Inspektorzy ochrony danych osobowych nadal będą mogli zostać powołani przez kilku różnych przedsiębiorców. Przez kilkudziesięciu raczej już jednak nie – uważa generalny inspektor ochrony danych osobowych.
Administratorzy bezpieczeństwa informacji (ABI), czyli specjaliści zajmujący się ochroną danych osobowych, zdążyli już się zadomowić w polskim systemie prawnym. Część jest zatrudniana w ramach struktury firmy czy administracji publicznej. Na rynku działa też jednak sporo zewnętrznych ekspertów świadczących usługi w formie outsourcingu – niekiedy wielu różnym podmiotom, na co pozwalają obowiązujące przepisy.
Nie do końca natomiast wiadomo, jak interpretować nowe rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO), które zacznie być stosowane od 25 maja 2018 r. Dotychczasowych ABI zastąpią wówczas inspektorzy ochrony danych (IOD). Czy oni także będą mogli być powoływani przez wiele różnych podmiotów? W minionym tygodniu DGP przedstawił różne opinie ekspertów. Teraz do zainaugurowanej przez nas dyskusji włącza się GIODO.
Problem w tym, że RODO wspomina o możliwości powoływania IOD w dwóch tylko przepisach. Zgodnie z art. 37 ust. 2 grupa przedsiębiorstw powiązanych kapitałowo może wyznaczyć jednego IOD, o ile można z nim łatwo nawiązać kontakt z każdej jednostki organizacyjnej. Z kolei ust. 3 tego przepisu reguluje zasady wyznaczania IOD przez kilka podmiotów publicznych (musi się to odbywać z uwzględnieniem ich struktury organizacyjnej i wielkości). Skoro tylko w tych przepisach pojawia się taka możliwość, to a contrario można wywodzić, że w innych sytuacjach IOD nie może być powoływany przez wielu różnych przedsiębiorców.
GIODO nie zgadza się jednak z tak daleko idącą interpretacją.
– Stoimy na stanowisku, że art. 37 ust. 2 i 3 RODO nie wykluczają powoływania tego samego IOD przez niepowiązanych ze sobą przedsiębiorców czy różne podmioty publiczne. Jednak – co bardzo ważne – bezwzględnym warunkiem jest to, żeby osoba ta była w stanie autentycznie wypełniać swoje obowiązki wobec każdej obsługiwanej przez siebie organizacji i to w sposób w pełni odpowiadający prawu i potrzebom konkretnego administratora danych – mówi Monika Młotkiewicz, zastępca dyrektora departamentu rejestracji ABI i zbiorów danych osobowych Biura GIODO.
Nowe przepisy nie zakazują więc pracy dla różnych podmiotów, ale jednocześnie wiążą się z rozbudowanymi obowiązkami IOD, co samo w sobie oznacza pewne ograniczenia.
– Priorytetem jest to, żeby obowiązki te były prawidłowo wypełniane. To zaś będzie wymagać stałego zaangażowania i dostępności inspektora. Dostępności nie tylko dla samego administratora danych i osób u niego zatrudnionych, lecz także dla osób, których dane są przetwarzane. IOD będzie musiał na bieżąco monitorować zgodność przetwarzania danych i być gotowy do służenia pomocą w każdym momencie – wylicza Monika Młotkiewicz, podkreślając, że siłą rzeczy musi to się wiązać z ograniczeniem liczby klientów, dla których można jednocześnie pracować.
RODO nie wyznacza sztywnej granicy, ilu klientów będzie w stanie jednocześnie obsłużyć jeden IOD. Wiele będzie zależeć chociażby od wielkości administratora danych, tego jak wiele tych danych przetwarza i o jakie dane chodzi. Dzisiaj zdarzają się ABI pracujący nawet dla ponad 100 klientów jednocześnie. To, zdaniem GIODO, nie może już wchodzić w grę.
– Należy się spodziewać, że zostanie wyeliminowana praktyka polegająca na korzystaniu przez administratorów z usług osób pełniących funkcję inspektora równocześnie w kilkudziesięciu różnych podmiotach. Praktyka taka będzie bowiem nie do pogodzenia z bardzo konkretnymi wymaganiami określonymi w przepisach oraz z nowym, dużo bardziej odpowiedzialnym podejściem do ochrony danych osobowych – ocenia Monika Młotkiewicz.
– Mam nadzieję, że administratorzy danych, widząc, że jeden IOD został już powołany przez wiele innych podmiotów, będą mieć poważne wątpliwości, czy będzie on w stanie prawidłowo wykonywać obowiązki na ich rzecz – dodaje.
8102 zgłoszenia o powołaniu ABI wpłynęło w 2016 r. do GIODO
26139 różnych podmiotów powołało ABI, potwierdzając to wpisem do rejestru
140 podmiotów obsługuje jeden ABI, mający dziś najwięcej klientów w Polsce