstawianie Prezesowi UODO stanu ich realizacji,
- pełnienia funkcji punktu kontaktowego wobec Prezesa UODO w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 38 Ustawy DODO, oraz prowadzenie z Prezesem UODO konsultacji we wszelkich innych sprawach,
- pełnienia funkcji punktu kontaktowego wobec osób, których dane dotyczą w zakresie przysługujących jej praw, o których mowa w rozdziale 4 Ustawy DODO,
- przygotowywania zaleceń co do oceny skutków dla ochrony danych osobowych, w przypadku, o którym mowa w art. 37 Ustawy DODO, oraz monitorowanie wykonania tych zaleceń,
- sporządzania i przekazywanie administratorowi raz na rok, do końca i kwartału za rok ubiegły, sprawozdania z wykonywania zadań z zakresu ochrony i sposobu przetwarzania danych osobowych.
Warto zaznaczyć, iż potwierdzenie spełniania przez inspektora ochrony danych wymogu w zakresie niekaralności może nastąpić poprzez żądanie dostarczenia zaświadczenia o niekaralności z Krajowego Rejestru Karnego. Podkreślenia wymaga, że wskazana kompetencja nie przysługuje bezpośrednio administratorowi poprzez dostęp do bazy KRK.
Przesłanka posiadania przez IOD odpowiednich kwalifikacji zawodowych, w szczególności wiedzy fachowej na temat prawa, a także praktyki w dziedzinie ochrony danych osobowych oraz umiejętności niezbędnych do wykonywania zadań IOD powinna być oceniana indywidualnie przez samego administratora. Należy w tym miejscu zwrócić uwagę na opinię Grupy Roboczej Art. 29 WP 243 rew. 01 dotyczącą inspektorów ochrony danych, która wskazuje, że „wymagany poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki.
Dla przykładu
w przypadku wyjątkowo skomplikowanych procesów przetwarzania danych osobowych lub w sytuacji przetwarzania dużej ilości danych szczególnych kategorii, IOD może potrzebować wyższego poziomu wiedzy i wsparcia.
Ponadto inaczej sytuacja przedstawiać się będzie w przypadku podmiotów regularnie przekazujących dane do państw trzecich niż w przypadku, gdy przekazywanie takie ma charakter okazjonalny”. Co równie istotne, w przypadku organów i podmiotów publicznych, stanowiących znakomitą większość podmiotów obowiązanych do stosowania Ustawy DODO, IOD powinien również posiadać wiedzę w zakresie procedur administracyjnych i funkcjonowania danego administratora.
Interesująca w tym względzie jest uwaga poczyniona w motywie 63 dyrektywy 2016/680, która wskazuje, że inspektor ochrony danych może być członkiem dotychczasowego personelu administratora (w domyśle, wykonywać inne czynności) po odbyciu specjalnego szkolenia z prawa i praktyki ochrony danych w celu uzyskania wiedzy fachowej w tej dziedzinie.
Diagnoza zgodności RODO.
Zrób to sam
Cennej wskazówkiw tym zakresie udziela Grupa Robocza Art. 29 wskazując, iż za powodujące konflikt interesów uważane będą stanowiska kierownicze (dyrektor generalny, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych (Wytyczne dotyczące inspektorów ochrony danych).
Należy założyć, że jednoczesne wykonywanie obowiązków inspektora ochrony danych zarówno na gruncie RODO, jak i Ustawy DODO będzie stosunkowo częstą sytuacją. Ustawa DODO nie wyklucza takiego wariantu, przy czym należy zwrócić uwagę na obiektywne trudności związane z funkcjonowaniem w ramach wskazanego modelu. Zasygnalizowane trudności dotyczą przede wszystkim rozbieżności w zakresach oraz reżimach (w tym czasowych) wykonywania obowiązków inspektora ochrony danych. w celu optymalizacji pracy inspektora ochrony danych zasadne byłoby dążenie administratorów do unifikacji procedur związanych z realizacją jego obowiązków.
Podsumowanie
Bezsprzecznie administrator, działając we własnym interesie, powinien powołać osobę, która ma wiedzę i umiejętności pozwalające na prowadzenie skutecznego nadzoru nad administrowanymi przez niego danymi osobowymi. Przepisy Ustawy DODO nie wprowadzają wymogu posiadania przez IOD jakichkolwiek certyfikatów, poświadczeń ukończenia odpowiednich szkoleń itp., jednak tego typu dokumenty mogą być pomocne administratorowi w dokonaniu oceny spełniania przez inspektora ochrony danych kryterium doświadczenia i odpowiednich kwalifikacji. Oceny wiedzy fachowej na temat prawa oraz praktyki w obszarze ochrony danych osobowych warto dokonywać również w kontekście specyfiki, jak również konkretnych potrzeb administratora, w tym rodzaju i stopnia zagrożeń, jakie określona działalność może nieść dla praw i wolności podmiotów danych.