Do jednych z najdalej idących zmian wprowadzonych rodo należy nadanie nowego statusu ABI (przyszłemu inspektorowi ochrony danych). Dotychczasowe akty prawne nie przyznawały ABI wystarczającej gwarancji niezależności, niezbędnej do swobodnego podejmowania przez nich działań mających bezpośredni wpływ na ochronę danych osobowych, a nawet szerzej – na ochronę prywatności. Dyrektywa 95/46/WE wskazywała jedynie, że osoba odpowiedzialna za ochronę danych musi mieć możliwość wykonywania swoich funkcji w sposób całkowicie niezależny. Rodo – oprócz ogólnego wymogu takiej niezależności – przyznało wprost instrumenty gwarantujące inspektorom ich niezależność. Istotą przyznania takiego statusu inspektorom ochrony danych nie jest jednak wyłącznie podkreślenie ich ważnej roli w procesie ochrony danych osobowych, ale owa niezależność stanowi jeden z instrumentów zapewniających im możliwość pełnego i skutecznego wykonywania zadań. Nie ulega bowiem wątpliwości, że w ślad za poszerzeniem zakresu obowiązków nakładanych na administratorów danych osobowych oraz podmioty przetwarzające dane dojdzie do poszerzenia obowiązków samych inspektorów ochrony danych. Ogólny katalog zadań inspektorów ochrony danych wskazany został w art. 39 rodo i obejmuje: informowanie administratora danych, monitorowanie przestrzegania ogólnego rozporządzenia, pełnienie funkcji punktu kontaktowego, udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz współpracę z organem nadzorczym. Wskazany katalog zadań powinien być jednak oceniany wyłącznie w charakterze katalogu ogólnych form działań podejmowanych przez inspektora ochrony danych, który, mówiąc najogólniej, ma wspierać administratora danych bądź podmiot przetwarzający dane w wykonywaniu przez niego zadań przewidzianych w ogólnym rozporządzeniu. Wskazanie, jakie są w istocie zadania przyszłego inspektora ochrony danych wymaga wzięcia pod uwagę wszystkich obowiązków nałożonych przez rodo na administratorów danych oraz udzielenia odpowiedzi na dwa podstawowe pytania. Pierwszym z nich jest pytanie o to, które z obowiązków wynikających z rodo adresowane są wprost do administratora danych lub podmiotu przetwarzającego dane.
Drugim – czy możliwe jest, by inspektor ochrony danych wspierał administratora lub przedmiot przetwarzający w realizacji tych obowiązków. Trzeba przy tym pamiętać, że ochrona danych osobowych jest jednym z praw podstawowych przewidzianych Kartą Praw Podstawowych. Dlatego też Trybunał Sprawiedliwości UE w swoim orzecznictwie wielokrotnie podkreślał, że biorąc pod uwagę cel aktów unijnych, polegający na zapewnieniu ochrony podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do prywatności w zakresie przetwarzania danych osobowych, nie można przyjmować wykładni zawężającej (zob. wyrok TSUE w sprawie C 131/12 z 13 maja 2014 r. w sprawie Google Spain pkt 53). Stosując powyższą wykładnię, stwierdzić należy, że inspektor ochrony danych powinien wspierać administratora danych osobowych we wszystkich czynnościach, w których z uwagi na charakter podejmowanych działań jest to możliwe.
Nie we wszystkich przypadkach podjęcie takich działań przez inspektora ochrony danych będzie bowiem możliwe. W szczególności konieczne jest zaakcentowanie, że przepisy rodo wyłączają możliwość przeniesienia na inspektora ochrony danych ciężaru podejmowania decyzji, który wprost nałożony został na administratorów danych lub podmioty przetwarzające. Przykładem mogą być decyzje co do wdrażanych technicznych i organizacyjnych środków ochrony danych osobowych. Artykuł 24 rodo wskazuje wprost, że uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, to administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rodo. W tym zakresie działania inspektora ochrony danych mogą ograniczyć się wyłącznie do podejmowania działań czysto doradczych, wspierających administratora w podejmowanych przez niego decyzjach. Wskazanie pozytywnego katalogu wszystkich możliwych zadań nakładanych na przyszłych inspektorów ochrony danych nie jest możliwe. W znacznej części zależą one bowiem od charakteru działalności podejmowanej przez administratora danych bądź podmiot przetwarzający oraz decyzji administratora, w którym ze swoich działań oczekuje wsparcia ze strony inspektora ochrony danych. Administrator może przykładowo oczekiwać od inspektora ochrony danych wsparcia w odbieraniu zgody przez dziecko w przypadku świadczenia przez siebie usług społeczeństwa informacyjnego, ale wyłącznie w przypadku, gdy w ramach prowadzonej przez siebie działalności usługi takie są faktycznie świadczone. Co jednak istotne, rodo poprzez szeroki zakres zadań nałożonych na inspektorów ochrony danych art. 39 rodo wymaga od nich aktywności rozumianej jako inicjowanie działań zmierzających do zapewnienia należytej ochrony danych osobowych. Możliwe jest natomiast podjęcie próby wskazania tych z zadań, które ciążą na każdym administratorze danych osobowych niezależnie od tego, jaki jest charakter działań, w związku z którymi dane osobowe są przetwarzane. W związku z tymi zadaniami działania inspektorów ochrony danych można podzielić na trzy kategorie. Pierwszą z nich jest wyrażone w art. 39 ust. 1 rodo informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o konkretnych obowiązkach spoczywających na nich na mocy rodo. Drugą jest merytoryczne wsparcie administratora danych, podmiotu przetwarzającego oraz pracowników w podejmowaniu działań zmierzających do zapewnienia zgodnego z prawem przetwarzania danych. Wreszcie trzecim z zadań jest egzekwowanie przestrzegania zasad ochrony danych.
Do zadań, w których realizacji inspektor ochrony danych powinien zawsze wspierać administratora danych osobowych, podejmując wskazane aktywności niezależnie od charakteru prowadzonej przez administratora działalności, należy wykazanie jednej z przesłanek przetwarzania danych osobowych, o których mowa w art. 6–11 rodo. W przypadku gdy podstawą przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą, inspektor ochrony danych powinien wspierać administratora danych w skonstruowaniu należytego procesu odbierania zgody. Powinien on zagwarantować, że została ona odebrana w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Powyższe dotyczy również respektowania zasad dotyczących przetwarzania danych osobowych, o których mowa w art. 5 rodo. Wskazane zasady stanowić powinny zresztą klucz do podjęcia przez inspektora ochrony danych działań polegających na monitorowaniu przestrzegania rodo, o czym mowa w art. 39 rodo. W związku z ciążącym na administratorze danych obowiązkiem dochowania należytej formy powierzania danych osobowych podmiotowi przetwarzającemu dane do zadań inspektora ochrony danych należeć powinno opiniowanie, a nawet tworzenie w imieniu administratora wzorów umów, odpowiadających wszystkim wymogom przewidzianym w art. 28–29 rodo. Mimo że rodo nie wprowadza wymogu prowadzenia dokumentacji przetwarzania danych osobowych w kształcie przewidzianym w obowiązujących przepisach powszechnie obowiązującego prawa, nakłada na administratora szereg obowiązków dokumentacyjnych. Przykładowo, zgodnie z art. 33 ust. 5 rodo, administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. W praktyce w zdecydowanej większości przypadków wymóg stworzenia oraz aktualizowania takiej dokumentacji ciążył będzie na inspektorze ochrony danych jako na osobie posiadającej największą wiedzę o wszelkich zdarzeniach mogących rodzić ryzyko naruszenia zasad ochrony danych. Nie bez znaczenia pozostaje również wkład inspektorów ochrony danych w zapewnienie należytych środków bezpieczeństwa ochrony danych osobowych. Zgodnie z art. 32 rodo (uwzględniając m.in. stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania), administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne zapewniające należytą ochronę danych osobowych. W praktyce ocena skuteczności zastosowanych środków ochrony oraz rekomendowanie zmian powinno należeć do inspektora ochrony danych. Warto zwrócić uwagę, że powołany przepis wzmacnia stawiany inspektorom ochrony danych osobowych w art. 37 rodo wymóg posiadania kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań. Inspektor ochrony danych powinien być osobą, która poprzez swoje doświadczenie łączy wiedzę o zasadach ochrony danych osobowych z wiedzą o funkcjonowaniu sektora, w ramach którego administrator lub podmiot przetwarzający prowadzą swoją działalność. Bez wątpienia inaczej wyglądają techniki zabezpieczania danych osobowych w sektorze IT wykorzystywane w związku z prowadzeniem archiwów w placówkach medycznych. Z powyższym związane są również przewidziane w art. 25 rodo obowiązek administratora danych uwzględniania ochrony danych w fazie projektowania oraz domyślna ochrona danych. Administrator – uwzględniając: stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fi zycznych – zobowiązany jest do wdrażania odpowiednich środków technicznych i organizacyjnych podczas określania sposobów przetwarzania oraz w czasie samego przetwarzania. Wskazana zasada, privacy by design, nakłada na administratora obowiązek uwzględnienia ochrony danych osobowych już na etapie projektowania rozwiązań technicznych bądź organizacyjnych. O ile działania takie powinny być podejmowane przy wsparciu inspektora ochrony danych, o tyle możliwe jest to wyłącznie w przypadku, gdy posiada on wiedzę pozwalającą mu na rozeznanie się w wykorzystywanych przez administratora technologiach. Zakres zadań nakładanych na inspektorów ochrony danych w ogólnym rozporządzeniu dalece wykracza poza ich ogólny katalog wskazany wprost w art. 39 rodo. Żadne z postanowień rodo nie może prowadzić jednak do wniosku o przeniesieniu na inspektorów ochrony danych pełnej odpowiedzialności za podejmowane decyzje, tam gdzie obowiązek wprost nakładany jest na administratora danych lub podmiot przetwarzający.

Rodo stanowiące obok tzw. dyrektywy policyjnej „nowe ramy ochrony danych osobowych” wprowadza wiele, od dawna potrzebnych zmian i nowych rozwiązań w sektorze ochrony danych osobowych. Mają one na celu nie tylko zapewnienie jednolitego i spójnego systemu ochrony danych osobowych na terenie Unii Europejskiej, lecz także unowocześnienie i podniesienie jego efektywności. Wdrożenie nowych przepisów będzie wymagało od podmiotów odpowiedzialnych za przetwarzanie danych proaktywnego podejścia do stosowania nowych przepisów i wybierania rozwiązań dostosowanych do konkretnej struktury organizacyjnej i rodzaju działalności administratorów danych i podmiotów przetwarzających oraz do charakteru, zakresu, kontekstu i celów prowadzonego przez nich przetwarzania danych osobowych. Przestrzeganie nowych przepisów będzie wymagać identyfikowania ryzyka związanego z przetwarzaniem, jego oceny pod kątem źródła, charakteru, prawdopodobieństwa i wagi zagrożenia oraz wprowadzania skutecznych praktyk pozwalających zminimalizować to ryzyko. Poprzez wprowadzenie w przepisach rodo zasady rozliczalności administratorzy danych i podmioty przetwarzające dane zostali zobowiązani do stałej gotowości wykazania wewnętrznego przestrzegania rodo, a zatem poprawności i skuteczności zastosowanych rozwiązań. Temu nowemu podejściu do ochrony danych osobowych i licznym wyzwaniom z nim związanym trudno będzie sprostać bez kompetentnego, fachowego wsparcia, jakim niewątpliwie będą inspektorzy ochrony danych osobowych (obecni ABI). Często podkreśla się, że dysponujący odpowiednią wiedzą i umiejętnościami inspektorzy mają odegrać kluczową rolę w zapewnieniu zgodności przetwarzania danych osobowych z nowymi unijnymi regulacjami prawnymi i stanowić fundament nowego, skutecznego systemu ochrony danych.

Obowiązek wyznaczania inspektora ochrony danych

Prawodawca unijny w rodo wprowadził w określonych przypadkach obligatoryjne wyznaczenie inspektorów ochrony danych, wzmocnił ich niezależność i pozycję, doprecyzował wymogi dotyczące ich fachowego przygotowania (wiedzy i umiejętności) oraz wprowadził ochronę tych osób przed negatywnymi skutkami działań podejmowanych na rzecz ochrony danych osobowych. Określił również zakres zadań inspektorów w sposób, który wskazuje, że osoba ta ma przede wszystkim pełnić rolę doradczą i weryf kacyjną wobec działań i decyzji administratorów danych i podmiotów przetwarzających dane. Wprowadzenie obowiązku wyznaczenia inspektora ochrony danych dla określonych kategorii administratorów danych i – co ważne – dla podmiotów przetwarzających niewątpliwie podnosi status i znaczenie inspektorów ochrony danych. Obowiązek ich wyznaczenia będą mieli administratorzy danych i podmioty przetwarzające będące organami lub podmiotami publicznymi (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości). Ponadto obowiązek taki będzie dotyczył administratorów i procesorów, których główna działalność polega na operacjach przetwarzania danych wymagających – ze względu na swój charakter, zakres lub cele – regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę oraz administratorów i procesorów, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa. Powyższy obowiązek został określony w art. 37 ust. 1 rodo. Przepis ten posługuje się kilkoma kryteriami, wymagającymi wykładni ze względu na ich treść (chodzi o sformułowania: „główna działalność”, „regularne i systematyczne monitorowanie” i „na dużą skalę”). W jej dokonywaniu pomocne mogą być bezpośrednie lub pośrednie wskazówki interpretacyjne zawarte w motywach rodo stanowiących jego kontekst normatywny, np.: „W sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności” (motyw 97 rodo) lub ocena skutków dla ochrony danych powinna „mieć zastosowanie w szczególności do operacji przetwarzania o dużej skali – które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą” (motyw 91 rodo). Ocena kryterium „dużej skali” z pewnością będzie musiała być dokonywana w kontekście konkretnego stanu faktycznego, niemniej z przytoczonych fragmentów rodo wynika, że w poszczególnych przypadkach konieczne może być uwzględnienie proporcji, np. wielkości terytorium, na którym następować będzie przetwarzanie danych osobowych (im większe terytorium, tym większa liczba danych będzie podstawą uznania, że przetwarzanie odbywa się na dużą skalę). Do maja 2018 r. istotny wpływ na doprecyzowanie art. 37 będzie mieć również Grupa Robocza Art. 29, a po tej dacie – Europejska Rada Ochrony Danych. Oprócz art. 37 ust. 1 rodo obowiązek wyznaczenia inspektora ochrony danych osobowych może wprowadzić prawo Unii Europejskiej lub państwo członkowskie w prawie krajowym. W pozostałych przypadkach wyznaczenie inspektora ochrony danych będzie dobrowolne. Istotną nowością w zakresie zasad wyznaczania inspektorów ochrony danych jest określenie warunków wyznaczenia jednego inspektora ochrony danych dla kilku administratorów danych lub podmiotów przetwarzających będących podmiotami publicznymi lub w ramach grupy przedsiębiorstw. Ponadto art. 37 ust. 6 rodo wyraźnie przesądza, że inspektor ochrony danych może być zarówno członkiem personelu administratora danych lub podmiotu przetwarzającego, jak i wykonywać swoją funkcję na podstawie umowy o świadczenie usług. Obecnie na gruncie polskim funkcję ABI wykonują zarówno osoby będące pracownikami administratorów danych, jak i osoby, które zawarły z administratorem danych umowę cywilnoprawną. Uodo nie zawiera przepisu wprost odnoszącego się do tego zagadnienia. Niewątpliwie rodzaj stosunku prawnego łączącego administratora danych i ABI ma bezpośredni wpływ na przesłanki i zasady ponoszenia odpowiedzialności za prawidłowe wykonywanie obowiązków przypisanych administratorowi bezpieczeństwa informacji. Model odpowiedzialności pracowniczej różni się bowiem od reżimu odpowiedzialności kontraktowej. W przypadku umowy cywilnoprawnej wiele w tym zakresie zależeć może od treści umowy i jej postanowień w zakresie zasad i sposobu egzekwowania odpowiedzialności za niewykonanie lub nienależyte wykonanie wynikających z niej zobowiązań.

Kwalifikacje do pełnienia funkcji

Wybór odpowiedniej osoby do pełnienia funkcji inspektora ochrony danych to ważna decyzja wymagająca odpowiedzialności i rzetelnego rozeznania. Jednym z podstawowych kryteriów wyboru powinno być należyte merytoryczne przygotowanie do pełnienia tej funkcji. Posiadanie przez ABI odpowiedniej wiedzy w dziedzinie ochrony danych osobowych jest bowiem niezbędnym warunkiem umożliwiającym wykonywanie funkcji ABI. W rodo wymóg odpowiedniego fachowego przygotowania inspektora ochrony danych został istotnie wyeksponowany i doprecyzowany. Inspektor ochrony danych osobowych ma być wyznaczany na podstawie kwalifikacji zawodowych – a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Poziom wiedzy inspektora ma być ustalany w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe przetwarzane przez administratora lub podmiot przetwarzający (motyw 97 rodo), a zatem w kontekście specyfiki i konkretnych potrzeb administratora danych i podmiotu przetwarzającego dane. Znaczenie fachowej wiedzy dla prawidłowego wykonywania tej funkcji podkreślone zostało ponadto przez zobowiązanie administratorów danych i procesorów do zapewnienia inspektorowi ochrony danych zasobów niezbędnych do utrzymania jego wiedzy fachowej. Obowiązek uaktualniania wiedzy i zapewnienia na to środków finansowych jest w pełni uzasadniony – szczególnie w świetle wyzwań związanych z szybkim rozwojem technologii informacyjno-komunikacyjnych oraz wielkoskalowych metod przetwarzania i wymiany danych. Ponadto rodo wprost zobowiązuje administratorów danych oraz podmioty przetwarzające do zapewnienia inspektorowi ochrony danych dostępu do danych osobowych i operacji przetwarzania oraz do niezwłocznego i właściwego włączania go we wszystkie sprawy dotyczące ochrony danych osobowych. Dokładne informacje na temat wszystkich procesów przetwarzania danych, wszystkich planowanych i realizowanych przedsięwzięć, usług i systemów związanych z przetwarzaniem danych osobowych mają być zatem nieodzownym składnikiem wiedzy inspektora ochrony danych. Dzięki temu rozwiązaniu inspektor ma zawsze dysponować kompletnymi informacjami umożliwiającymi pełną i rzetelną ocenę działalności administratora i podmiotu przetwarzającego w zakresie przestrzegania rodo. Niewątpliwie wiedza inspektora ochrony danych powinna obejmować też dobrą znajomość profilu działalności administratora danych osobowych i podmiotu przetwarzającego, związanych z tym profilem wymogów prawnych oraz szczegółów funkcjonowania danej organizacji.

Niezależność inspektora ochrony danych

Obok fachowej wiedzy kolejnym bardzo istotnym warunkiem, jaki musi być spełniony w odniesieniu do inspektora ochrony danych, jest wykonywanie jego funkcji w sposób niezależny. Motyw 97 rodo wskazuje, że inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora, czy też wykonują swoje usługi na podstawie umowy o świadczenie usług – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny. Pojęcie niezależności należy odnosić przede wszystkim do wykonywania przez inspektora jego obowiązków i zadań, a zatem odczytywać je w sensie merytorycznym. Jeśli zasadniczymi zadaniami inspektora są doradzanie w zakresie przestrzegania rodo oraz monitorowanie jego przestrzegania, to zadania te mogą być realizowane jedynie przy założeniu, że swoje oceny i zalecenia inspektor może formułować w sposób suwerenny, wolny od jakichkolwiek nacisków i wpływów. W art. 38 ust. 3 rodo wprowadzony został obowiązek zapewnienia przez administratorów danych i podmioty przetwarzające, aby inspektor ochrony danych nie otrzymywał instrukcji co do wykonywania zadań. Ponadto wykonywanie innych obowiązków, niezwiązanych z ochroną danych, dopuszczalne jest jedynie wtedy, gdy obowiązki takie nie będą powodowały konfliktu interesów (art. 38 ust. 6 rodo). Oznacza to, że obowiązki inspektorów ochrony danych powinny być traktowane priorytetowo, inne zaś zadania mogą być realizowane tylko wówczas, gdy nie będzie to przeciwstawne skutecznemu zapewnianiu ochrony danych osobowych i będzie możliwe pod względem czasowym i organizacyjnym. Również obecnie, na gruncie uodo, powierzenie ABI innych zadań możliwe jest jedynie wówczas, gdy nie naruszy to prawidłowego wykonania zadań ABI. Inspektor ochrony danych ma podlegać najwyższemu kierownictwu administratora lub podmiotu przetwarzającego, a zatem nie są dopuszczalne sytuacje, w których inspektor podlega jakimkolwiek innym osobom lub podmiotom. Podległość najwyższemu kierownictwu jest jedną z gwarancji niezależnej, wysokiej pozycji inspektora ochrony
danych w strukturze administratora danych, a ponadto skraca drogę raportowania, co ma istotne znaczenie w razie konieczności podejmowania szybkich działań naprawczych w sytuacji naruszenia ochrony danych osobowych. Do ważnych, nowych rozwiązań w zakresie gwarancji niezależności inspektora należy nałożony wprost na administratorów danych i podmioty przetwarzające obowiązek wspierania inspektora ochrony danych w wypełnianiu przez niego zadań, m.in. przez wspomniane już wyżej zapewnienie inspektorowi dostępu do danych osobowych i operacji przetwarzania oraz wiedzy o każdej sprawie dotyczącej ochrony danych osobowych. Ten obowiązek ma zapobiegać próbom ograniczania inspektorowi ochrony danych dostępu do niezbędnych dla realizacji jego zadań informacji. Realizując ten obowiązek, administratorzy danych i podmioty przetwarzające (zwłaszcza ci, którzy są organizacjami o dużej, złożonej strukturze) powinni wprowadzić wewnętrzne zasady i procedury, które zapewnią w tym zakresie wydajny i szybki przepływ informacji dotyczących ochrony danych. Wspieranie inspektora w wykonywaniu jego funkcji ma polegać również na zapewnieniu mu zasobów niezbędnych do wykonania jego obowiązków. Od początku 2015 r. rozwiązanie takie przewiduje również uodo, zgodnie z którą funkcję ABI może pełnić osoba mająca zapewnione środki i organizacyjną odrębność, niezbędne do niezależnego wykonywania przez niego zadań, przy czym określenie „środki” należy rozumieć szeroko – w sensie zarówno organizacyjnym, jak i finansowym. Niewątpliwie wymóg ten ma największe znaczenie dla ABI będących pracownikami administratorów danych, ponieważ ABI działający na podstawie umowy cywilnoprawnej przeważnie posiadają organizacyjną odrębność, a środki niezbędne do wykonywania zadań zostają zabezpieczone w ramach umowy zawartej z administratorem danych. Inspektor ochrony danych zobowiązany został również do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii Europejskiej lub prawem państwa członkowskiego, co jest uzasadnione zarówno względami bezpieczeństwa danych osobowych, jak i wolą wzmocnienia zaufania do inspektorów ze strony administratorów danych i podmiotów przetwarzających. Na gruncie uodo obowiązek zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia adresowany jest do wszystkich osób upoważnionych do przetwarzania danych (mówi o tym art. 39 ust. 2 uodo). Jedną z ważnych i nowych gwarancji niezależności inspektora ochrony danych jest przepis, zgodnie z którym inspektor nie może być ukarany lub odwołany za wypełnianie swoich zadań (art. 38 ust. 3 rodo). Jest to jedyny przepis w rodo dotyczący zagadnienia odwołania inspektora ochrony danych. Warto jednak zauważyć, że stosownie do art. 83 ust. 4 pkt a rodo, naruszenia wszystkich przepisów bezpośrednio odnoszących się do inspektorów ochrony danych osobowych (art. 37–39 rodo) podlegają administracyjnej karze pieniężnej do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Administracyjne kary pieniężne grożą zatem zarówno w przypadku niewłaściwej realizacji przez administratorów danych i podmioty przetwarzające obowiązku wyznaczania inspektora ochrony danych i zapewnienia mu określonych warunków wykonywania funkcji, jak i w przypadku nienależytego wykonywania zadań przez inspektorów ochrony danych.

Zadania inspektora ochrony danych

W zakresie zadań inspektora ochrony danych osobowych art. 39 rodo wymienia na pierwszym miejscu wskazane już wyżej informowani i doradzanie w zakresie obowiązków ciążących na administratorze, podmiocie przetwarzającym i pracownikach oraz monitorowanie przestrzegania przepisów i polityk w dziedzinie ochrony danych osobowych. Taki sposób określenia zadań inspektora ochrony danych osobowych powoduje, że zadania te są ściśle powiązane z obowiązkami administratorów danych, podmiotów przetwarzających oraz ich pracowników. Rodo przewiduje wiele nowych obowiązków i zadań administratorów danych i podmiotów przetwarzających, z których wiele związanych jest przede wszystkim ze wzmocnieniem praw podmiotów danych. Tytułem przykładu wskazać można, że nowe unijne przepisy rozbudowują obowiązki informacyjne wobec osób, których dane dotyczą, przyznają podmiotom danym nowe uprawnienia, takie jak „prawo do bycia zapomnianym” i „prawo do przenoszenia danych”. Wprowadzony zostaje również obowiązek zgłaszania podmiotom danych i organowi nadzorczemu naruszeń ochrony danych osobowych. Niewątpliwie istotnym polem dla działań doradczych i weryfi kacyjnych inspektorów ochrony danych będzie stosowanie przez administratorów danych i podmioty przetwarzające takich mechanizmów, jak: ocena skutków dla ochrony danych (privacy impact assessment) oraz uwzględnianie prywatności w fazie projektowania i w ustawieniach domyślnych (privacy by design oraz privacy by default). Administratorzy danych i podmioty przetwarzające, którzy wyznaczą inspektorów ochrony danych, będą korzystać z zaleceń i konsultacji co do oceny skutków dla ochrony danych. Ponadto będą mogli liczyć na monitorowanie wykonania przeprowadzonej oceny, ponieważ takie zadania zostały wprost nałożone na inspektorów ochrony danych w art. 39 ust. 1 pkt c rodo.
Zadania realizowane przez inspektora ochrony danych mają być jednym z ważniejszych elementów nowego systemu ochrony danych osobowych. W systemie tym przestrzeganie przepisów o ochronie danych monitorować mają zarówno sami administratorzy danych i podmioty przetwarzające dane wspomagani przez wyznaczonych inspektorów ochrony danych (motyw 97 rodo), jak i organy nadzorcze, których zasadniczym zadaniem jest monitorowanie i egzekwowanie rodo (art. 57 ust. 1 pkt a rodo). W celu skonsolidowania tego systemu i zapewnienia jego efektywności w katalogu zadań inspektorów ochrony danych wyraźnie zapisano obowiązek współpracy z organem nadzorczym. Inspektor ochrony danych osobowych zobowiązany będzie pełnić funkcję punktu kontaktowego dla organu nadzorczego w zakresie uprzednich konsultacji, o których mowa w art. 36 rodo, ale też we wszelkich innych sprawach. Do zadań inspektora należeć będzie również obowiązek pełnienia funkcji punktu kontaktowego dla osób, których dane dotyczą, mimo że obowiązek taki nie został umieszczony w katalogu zadań określonych w art. 39 rodo. Na mocy art. 38 ust. 4 rodo osoby, których dane dotyczą, uprawnione zostały bowiem wprost do kontaktowania się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy rodo. Poprzez wprowadzenie takiego rozwiązania inspektorzy ochrony danych będą musieli udzielać pomocy i wyjaśnień dotyczących przetwarzania danych osobowych konkretnych osób oraz przysługujących tym osobom uprawnień w każdym przypadku, gdy osoby te zwrócą się do nich z takim wnioskiem. Można przewidywać, że obowiązek ten może okazać się w praktyce zadaniem wymagającym tak dużych nakładów czasu i pracy, że w niektórych instytucjach uzasadnione będzie powołanie do jego realizacji nawet zespołu przygotowanych merytorycznie osób. Wszystkie zadania inspektora ochrony danych mają być wypełniane z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, a także charakteru, zakresu, kontekstu i celów przetwarzania danych. Konieczne zatem będzie podejście indywidualne i elastyczne umożliwiające adaptację rozwiązań do konkretnych potrzeb i zagrożeń związanych z procesami przetwarzania danych. Wymóg ten oznacza również, że w przypadku większych, bardziej skomplikowanych lub obciążonych większym ryzykiem operacji przetwarzania danych wprowadzone środki powinny być bardziej zaawansowane. Skuteczność zastosowanych środków powinna być regularnie sprawdzana.

Cenne dotychczasowe doświadczenia

Obecny sposób uregulowania statusu i funkcji ABI w polskiej uodo w dużej mierze odpowiada rozwiązaniom przyjętym w rodo. Jest tak dlatego, że w czasie, gdy tworzono nowe przepisy uodo znany był już projekt rodo. Uodo zobowiązuje administratorów danych do zapewnienia ABI niezależnego sprawowania funkcji, a jednym z jego głównych zadań czyni zapewnienie przestrzegania przepisów o ochronie danych osobowych. Wprawdzie sposób wyznaczenia zadań ABI w dalszym ciągu bardziej opiera się na szczegółowych przepisach prawa (zawartych w rozporządzeniach wykonawczych do uodo) niż na ogólnej dyspozycji „należytego uwzględnienia ryzyka” (art. 39 ust. 2 rodo), ale można w tym widzieć określone korzyści dla zdobywania fachowej wiedzy i doświadczenia przez ABI oraz kształtowania bardziej wydajnego systemu ochrony danych osobowych. Systematyczne planowanie i przeprowadzanie sprawdzeń oraz sporządzanie sprawozdań dla administratorów danych lub GIODO (na podstawie art. 19b uodo) pozwala wykształcić właściwe standardy w zakresie bieżącego, rzetelnego nadzoru nad przestrzeganiem przepisów dotyczących ochrony danych osobowych. Zatem mimo że obowiązki te są obecnie często krytycznie oceniane przez podmioty do nich zobowiązane (chodzi w szczególności o sprawdzenia przeprowadzane na zlecenie GIODO), niewątpliwie służą one zdobywaniu przez ABI cennych doświadczeń i wiedzy. Realizacja tych obowiązków przyczynia się również do upowszechniania znajomości wymogów prawnych i standardów dotyczących ochrony danych osobowych wśród wszystkich osób mających do czynienia z przetwarzaniem danych osobowych w danej instytucji lub przedsiębiorstwie. Tym samym skorzystanie przez administratorów danych z uprawnienia do powołania ABI oraz realizowanie przez ABI jego zadań przewidzianych w krajowych przepisach o ochronie danych osobowych przyczynia się do podniesienia efektywności systemu ochrony danych osobowych w Polsce oraz stanowi potrzebny i ważny etap przygotowawczy na drodze do właściwego wdrożenia przepisów rozporządzenia ogólnego.