Polskie przepisy dają administracji publicznej dodatkowe dwa miesiące na wyznaczenie inspektorów ochrony danych. Problem w tym, że jest to niezgodne z RODO.
Zgodnie z unijnym rozporządzeniem o ochronie danych osobowych 2016/679 (RODO) każdy podmiot administracji publicznej musi wyznaczyć inspektora ochrony danych (IOD). Dotyczy to zarówno urzędów, jak i szkół publicznych czy bibliotek. Jeśli powołały one wcześniej administratorów bezpieczeństwa informacji (ABI), to w okresie przejściowym stają się oni automatycznie IOD. Podmioty publiczne, które dotychczas nie miały ABI, muszą wyznaczyć IOD do 31 lipca 2018 r. Tak wynika z przepisów przejściowych ustawy o ochronie danych osobowych, która czeka już tylko na podpis prezydenta.
/>
Problem w tym, że jest to niezgodne z RODO.
– Sprzeczność polskich przepisów z RODO jest oczywista. Unijne rozporządzenie nie przewiduje żadnego okresu przejściowego i ci administratorzy, którzy mają taki obowiązek, powinni już 25 maja mieć wyznaczonych inspektorów ochrony danych – zauważa dr Grzegorz Sibiga, adwokat w kancelarii Traple Konarski Podrecki i Wspólnicy i kierownik Zakładu Prawa Administracyjnego w Instytucie Nauk Prawnych PAN.
– Trudno przewidzieć, jak do tego podejdzie prezes Urzędu Ochrony Danych Osobowych i czy uzna prymat prawa unijnego. Osobiście uważam, że kary nie powinny być nakładane, gdyż mamy do czynienia z błędem polskiego ustawodawcy, za który administratorzy nie powinni być karani – dodaje.
RODO przewiduje za brak wyznaczenia IOD sankcje nawet do 10 mln euro. W Polsce tak wysokie kary będą mogły być wymierzane jedynie przedsiębiorcom (część z nich, np. prywatne szpitale, także jest zobowiązana do powoływania IOD). W przypadku administracji publicznej maksymalne kary finansowe wyniosą 100 tys. zł.
Kilkadziesiąt tysięcy
Jak wynika z danych z końca 2017 r. ABI powołało ok. 22 tys. podmiotów, z czego część stanowiły prywatne firmy. Tymczasem według szacunków Ministerstwa Cyfryzacji IOD musi wyznaczyć ok. 77 tys. podmiotów publicznych. Część z nich bez wątpienia skorzysta z wydłużonego okresu, jaki przewiduje ustawa o ochronie danych osobowych.
Czy muszą liczyć się z karami? Zapytaliśmy o to genelnego inspektora ochrony danych osobowych, ale nie otrzymaliśmy odpowiedzi.
Artykuł 158 ust. 1 nowej ustawy o ochronie danych osobowych stanowi, że osoby pełniące funkcję ABI 24 maja 2018 r. automatycznie stają się IOD. Jeśli jednak jeszcze dzisiaj (czyli do 23 maja) administrator prześle do generalnego inspektora ochrony danych osobowym zgłoszenie o odwołaniu ABI, to nie będzie musiał wyznaczać IOD przez ponad dwa miesiące.
– Część administratorów może chcieć skorzystać z tej szansy, by po prostu dać sobie więcej czasu. Nie chodzi bowiem o samo wyznaczenie inspektora, ale i jego usytuowanie w strukturze organizacyjnej czy nawet wyodrębnienie dla niego budżetu – zauważa dr Grzegorz Sibiga.
– Osobiście odradzałbym takie działanie, gdyż właśnie w tym pierwszym okresie stosowania RODO rola inspektorów będzie nie do przecenienia. Tym bardziej można się dziwić, dlaczego ustawodawca zdecydował się na przesunięcie terminu ich wyznaczania – podkreśla prawnik.
Niestety nie udało nam się wczoraj uzyskać informacji, dlaczego Ministerstwo Cyfryzacji zdecydowało się na wprowadzenie okresu przejściowego, w którym administracja publiczna nie musi mieć IOD. W uzasadnieniu projektu ustawy również nie zostało to wyjaśnione.
Punkt kontaktowy
IOD będzie miał przede wszystkim za zadanie dbać o bezpieczeństwo danych osobowych. Czekają go jednak także nowe obowiązki.
– Z pewnością wyzwaniem dla dotychczasowych ABI z sektora publicznego będzie pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą. Będą one mogły kontaktować się z inspektorem ochrony danych we wszelkich sprawach związanych z przetwarzaniem tych zasobów. Tu może pojawić się ryzyko spowolnienia działań inspektora, który poza tym zadaniem będzie miał przecież wiele innych obowiązków – zauważa Katarzyna Witkowska-Nowakowska z Kancelarii Radców Prawnych Lubasz i Wspólnicy.
Jeśli podmioty publiczne 24 maja będą miały wyznaczonych ABI, to zaczną oni automatycznie pełnić funkcję IOD do 1 września. Do tego czasu administratorzy muszą przesłać zgłoszenie o ich ponownym wyznaczeniu. W przeciwnym razie po 1 września nie będą mieć IOD. Oczywiście w każdym momencie mogą powołać innego inspektora. Jego wyznaczenie należy zgłosić prezesowi Urzędu Ochrony Danych Osobowych, który w dniu wejścia w życie nowej ustawy zastąpi generalnego inspektora ochrony danych osobowych.