Firmy, a także administracja publiczna będą musiały się mocniej zaangażować w ochronę danych osobowych. W maju 2018 r. wejdą w życie przepisy unijne, które w wielu przypadkach wprowadzą obowiązek powołania inspektorów ochrony danych osobowych.

Takie zmiany wynikają z przyjętego w maju 2016 r. przez Unię Europejską ogólnego rozporządzenia o ochronie danych osobowych. Kraje członkowskie będą musiały zastosować przepisy rozporządzenia od 25 maja 2018 r.

Za przetwarzanie danych osobowych zgodnie z prawem odpowiadają administratorzy tych danych, czyli np. firmy, przedsiębiorstwa, samorządy czy administracja publiczna. Ich działania w tym obszarze, m.in. w zakresie prawidłowego przetwarzania danych osobowych, wspierają obecnie administratorzy bezpieczeństwa informacji (ABI). Jednak ich powoływanie teraz nie jest obowiązkowe.

Unijne przepisy wprowadzają funkcję inspektora ochrony danych osobowych, która zastąpi ABI. "Inspektor danych osobowych to osoba, która w danej organizacji, firmie u danego przedsiębiorcy ma zajmować się z jednej strony doradzaniem w sprawie zasad ochrony danych osobowych a z drugiej - monitorowaniem działań administratora danych osobowych w tym zakresie" - wyjaśniła Generalny Inspektor Danych Osobowych Edyta Bielak-Jomaa. Inspektor będzie także współpracował z organem nadzorczym (w Polsce z GIODO).

Obowiązek powołania inspektora dotyczyć ma jednostek administracji publicznej, a także wszystkich innych podmiotów, które przetwarzają dane osobowe na dużą skalę. Choć, jak przyznaje Bielak-Jomaa, unijne rozporządzenie nie precyzuje, co należy rozumieć przez "dużą skalę" - ma to być ustalane w konkretnych przypadkach.

Jedną z instytucji, w których będą powołani inspektorzy danych osobowych, są np. szpitale. "Główną działalnością szpitala jest leczenie, a nie przetwarzanie danych osobowych, ale nie może on zrealizować tej głównej działalności bez przetwarzania danych osobowych na dużą skalę. W związku z tym taki podmiot będzie musiał powołać inspektora danych osobowych" - powiedziała PAP Bielak-Jomaa.

Jak wskazała, przetwarzanie danych osobowych w instytucjach służby zdrowia to m.in. takie kwestie jak określenie, którzy pracownicy powinni mieć dostęp do danych osobowych, przetwarzanie danych poza terenem jednostki medycznej, przetwarzanie ich w chmurze, prowadzenie i ochrona dokumentacji i rejestrów medycznych, szczególne traktowanie przetwarzania danych wrażliwych i ich ochrona.

"Europejskie rozporządzenie wzmacnia rolę inspektora danych osobowych w organizacji, przedsiębiorstwie. Dla osoby z zewnątrz, np. dla pacjenta szpitala, właściwie nic się nie zmienia. Bo gdyby doszło do wycieku danych osobowych, to odpowiedzialność ponosi za to administrator danych" - dodała.

Inspektor ochrony danych osobowych musi posiadać z jednej strony fachową wiedzę prawniczą dotyczącą ochrony danych osobowych, zaś z drugiej strony - wiedzę na temat praktyk korzystania z danych osobowych w danych sektorach.

Jak podkreśla Bielak-Jomaa unijne przepisy wskazują, iż inspektor ochrony danych osobowych musi mieć zagwarantowaną niezależność i podlegać najwyższemu kierownictwu tak, aby mógł bezpośrednio skontaktować się z osobami decyzyjnymi w sprawie przetwarzania danych osobowych a także mieć dostęp do wszystkich informacji, które związane są z przetwarzaniem danych osobowych w firmie. Rozporządzenie wymaga także wsparcia organizacyjnego inspektora ochrony danych osobowych np. przez zespół ekspertów.

Rozporządzenie UE wprowadza także kary finansowe za wyciek danych osobowych - nawet do 20 mln euro. Bielak-Jomaa wskazała, że współpraca między administratorem danych osobowych a inspektorem ochrony danych osobowych może mieć wpływ na postępowania organów nadzorczych(w Polsce GIODO - PAP) w tym na wysokość kary finansowej. Chodzi m.in. o to, czy administrator uwzględniał uwagi inspektora w sprawie ochrony danych.

Unijne przepisy wprowadzają także obowiązek informowania GIODO o wycieku danych osobowych dotyczył a jeśli wyciek dotyczy dużej grupy osób albo prowadziłby do zagrożenie prywatności to również muszą być poinformowana osoby, których wyciek dotyczył.