Sprawy RODO w rękach tych co mają wiedzę
2018-10-19
Inspektor ochrony danych nie może otrzymywać wiążących instrukcji co do swoich zadań i nie może z powodu ich wykonywania być odwołany lub ukarany przez przedsiębiorcę.
Pomimo upływu blisko pół roku od wejścia w życie nowych przepisów chroniących dane osobowe, wielu przedsiębiorców nadal ma wątpliwości dotyczące powołania inspektora ochrony danych.
Kto to taki
Inspektor ochrony danych (Data Protection Officer, DPO) ma za zadanie zapewnienie zgodności procesów przetwarzania danych osobowych z przepisami prawa. Rozporządzanie Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”), określa, że do zadań DPO należy:
– stworzenie i wdrożenie odpowiednich polityk i procedur ochrony danych,
– wsparcie bieżącej implementacji przepisów, określenie zasad przetwarzania danych,
– realizacja praw osób, których dane są przetwarzane,
– realizacja zasad privacy by default i privacy by design,
– współpraca przy przeprowadzeniu analizy skutków dla ochrony danych i monitorowanie jej wykonania,
– prowadzenie wymaganych rejestrów i ewidencji,
– reagowanie na ewentualne incydenty i naruszenia ochrony danych osobowych.
Inspektor ochrony danych informuje administratora, podmioty przetwarzające oraz pracowników o ich obowiązkach wynikających z przepisów prawa, doradza w tym zakresie oraz prowadzi cykliczne szkolenia. To on monitoruje przestrzeganie zasad i reguł rządzących ochroną danych osobowych w przedsiębiorstwie oraz czuwa nad aktualnością i efektywnością obowiązujących polityk i procedur. Dodatkowo, pełni funkcję punktu kontaktowego zarówno dla prezesa Urzędu Ochrony Danych Osobowych, jak i osób, których dane są przetwarzane. DPO może wykonywać także inne zadania i obowiązki pod warunkiem, że nie powodują one konfliktu interesów i pozwalają na należytą realizację obowiązków wynikających z pełnienia tej funkcji w danym przedsiębiorstwie.
Obowiązki firm
Artykuł 37 RODO mówi, że powołanie inspektora ochrony danych jest obowiązkowe, jeżeli:
– przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
– główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
– główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
RODO nie definiuje pojęcia „organu lub podmiotu publicznego”, pozostawiając stosowne regulacje prawu państw członkowskich. Zakres tego pojęcia nie ogranicza się jednak do organów władzy krajowej i regionalnej, ale może także obejmować podmioty prywatne wykonujące zadania publiczne.
Jeżeli chodzi o dwie ostatnie grupy podmiotów zobowiązanych do powołania DPO, wyjaśnienia wymaga pojęcie głównej działalności przedsiębiorcy. Zgodnie z motywem 97 RODO oznacza ona działalność kluczową z punktu widzenia osiągnięcia celów prowadzenia przedsiębiorstwa, związaną z głównym profilem funkcjonowania firmy. Jeżeli z efektywnym wykonywaniem zadań w ramach danego profilu działalności wiąże się nierozerwalnie przetwarzanie danych osobowych, to będzie odbywało się ono w ramach głównej działalności. Jako przykład wymienia się tu działalność szpitali, których podstawowe zadanie to świadczenie opieki medycznej. Działalności tej nie da się jednak wykonywać bez przetwarzania danych osobowych. W takiej sytuacji główną działalnością takiego przedsiębiorstwa medycznego będzie więc w tym kontekście przetwarzanie danych osobowych.
Pojęciem, które w tym zakresie może budzić wątpliwości, jest także „duża skala przetwarzania”. RODO nie definiuje wprost tego pojęcia, w motywie 91 RODO znaleźć można jednak pewne wskazówki interpretacyjne. Należy uwzględnić liczbę osób, których dane są przetwarzane, zakres przedmiotowy i geograficzny tych danych oraz okres ich przetwarzania. Wśród przykładów przetwarzania danych na dużą skalę wymienia się: szpitale, zarządy komunikacji miejskiej w ramach sprzedaży biletów, banki, ubezpieczycieli, dostawców usług telefonicznych, internetowych, czy agencje marketingowe dla celów reklamy behawioralnej realizowanej przez wyszukiwarki. Zakres tych podmiotów nie jest oczywiście zamknięty, ale powyższe przykłady mogą stanowić cenną wskazówkę dla oceny czy dany przedsiębiorca przetwarza dane na dużą skalę.
Z kolei pojęcie regularnego i systematycznego monitorowania obejmuje nie tylko różnorakie formy śledzenia i profilowania w ramach Internetu. Zawiera w sobie bowiem także m.in. świadczenie usług telekomunikacyjnych, profilowanie i ocenę ryzyka (w tym np. dla celów analizy zdolności kredytowej czy wysokości składek ubezpieczeniowych), śledzenie lokalizacji, programy lojalnościowe, reklamę behawioralną czy monitoring wizyjny. Z regularnym monitorowaniem mamy więc do czynienia zawsze, jeżeli jest stałe lub chociażby cykliczne i powtarzające się oraz jest zaaranżowane, zorganizowane lub metodyczne i wykonywane w ramach określonej strategii czy planu zbierania danych.
Każdy przedsiębiorca zobowiązany jest do przeprowadzenia analizy zasadności i konieczności wyznaczenia DPO. Grupa Robocza art. 29 RODO zaleca powołanie takiego podmiotu w każdej organizacji. Instytucja ta zapewnia kompleksową ochronę danych osobowych w organizacji, gwarantuje wypełnienie obowiązku rozliczalności przetwarzania danych i odpowiedni poziom wiedzy merytorycznej pozwalającej na spełnienie wymogów wynikających z przepisów prawa.
Kto na inspektora
Zgodnie z art. 37 ust. 5 oraz motywu 97 RODO, kandydat na IOD musi posiadać odpowiednie kwalifikacje zawodowe i wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych. Musi posiadać merytoryczne przygotowanie do wypełniania zadań, odpowiednie do charakterystycznych dla organizacji operacji przetwarzania danych, stopnia ich skomplikowania i ryzyk z tym związanych. Wytyczne wydane przez unijną Grupę Roboczą art. 29 RODO wskazują dodatkowo, że DPO powinien uczestniczyć w regularnych szkoleniach, poszerzając i uaktualniając swoją wiedzę dotyczącą krajowych i europejskich zasad przetwarzania danych oraz posiadać wiedzę biznesową i sektorową dotyczącą branży, w której działa administrator. Musi cechować się ponadto rzetelnym podejściem do obowiązków oraz wysokim poziomem etyki zawodowej.
Wypełniając swoje zadania, IOD powinien mieć na uwadze charakter, zakres, kontekst i cele przetwarzania danych. Nacisk, jaki kładzie na ten aspekt prawodawca unijny powodują, że do pełnienia tej roli mogą zostać wyznaczone jedynie osoby posiadające odpowiednie zasoby wiedzy i czasu. Pełnienie funkcji DPO w organizacji może wymagać bowiem dużego zaangażowania i umiejętności pracy pod presją czasu.
Status inspektora
Zgodnie z art. 38 ust. 1 RODO, przedsiębiorca ma obowiązek zapewnienia, by DPO był niezwłocznie włączany we wszystkie sprawy związane z ochroną danych osobowych. Musi być więc regularnie informowany o strategiach dotyczących wdrożenia nowych rozwiązań, produktów i usług, zmianach w zakresie organizacji firmy i innych istotnych działaniach, przy których dokonywane będą operacje na danych osobowych. IOD musi obowiązkowo uczestniczyć w ocenie skutków dla ochrony danych w fazie projektowania wszelkich zmian w firmie.
Przepisy nakładają na przedsiębiorcę obowiązek wspierania inspektora w wypełnianiu jego zadań oraz zapewnienia mu niezbędnych zasobów dla ich realizacji. Obejmuje to zarówno aspekt materialny, jak i umożliwienie doskonalenia zawodowego i zdobywania wiedzy. DPO powinien mieć ponadto dostęp do wszelkich operacji związanych z danymi osobowymi. W tym ostatnim zakresie uprawnienie to równoważone jest przez nałożony na każdego IOD obowiązek zachowania tajemnicy i poufności, co do wykonywanych zadań. Przedsiębiorca ma także obowiązek zapewnienia odpowiedniego poziomu niezależności w realizowaniu tych zadań. Inspektor ochrony danych nie może otrzymywać wiążących instrukcji dotyczących wykonywanych zadań. Nie może być także odwołany lub ukarany przez przedsiębiorcę za wypełnianie obowiązków. W strukturze organizacyjnej powinien odpowiadać bezpośrednio najwyższemu kierownictwu.
Możliwy jest outsourcing
Funkcję inspektora ochrony danych może pełnić nie tylko wyznaczony pracownik organizacji, ale także podmiot zewnętrzny. RODO dopuszcza możliwość sprawowania tego stanowiska na podstawie umowy o świadczenie usług. W tym przypadku niezbędne jest jednak zapewnienie, by każdy członek podmiotu sprawującego funkcję DPO spełniał wymogi wskazane w sekcji 4 RODO. Musi więc unikać konfliktu interesów i być objęty ochroną przewidzianą w przepisach, zapewniającą brak nieuzasadnionego rozwiązania umowy o świadczenie usług czy zwolnienia osoby pełniącej funkcję w ramach podmiotu zewnętrznego. Ma to na celu zapewnienie niezależności i swobody inspektora oraz zachowania ciągłości świadczenia usług.
Jak wskazano w wytycznych Grupy Roboczej art. 29 RODO, dzięki zewnętrznemu outsourcingowi na rzecz podmiotu wyspecjalizowanego w ochronie danych osobowych, możliwe jest skorzystanie tu z pracy zespołowej, łączącej indywidualne umiejętności w zakresie prawa, zarządzania czy wiedzy teleinformatycznej. Pozwala to na zapewnienie wysokiego poziomu merytorycznego świadczonych usług. W przypadku pełnienia funkcji DPO przez firmę zewnętrzną, konieczny jest wyraźny podział obowiązków w ramach zespołu i wyznaczenie jednej wiodącej osoby kontaktowej odpowiedzialnej za danego klienta.
To, czy w danej organizacji rozwiązaniem korzystniejszym będzie wyznaczenie IOD spośród pracowników przedsiębiorstwa, czy też skorzystanie z usług podmiotu zewnętrznego, zależne będzie od specyfiki danej organizacji. Jeżeli przedsiębiorca zatrudnia osobę posiadającą wystarczające przygotowanie merytoryczne, chęć pełnienia tej roli i odpowiednie zasoby czasu do wykonywania nowych obowiązków, warto skorzystać z wiedzy i zaangażowania takiego pracownika. Jeżeli jednak w przedsiębiorstwie nie ma takiej osoby lub przedsiębiorca obawia się o zapewnienie ciągłości działania DPO w przypadku odejścia pracownika, współpraca z podmiotem zewnętrznym może być rozwiązaniem korzystnym.
Decyzja o powołaniu wewnętrznego lub zewnętrznego RODO powinna być także zależna od profilu, wielkości i specyfiki przedsiębiorstwa. Inaczej bowiem wygląda zakres faktycznych obowiązków inspektora ochrony danych w niewielkiej firmie, współpracującej z kilkoma innymi przedsiębiorcami, inaczej w przypadku masowego świadczenia usług na rzecz konsumentów przez dużą korporację. Decyzja powinna być przemyślana i poprzedzona analizą potrzeb i ryzyk związanych z operacjami przetwarzania danych oraz posiadanymi zasobami.
Zdaniem autora:
Pełnienie funkcji inspektora ochrony danych w organizacji wymaga spełniania przez daną osobę określonych kwalifikacji zawodowych. Obejmują one nie tylko odpowiedni poziom doświadczenia i wiedzy z zakresu prawa ochrony danych osobowych, ale także kwalifikacji osobistych, pozwalających na zachowanie niezależności i efektywnego wykonywania obowiązków.
Z punktu widzenia przedsiębiorców, powołanie IOD może być dobrym rozwiązaniem pozwalającym na zapewnienie rozliczalności przetwarzania danych osobowych oraz należytego zabezpieczenia ich przetwarzania. Nawet jeżeli przepisy RODO nie nakładają obowiązku wyznaczenia DPO, rozwiązanie to może zagwarantować wysoki standard ochrony danych i minimalizować ryzyka związane z naruszeniem przepisów, mogące skutkować obciążeniem przedsiębiorcy karami administracyjnymi czy odpowiedzialnością odszkodowawczą. W każdym przypadku przedsiębiorca powinien natomiast powołać na stanowisko inspektora ochrony danych osobę, która zapewni należyty poziom wiedzy merytorycznej i niezależności. Tylko wówczas bowiem spełnione zostaną wymogi wynikające z RODO.
Artykuł ukazał się w dzienniku „Rzeczpospolita” w dniu 19-10-2018r.