Przedsiębiorcy intensywnie przygotowują się, aby sprostać wymaganiom nowych unijnych przepisów o ochronie danych osobowych, które zaczną być stosowane 25 maja 2018 r. Jedną ze zmian będzie zastąpienie dzisiejszych administratorów bezpieczeństwa informacji (ABI) inspektorami ochrony danych (IOD). To specjaliści, którzy zajmują się ochroną danych osobowych. Przygotowują niezbędne dokumenty (np. regulaminy), nadają uprawnienia dostępu do danych czy kontrolują procedury bezpieczeństwa. Mogą być zatrudnieni w ramach firmy, często jednak ich usługi są outsourcowane. W ten sposób jedna osoba może pełnić funkcje ABI dla wielu różnych przedsiębiorstw.

Rekordzista został powołany na ABI już przez 140 różnych podmiotów.

– Formalnie to rzeczywiście ja jestem ABI, ale faktycznie te obowiązki wykonuje zespół kilkunastu ekspertów pracujących w naszej kancelarii. Podobnie działających jak ja firm jest więcej. Moim zdaniem ten model najlepiej się sprawdza. Dzięki temu, że skupiamy się wyłącznie na ochronie danych osobowych, możemy świadczyć profesjonalne usługi dla wielu podmiotów, w tym także małych i średnich firm, których nie stać na zatrudnianie indywidualnych ABI – przekonuje Przemysław Zegarek, współwłaściciel firmy Lex Artis.

– Powiem więcej, uważam ten model za najbardziej przejrzysty. Unikam bowiem konfliktu interesów związanego z tym, że eksperci pracujący w naszej kancelarii byliby odpowiedzialni zarówno przede mną, jak i przed naszymi klientami. Warto też pamiętać, że ABI działa na rzecz prawa do prywatności wszystkich osób, których dane są przetwarzane – dodaje.

Zarówno on sam, jak i jego klienci byli monitorowani przez generalnego inspektora ochrony danych osobowych i w żadnej z tych kontroli nie pojawił się zarzut braku możliwości obsługi tak wielu różnych podmiotów.

Niejasne przepisy

Nie ma wątpliwości, że obowiązujące przepisy ustawy o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.) pozwalają, by jeden ABI pracował dla wielu zleceniodawców. Poniekąd taki był zamysł ustawodawcy, aby możliwy był outsourcing tego typu usług i nie było konieczności zatrudniania ABI na etat. Wspomniane kontrole GIODO potwierdzają dopuszczalność prawną takiego modelu działalności.

A jak będzie pod rządami przepisów nowego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO)? Jego art. 37 ust. 2 wspomina jedynie, że grupa przedsiębiorstw powiązanych kapitałowo może wyznaczyć jednego IOD, o ile można z nim łatwo nawiązać kontakt z każdej jednostki organizacyjnej. Z kolei ust. 3 tego przepisu reguluje zasady wyznaczania IOD przez kilka podmiotów publicznych (musi się to odbywać z uwzględnieniem ich struktury organizacyjnej i wielkości).

– Wykładnia językowa i systemowa wskazuje jednoznacznie, że tylko w tych dwóch sytuacjach jest możliwe powoływanie tego samego IOD przez różne podmioty. A contrario przedsiębiorcy, którzy nie są powiązani w ramach jednej grupy kapitałowej, nie mogą tego robić – zauważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński i ekspert Instytutu Allerhanda.

– Nie wiem, czy rzeczywiście taki był cel unijnego ustawodawcy, tym bardziej że praca jednego ABI dla różnych firm nie jest specyfiką wyłącznie polską i można się z nią spotkać w wielu krajach, chociażby w Holandii. Niemniej jednak trudno mi inaczej odczytać przepisy unijnego rozporządzenia – dopowiada.

Przyjęcie takiej interpretacji oznaczałoby, że poza przedsiębiorstwami należącymi do tej samej grupy kapitałowej nie ma możliwości powołania tego samego, zewnętrznego IOD. To zaś oznaczałoby, że kancelarie świadczące tego typu usługi straciłyby możliwość dalszej pracy w obecnym modelu biznesowym.

Doktor Grzegorz Sibiga z Instytutu Nauk Prawnych PAN, nie zgadza się jednak z tak restrykcyjną interpretacją.

– Gdyby prawodawca unijny chciał wprowadzić taki zakaz, to zrobiłby to wprost przez odpowiednią regulację zabraniającą powoływania jednego IOD przez różne podmioty. Skoro tego nie zrobił, to zarówno przedsiębiorcy, jak i podmioty publiczne mają do tego prawo, oczywiście przy założeniu, że taki IOD będzie w stanie wykonywać prawidłowo swoje obowiązki dla wielu z nich – przekonuje ekspert.

– Przepisy dotyczące grupy kapitałowej czy też grupy podmiotów publicznych narzucają jedynie pewne dodatkowe warunki w określonych sytuacjach, ale nie wprowadzają generalnego zakazu indywidualnego powoływania tego samego IOD przez kilka różnych podmiotów – dodaje.

Będzie autoregulacja

Firmy zajmujące się zewnętrzną obsługą przetwarzania danych osobowych zapewniają, że zdają sobie sprawę z ciążącej na nich odpowiedzialności. Trwają właśnie prace nad utworzeniem skupiającej je organizacji pod roboczą nazwą Związek Firm Ochrony Danych Osobowych. Jednym z jej celów będzie próba autoregulacji branży przez stworzenie standardu usług.

Dyskusja nad tym, jaką liczbę podmiotów jest w stanie obsłużyć jedna firma, jest w rzeczywistości wtórna, bo czasem jeden klient może generować tyle pracy, że wystarczy jej na kilku ekspertów, a czasem kilkudziesięciu wymaga stosunkowo niewielkiej pomocy, sprowadzającej się do sprawdzenia raz na pewien czas dokumentów regulujących przetwarzanie danych osobowych. Eksperci zewnętrzni zapewniają, że zdają sobie z tego sprawę i dlatego w odpowiedzialny sposób dobierają klientów. Jeśli dochodzą do wniosku, że wymagają oni pełnoetatowej obsługi, doradzają zatrudnienie ABI na etat, w ramach struktury wewnętrznej przedsiębiorcy.

Nowe regulacje unijne mogą jednak wymusić dalsze zmiany.

– Choć przepisy nie zabraniają tego, by jeden IOD obsługiwał wiele podmiotów, to zgodnie z wytycznymi Grupy Roboczej art. 29 musi spełnić wymogi kwalifikacyjne, które w sposób oczywisty ograniczają tę możliwość. Wytyczne te mówią m.in. o konieczności znajomości określonego sektora biznesowego i organizacji. Poza ogólnymi przepisami dotyczącymi ochrony danych IOD musi też znać specyfikę technologii przetwarzania informacji w danej branży, przykładowo służby zdrowia. Siłą rzeczy jedna osoba nie może być specjalistą w wielu różnych branżach, co powinno ograniczać możliwość pracy dla wielu różnych podmiotów – zwraca uwagę dr Grzegorz Sibiga.

Na razie nie wiadomo, czy polskie przepisy wdrażające unijne rozporządzenie w jakikolwiek sposób odniosą się do możliwości obsługi wielu podmiotów przez jednego IOD. W Ministerstwie Cyfryzacji trwają prace nad projektem nowej ustawy, który w najbliższym czasie powinien ujrzeć światło dzienne.