Rodo stanowiące obok tzw. dyrektywy policyjnej „nowe ramy ochrony danych osobowych” wprowadza wiele, od dawna potrzebnych zmian i nowych rozwiązań w sektorze ochrony danych osobowych. Mają one na celu nie tylko zapewnienie jednolitego i spójnego systemu ochrony danych osobowych na terenie Unii Europejskiej, lecz także unowocześnienie i podniesienie jego efektywności. Wdrożenie nowych przepisów będzie wymagało od podmiotów odpowiedzialnych za przetwarzanie danych proaktywnego podejścia do stosowania nowych przepisów i wybierania rozwiązań dostosowanych do konkretnej struktury organizacyjnej i rodzaju działalności administratorów danych i podmiotów przetwarzających oraz do charakteru, zakresu, kontekstu i celów prowadzonego przez nich przetwarzania danych osobowych. Przestrzeganie nowych przepisów będzie wymagać identyfikowania ryzyka związanego z przetwarzaniem, jego oceny pod kątem źródła, charakteru, prawdopodobieństwa i wagi zagrożenia oraz wprowadzania skutecznych praktyk pozwalających zminimalizować to ryzyko. Poprzez wprowadzenie w przepisach rodo zasady rozliczalności administratorzy danych i podmioty przetwarzające dane zostali zobowiązani do stałej gotowości wykazania wewnętrznego przestrzegania rodo, a zatem poprawności i skuteczności zastosowanych rozwiązań. Temu nowemu podejściu do ochrony danych osobowych i licznym wyzwaniom z nim związanym trudno będzie sprostać bez kompetentnego, fachowego wsparcia, jakim niewątpliwie będą inspektorzy ochrony danych osobowych (obecni ABI). Często podkreśla się, że dysponujący odpowiednią wiedzą i umiejętnościami inspektorzy mają odegrać kluczową rolę w zapewnieniu zgodności przetwarzania danych osobowych z nowymi unijnymi regulacjami prawnymi i stanowić fundament nowego, skutecznego systemu ochrony danych.

Obowiązek wyznaczania inspektora ochrony danych

Prawodawca unijny w rodo wprowadził w określonych przypadkach obligatoryjne wyznaczenie inspektorów ochrony danych, wzmocnił ich niezależność i pozycję, doprecyzował wymogi dotyczące ich fachowego przygotowania (wiedzy i umiejętności) oraz wprowadził ochronę tych osób przed negatywnymi skutkami działań podejmowanych na rzecz ochrony danych osobowych. Określił również zakres zadań inspektorów w sposób, który wskazuje, że osoba ta ma przede wszystkim pełnić rolę doradczą i weryf kacyjną wobec działań i decyzji administratorów danych i podmiotów przetwarzających dane. Wprowadzenie obowiązku wyznaczenia inspektora ochrony danych dla określonych kategorii administratorów danych i – co ważne – dla podmiotów przetwarzających niewątpliwie podnosi status i znaczenie inspektorów ochrony danych. Obowiązek ich wyznaczenia będą mieli administratorzy danych i podmioty przetwarzające będące organami lub podmiotami publicznymi (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości). Ponadto obowiązek taki będzie dotyczył administratorów i procesorów, których główna działalność polega na operacjach przetwarzania danych wymagających – ze względu na swój charakter, zakres lub cele – regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę oraz administratorów i procesorów, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa. Powyższy obowiązek został określony w art. 37 ust. 1 rodo. Przepis ten posługuje się kilkoma kryteriami, wymagającymi wykładni ze względu na ich treść (chodzi o sformułowania: „główna działalność”, „regularne i systematyczne monitorowanie” i „na dużą skalę”). W jej dokonywaniu pomocne mogą być bezpośrednie lub pośrednie wskazówki interpretacyjne zawarte w motywach rodo stanowiących jego kontekst normatywny, np.: „W sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności” (motyw 97 rodo) lub ocena skutków dla ochrony danych powinna „mieć zastosowanie w szczególności do operacji przetwarzania o dużej skali – które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą” (motyw 91 rodo). Ocena kryterium „dużej skali” z pewnością będzie musiała być dokonywana w kontekście konkretnego stanu faktycznego, niemniej z przytoczonych fragmentów rodo wynika, że w poszczególnych przypadkach konieczne może być uwzględnienie proporcji, np. wielkości terytorium, na którym następować będzie przetwarzanie danych osobowych (im większe terytorium, tym większa liczba danych będzie podstawą uznania, że przetwarzanie odbywa się na dużą skalę). Do maja 2018 r. istotny wpływ na doprecyzowanie art. 37 będzie mieć również Grupa Robocza Art. 29, a po tej dacie – Europejska Rada Ochrony Danych. Oprócz art. 37 ust. 1 rodo obowiązek wyznaczenia inspektora ochrony danych osobowych może wprowadzić prawo Unii Europejskiej lub państwo członkowskie w prawie krajowym. W pozostałych przypadkach wyznaczenie inspektora ochrony danych będzie dobrowolne. Istotną nowością w zakresie zasad wyznaczania inspektorów ochrony danych jest określenie warunków wyznaczenia jednego inspektora ochrony danych dla kilku administratorów danych lub podmiotów przetwarzających będących podmiotami publicznymi lub w ramach grupy przedsiębiorstw. Ponadto art. 37 ust. 6 rodo wyraźnie przesądza, że inspektor ochrony danych może być zarówno członkiem personelu administratora danych lub podmiotu przetwarzającego, jak i wykonywać swoją funkcję na podstawie umowy o świadczenie usług. Obecnie na gruncie polskim funkcję ABI wykonują zarówno osoby będące pracownikami administratorów danych, jak i osoby, które zawarły z administratorem danych umowę cywilnoprawną. Uodo nie zawiera przepisu wprost odnoszącego się do tego zagadnienia. Niewątpliwie rodzaj stosunku prawnego łączącego administratora danych i ABI ma bezpośredni wpływ na przesłanki i zasady ponoszenia odpowiedzialności za prawidłowe wykonywanie obowiązków przypisanych administratorowi bezpieczeństwa informacji. Model odpowiedzialności pracowniczej różni się bowiem od reżimu odpowiedzialności kontraktowej. W przypadku umowy cywilnoprawnej wiele w tym zakresie zależeć może od treści umowy i jej postanowień w zakresie zasad i sposobu egzekwowania odpowiedzialności za niewykonanie lub nienależyte wykonanie wynikających z niej zobowiązań.

Kwalifikacje do pełnienia funkcji

Wybór odpowiedniej osoby do pełnienia funkcji inspektora ochrony danych to ważna decyzja wymagająca odpowiedzialności i rzetelnego rozeznania. Jednym z podstawowych kryteriów wyboru powinno być należyte merytoryczne przygotowanie do pełnienia tej funkcji. Posiadanie przez ABI odpowiedniej wiedzy w dziedzinie ochrony danych osobowych jest bowiem niezbędnym warunkiem umożliwiającym wykonywanie funkcji ABI. W rodo wymóg odpowiedniego fachowego przygotowania inspektora ochrony danych został istotnie wyeksponowany i doprecyzowany. Inspektor ochrony danych osobowych ma być wyznaczany na podstawie kwalifikacji zawodowych – a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Poziom wiedzy inspektora ma być ustalany w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe przetwarzane przez administratora lub podmiot przetwarzający (motyw 97 rodo), a zatem w kontekście specyfiki i konkretnych potrzeb administratora danych i podmiotu przetwarzającego dane. Znaczenie fachowej wiedzy dla prawidłowego wykonywania tej funkcji podkreślone zostało ponadto przez zobowiązanie administratorów danych i procesorów do zapewnienia inspektorowi ochrony danych zasobów niezbędnych do utrzymania jego wiedzy fachowej. Obowiązek uaktualniania wiedzy i zapewnienia na to środków finansowych jest w pełni uzasadniony – szczególnie w świetle wyzwań związanych z szybkim rozwojem technologii informacyjno-komunikacyjnych oraz wielkoskalowych metod przetwarzania i wymiany danych. Ponadto rodo wprost zobowiązuje administratorów danych oraz podmioty przetwarzające do zapewnienia inspektorowi ochrony danych dostępu do danych osobowych i operacji przetwarzania oraz do niezwłocznego i właściwego włączania go we wszystkie sprawy dotyczące ochrony danych osobowych. Dokładne informacje na temat wszystkich procesów przetwarzania danych, wszystkich planowanych i realizowanych przedsięwzięć, usług i systemów związanych z przetwarzaniem danych osobowych mają być zatem nieodzownym składnikiem wiedzy inspektora ochrony danych. Dzięki temu rozwiązaniu inspektor ma zawsze dysponować kompletnymi informacjami umożliwiającymi pełną i rzetelną ocenę działalności administratora i podmiotu przetwarzającego w zakresie przestrzegania rodo. Niewątpliwie wiedza inspektora ochrony danych powinna obejmować też dobrą znajomość profilu działalności administratora danych osobowych i podmiotu przetwarzającego, związanych z tym profilem wymogów prawnych oraz szczegółów funkcjonowania danej organizacji.

Niezależność inspektora ochrony danych

Obok fachowej wiedzy kolejnym bardzo istotnym warunkiem, jaki musi być spełniony w odniesieniu do inspektora ochrony danych, jest wykonywanie jego funkcji w sposób niezależny. Motyw 97 rodo wskazuje, że inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora, czy też wykonują swoje usługi na podstawie umowy o świadczenie usług – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny. Pojęcie niezależności należy odnosić przede wszystkim do wykonywania przez inspektora jego obowiązków i zadań, a zatem odczytywać je w sensie merytorycznym. Jeśli zasadniczymi zadaniami inspektora są doradzanie w zakresie przestrzegania rodo oraz monitorowanie jego przestrzegania, to zadania te mogą być realizowane jedynie przy założeniu, że swoje oceny i zalecenia inspektor może formułować w sposób suwerenny, wolny od jakichkolwiek nacisków i wpływów. W art. 38 ust. 3 rodo wprowadzony został obowiązek zapewnienia przez administratorów danych i podmioty przetwarzające, aby inspektor ochrony danych nie otrzymywał instrukcji co do wykonywania zadań. Ponadto wykonywanie innych obowiązków, niezwiązanych z ochroną danych, dopuszczalne jest jedynie wtedy, gdy obowiązki takie nie będą powodowały konfliktu interesów (art. 38 ust. 6 rodo). Oznacza to, że obowiązki inspektorów ochrony danych powinny być traktowane priorytetowo, inne zaś zadania mogą być realizowane tylko wówczas, gdy nie będzie to przeciwstawne skutecznemu zapewnianiu ochrony danych osobowych i będzie możliwe pod względem czasowym i organizacyjnym. Również obecnie, na gruncie uodo, powierzenie ABI innych zadań możliwe jest jedynie wówczas, gdy nie naruszy to prawidłowego wykonania zadań ABI. Inspektor ochrony danych ma podlegać najwyższemu kierownictwu administratora lub podmiotu przetwarzającego, a zatem nie są dopuszczalne sytuacje, w których inspektor podlega jakimkolwiek innym osobom lub podmiotom. Podległość najwyższemu kierownictwu jest jedną z gwarancji niezależnej, wysokiej pozycji inspektora ochrony
danych w strukturze administratora danych, a ponadto skraca drogę raportowania, co ma istotne znaczenie w razie konieczności podejmowania szybkich działań naprawczych w sytuacji naruszenia ochrony danych osobowych. Do ważnych, nowych rozwiązań w zakresie gwarancji niezależności inspektora należy nałożony wprost na administratorów danych i podmioty przetwarzające obowiązek wspierania inspektora ochrony danych w wypełnianiu przez niego zadań, m.in. przez wspomniane już wyżej zapewnienie inspektorowi dostępu do danych osobowych i operacji przetwarzania oraz wiedzy o każdej sprawie dotyczącej ochrony danych osobowych. Ten obowiązek ma zapobiegać próbom ograniczania inspektorowi ochrony danych dostępu do niezbędnych dla realizacji jego zadań informacji. Realizując ten obowiązek, administratorzy danych i podmioty przetwarzające (zwłaszcza ci, którzy są organizacjami o dużej, złożonej strukturze) powinni wprowadzić wewnętrzne zasady i procedury, które zapewnią w tym zakresie wydajny i szybki przepływ informacji dotyczących ochrony danych. Wspieranie inspektora w wykonywaniu jego funkcji ma polegać również na zapewnieniu mu zasobów niezbędnych do wykonania jego obowiązków. Od początku 2015 r. rozwiązanie takie przewiduje również uodo, zgodnie z którą funkcję ABI może pełnić osoba mająca zapewnione środki i organizacyjną odrębność, niezbędne do niezależnego wykonywania przez niego zadań, przy czym określenie „środki” należy rozumieć szeroko – w sensie zarówno organizacyjnym, jak i finansowym. Niewątpliwie wymóg ten ma największe znaczenie dla ABI będących pracownikami administratorów danych, ponieważ ABI działający na podstawie umowy cywilnoprawnej przeważnie posiadają organizacyjną odrębność, a środki niezbędne do wykonywania zadań zostają zabezpieczone w ramach umowy zawartej z administratorem danych. Inspektor ochrony danych zobowiązany został również do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii Europejskiej lub prawem państwa członkowskiego, co jest uzasadnione zarówno względami bezpieczeństwa danych osobowych, jak i wolą wzmocnienia zaufania do inspektorów ze strony administratorów danych i podmiotów przetwarzających. Na gruncie uodo obowiązek zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia adresowany jest do wszystkich osób upoważnionych do przetwarzania danych (mówi o tym art. 39 ust. 2 uodo). Jedną z ważnych i nowych gwarancji niezależności inspektora ochrony danych jest przepis, zgodnie z którym inspektor nie może być ukarany lub odwołany za wypełnianie swoich zadań (art. 38 ust. 3 rodo). Jest to jedyny przepis w rodo dotyczący zagadnienia odwołania inspektora ochrony danych. Warto jednak zauważyć, że stosownie do art. 83 ust. 4 pkt a rodo, naruszenia wszystkich przepisów bezpośrednio odnoszących się do inspektorów ochrony danych osobowych (art. 37–39 rodo) podlegają administracyjnej karze pieniężnej do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Administracyjne kary pieniężne grożą zatem zarówno w przypadku niewłaściwej realizacji przez administratorów danych i podmioty przetwarzające obowiązku wyznaczania inspektora ochrony danych i zapewnienia mu określonych warunków wykonywania funkcji, jak i w przypadku nienależytego wykonywania zadań przez inspektorów ochrony danych.

Zadania inspektora ochrony danych

W zakresie zadań inspektora ochrony danych osobowych art. 39 rodo wymienia na pierwszym miejscu wskazane już wyżej informowani i doradzanie w zakresie obowiązków ciążących na administratorze, podmiocie przetwarzającym i pracownikach oraz monitorowanie przestrzegania przepisów i polityk w dziedzinie ochrony danych osobowych. Taki sposób określenia zadań inspektora ochrony danych osobowych powoduje, że zadania te są ściśle powiązane z obowiązkami administratorów danych, podmiotów przetwarzających oraz ich pracowników. Rodo przewiduje wiele nowych obowiązków i zadań administratorów danych i podmiotów przetwarzających, z których wiele związanych jest przede wszystkim ze wzmocnieniem praw podmiotów danych. Tytułem przykładu wskazać można, że nowe unijne przepisy rozbudowują obowiązki informacyjne wobec osób, których dane dotyczą, przyznają podmiotom danym nowe uprawnienia, takie jak „prawo do bycia zapomnianym” i „prawo do przenoszenia danych”. Wprowadzony zostaje również obowiązek zgłaszania podmiotom danych i organowi nadzorczemu naruszeń ochrony danych osobowych. Niewątpliwie istotnym polem dla działań doradczych i weryfi kacyjnych inspektorów ochrony danych będzie stosowanie przez administratorów danych i podmioty przetwarzające takich mechanizmów, jak: ocena skutków dla ochrony danych (privacy impact assessment) oraz uwzględnianie prywatności w fazie projektowania i w ustawieniach domyślnych (privacy by design oraz privacy by default). Administratorzy danych i podmioty przetwarzające, którzy wyznaczą inspektorów ochrony danych, będą korzystać z zaleceń i konsultacji co do oceny skutków dla ochrony danych. Ponadto będą mogli liczyć na monitorowanie wykonania przeprowadzonej oceny, ponieważ takie zadania zostały wprost nałożone na inspektorów ochrony danych w art. 39 ust. 1 pkt c rodo.
Zadania realizowane przez inspektora ochrony danych mają być jednym z ważniejszych elementów nowego systemu ochrony danych osobowych. W systemie tym przestrzeganie przepisów o ochronie danych monitorować mają zarówno sami administratorzy danych i podmioty przetwarzające dane wspomagani przez wyznaczonych inspektorów ochrony danych (motyw 97 rodo), jak i organy nadzorcze, których zasadniczym zadaniem jest monitorowanie i egzekwowanie rodo (art. 57 ust. 1 pkt a rodo). W celu skonsolidowania tego systemu i zapewnienia jego efektywności w katalogu zadań inspektorów ochrony danych wyraźnie zapisano obowiązek współpracy z organem nadzorczym. Inspektor ochrony danych osobowych zobowiązany będzie pełnić funkcję punktu kontaktowego dla organu nadzorczego w zakresie uprzednich konsultacji, o których mowa w art. 36 rodo, ale też we wszelkich innych sprawach. Do zadań inspektora należeć będzie również obowiązek pełnienia funkcji punktu kontaktowego dla osób, których dane dotyczą, mimo że obowiązek taki nie został umieszczony w katalogu zadań określonych w art. 39 rodo. Na mocy art. 38 ust. 4 rodo osoby, których dane dotyczą, uprawnione zostały bowiem wprost do kontaktowania się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy rodo. Poprzez wprowadzenie takiego rozwiązania inspektorzy ochrony danych będą musieli udzielać pomocy i wyjaśnień dotyczących przetwarzania danych osobowych konkretnych osób oraz przysługujących tym osobom uprawnień w każdym przypadku, gdy osoby te zwrócą się do nich z takim wnioskiem. Można przewidywać, że obowiązek ten może okazać się w praktyce zadaniem wymagającym tak dużych nakładów czasu i pracy, że w niektórych instytucjach uzasadnione będzie powołanie do jego realizacji nawet zespołu przygotowanych merytorycznie osób. Wszystkie zadania inspektora ochrony danych mają być wypełniane z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, a także charakteru, zakresu, kontekstu i celów przetwarzania danych. Konieczne zatem będzie podejście indywidualne i elastyczne umożliwiające adaptację rozwiązań do konkretnych potrzeb i zagrożeń związanych z procesami przetwarzania danych. Wymóg ten oznacza również, że w przypadku większych, bardziej skomplikowanych lub obciążonych większym ryzykiem operacji przetwarzania danych wprowadzone środki powinny być bardziej zaawansowane. Skuteczność zastosowanych środków powinna być regularnie sprawdzana.

Cenne dotychczasowe doświadczenia

Obecny sposób uregulowania statusu i funkcji ABI w polskiej uodo w dużej mierze odpowiada rozwiązaniom przyjętym w rodo. Jest tak dlatego, że w czasie, gdy tworzono nowe przepisy uodo znany był już projekt rodo. Uodo zobowiązuje administratorów danych do zapewnienia ABI niezależnego sprawowania funkcji, a jednym z jego głównych zadań czyni zapewnienie przestrzegania przepisów o ochronie danych osobowych. Wprawdzie sposób wyznaczenia zadań ABI w dalszym ciągu bardziej opiera się na szczegółowych przepisach prawa (zawartych w rozporządzeniach wykonawczych do uodo) niż na ogólnej dyspozycji „należytego uwzględnienia ryzyka” (art. 39 ust. 2 rodo), ale można w tym widzieć określone korzyści dla zdobywania fachowej wiedzy i doświadczenia przez ABI oraz kształtowania bardziej wydajnego systemu ochrony danych osobowych. Systematyczne planowanie i przeprowadzanie sprawdzeń oraz sporządzanie sprawozdań dla administratorów danych lub GIODO (na podstawie art. 19b uodo) pozwala wykształcić właściwe standardy w zakresie bieżącego, rzetelnego nadzoru nad przestrzeganiem przepisów dotyczących ochrony danych osobowych. Zatem mimo że obowiązki te są obecnie często krytycznie oceniane przez podmioty do nich zobowiązane (chodzi w szczególności o sprawdzenia przeprowadzane na zlecenie GIODO), niewątpliwie służą one zdobywaniu przez ABI cennych doświadczeń i wiedzy. Realizacja tych obowiązków przyczynia się również do upowszechniania znajomości wymogów prawnych i standardów dotyczących ochrony danych osobowych wśród wszystkich osób mających do czynienia z przetwarzaniem danych osobowych w danej instytucji lub przedsiębiorstwie. Tym samym skorzystanie przez administratorów danych z uprawnienia do powołania ABI oraz realizowanie przez ABI jego zadań przewidzianych w krajowych przepisach o ochronie danych osobowych przyczynia się do podniesienia efektywności systemu ochrony danych osobowych w Polsce oraz stanowi potrzebny i ważny etap przygotowawczy na drodze do właściwego wdrożenia przepisów rozporządzenia ogólnego.