Autor: Magdalena Bęza, radca prawny
GDPR, którego pełne stosowanie rozpocznie się 25 maja 2018 roku, przewiduje m.in. funkcję inspektora ochrony danych (dalej „Inspektor” lub „IOD”), który co do zasady będzie odpowiednikiem administratora bezpieczeństwa informacji na gruncie aktualnej ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku (dalej „ABI”).
Kwestie dotyczące Inspektora zostały również częściowo poruszone w projekcie krajowych przepisów wdrażających GDPR, który aktualnie znajduje się na etapie konsultacji społecznych (dalej „Projekt”).
Obligatoryjne przypadki powołania IOD
W przeciwieństwie do aktualnych przepisów, w myśl których wyznaczenie ABI jest fakultatywne, GDPR przewiduje przypadki, kiedy powołanie Inspektora będzie obowiązkowe, tj:
1. W odniesieniu do podmiotów publicznych (np. gminy), za wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości;
2. Gdy główna działalność administratora lub podmiotu przetwarzającego dane polega na takich operacjach przetwarzania, które – ze względu na charakter, zakres lub cele - wymagają regularnego i systematycznego monitorowania podmiotów danych, na dużą skalę (np. firmy monitorujące aktywność konsumentów w internecie);
3. W przypadku administratorów danych lub podmiotów przetwarzających, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych (tzw. danych wrażliwych), w tym danych osobowych dotyczących wyroków skazujących i naruszeń prawa (np. zakłady karne).
Rola IOD
Zgodnie z GDPR, Inspektor ma być włączany we wszystkie sprawy w ramach danego podmiotu, dotyczące przetwarzania danych osobowych. Do podstawowych obowiązków Inspektora będzie należało:
1. Informowanie administratora/podmiotu przetwarzającego oraz ich pracowników o ich obowiązkach wynikających z GDPR;
2. Szkolenie personelu w zakresie ochrony danych osobowych;
3. Wykonywanie audytu ochrony danych osobowych;
4. Współpraca z organem nadzorczym (w nowym stanie prawnym jego nazwa to Prezes Urzędu Ochrony Danych Osobowych – dalej „Prezes UODO”, odpowiednik dotychczasowego Generalnego Inspektora Ochrony Danych Osobowych), w tym na wypadek kontroli wszczętej przez ten organ;
5. Pełnienie funkcji punktu kontaktowego dla Prezesa UODO w kwestiach związanych z przetwarzaniem danych osobowych (np. w przypadku wszczętej przez Prezesa UODO kontroli przetwarzania danych osobowych przez dany podmiot).
GDPR przewiduje również gwarancje niezależności Inspektora, obejmujące przede wszystkim nakaz jego podlegania wyłącznie najwyższemu kierownictwu danego podmiotu, zakaz wydawania mu instrukcji co do sposobu wykonywania jego obowiązków oraz zakaz odwoływania lub karania Inspektora za wykonywanie jego zadań.
Co z dzisiejszymi ABI?
Projekt przepisów krajowych przewiduje, że administrator danych albo podmiot przetwarzający, który powołał inspektora ochrony danych, zawiadomi Prezesa UODO o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia. Przed opublikowaniem Projektu kontrowersje budził zakres danych Inspektora, które będą podawane do wiadomości Prezesa UODO (chodziło o możliwe ograniczenie zakresu tych danych do informacji niezbędnych). W Projekcie zaproponowano, aby podawane było imię, nazwisko, adres poczty elektronicznej lub numer telefonu Inspektora. Konieczna będzie również systematyczna aktualizacja powyższych informacji, w tym zarówno co do osoby Inspektora (w razie jego odwołania) oraz w przypadku zmiany poszczególnych danych (w terminie 14 dni od zaistnienia zmiany).
W Projekcie zawarto ponadto istotną propozycję przepisu międzyczasowego dotyczącego statusu dotychczasowych ABI. W szczególności, w myśl Projektu, osoby pełniące w dniu 24 maja 2018 roku funkcję ABI, będą ją wykonywać do dnia 1 września 2018 roku (a zatem jeszcze około 2 miesięcy po wejściu w życie GDPR). W tym terminie administratorzy/podmioty przetwarzające powinni zawiadomić Prezesa UODO o wyznaczeniu Inspektora albo o tym, że ABI nie będzie pełnił funkcji Inspektora. Z powyższego wynika, że w razie braku dokonania powyższego zawiadomienia Prezesa UODO w terminie do 1 września 2018 roku, dotychczasowa funkcja ABI wygaśnie i dany podmiot nie będzie miał powołanego Inspektora.
Niepowołanie IOD
Co istotne, naruszenie wymogów GDPR dotyczących Inspektora (np. jego niepowołanie pomimo stosownego obowiązku) wiąże się z ryzykiem zapłaty wysokich kar pieniężnych, które będą nakładane na administratorów lub podmioty przetwarzające przez Prezesa UODO. Wskazane kary mogą wynieść nawet do 10 mln EUR lub – w przypadku przedsiębiorstw - do 2% rocznego światowego obrotu osiągniętego w poprzedzającym roku obrotowym (przy czym do przedsiębiorstw zastosowanie będzie miała wyższa z tych kwot). Natomiast w Projekcie zaproponowano ograniczenie wysokości kar pieniężnych nakładanych na podmioty publiczne (w tym za naruszenie obowiązku powołania Inspektora) do kwoty 100 000 złotych.
Aby uniknąć ryzyka zapłaty tak wysokich kar, warto, aby organizacje (w tym przedsiębiorcy) już teraz dokonały weryfikacji, czy dotyczy ich obowiązek powołania Inspektora. Jeżeli tak, to oprócz wyznaczenia konkretnej osoby do pełnienia funkcji Inspektora, konieczne będzie ustalenie, jakie działania dotyczące Inspektora będą potrzebne w celu dostosowania jego obowiązków, uprawnień i miejsca w strukturze organizacyjnej do wymogów wynikających z przepisów GPDR oraz możliwie szybkie podjęcie tych działań. Nawet jednak jeżeli w przypadku konkretnej firmy powołanie Inspektora nie będzie bezwzględnie konieczne, to warto rozważyć jego wyznaczenie, w celu ułatwienia firmie spełnienia licznych nowych obowiązków wprowadzonych przez GDPR (w szczególności zasady domyślnej ochrony prywatności – Privacy by default oraz ochrony prywatności w fazie projektowania – Privacy by design).