Inspektor ochrony danych osobowych w samorządach

AKTUALNOŚCI / TEMAT MIESIĄCA - SAS 2 / 2018

Większość samorządów rozpoczęła już przygotowania zmierzające do wprowadzenia w życie przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. L nr 119 z 04.05.2016 r., s.1 dalej jako RODO), które zacznie obowiązywać od 25 maja b.r. Nowa regulacja wprowadza nową filozofię z zakresie ochrony danych osobowych, zmuszając każdy podmiot (zarówno prywatny jak i publiczny) do weryfikacji posiadanych rozwiązań w tym zakresie.

Jednym z nowych zadań jakie stają przed jednostkami samorządu terytorialnego jest ustanowienie inspektora ochrony danych (Data Protection Officer, dalej jako DPO lub inspektor). Obowiązek wyznaczania inspektora istnieje, gdy przetwarzania dokonują organy lub podmioty publiczne, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. RODO nie przedstawia co prawda definicji pojęcia „organu lub podmiotu publicznego”, jednakże jak wskazują wytyczne Grupy Roboczej dotyczące inspektorów ochrony danych (WP 243), pojęcie to powinno zostać określone na poziomie przepisów krajowych. Projekt nowej ustawy o ochronie danych osobowych (z 8 lutego 2018 r. dostępny na stronie https://www.gov.pl/cyfryzacja, dalej jako p.u.o.d.o.), precyzuje, iż przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych, rozumie się organy oraz podmioty publiczne wskazane w art. 9 ustawy z 27 sierpnia 2009 r. o finansach publicznych (art. 7 p.u.o.d.o.). Zgodnie z powyższym, inspektor ochrony danych pojawi się m.in. w jednostkach samorządu terytorialnego oraz ich związkach, samorządowych zakładach budżetowych, samodzielnych publicznych zakładach opieki zdrowotnej, czy również samorządowych instytucjach kultury.
W jednostkach, w których 24 maja 2018 r. funkcjonować będzie administrator bezpieczeństwa informacji, stanie się on z mocy nowej ustawy inspektorem ochrony danych i pełnić będzie mógł swoją funkcję do dnia 1 września 2018 r., chyba że do tego dnia administrator zawiadomi prezesa urzędu o wyznaczeniu innej osoby na inspektora ochrony danych (art. 144 p.u.o.d.o.). Administrator bezpieczeństwa informacji, który stał się inspektorem ochrony danych, pełnić będzie swoją funkcję także po dniu 1 września 2018 r., jeżeli do tego dnia administrator złoży odpowiednie zawiadomienie do prezesa urzędu. Gdy administrator danych nie ma obowiązku wyznaczenia inspektora ochrony danych, na podstawie art. 37 RODO, może odwołać ABI, który stał się po 24 maja b.r. inspektorem ochrony danych, bez zawiadomienia prezesa urzędu o wyznaczeniu innej osoby na inspektora ochrony danych. Mając na uwadze, iż obecnie administrator bezpieczeństwa informacji nie jest obligatoryjny i nie zawsze w praktyce jst występuje, administrator, który do dnia wejścia w życie niniejszej ustawy nie powołał administratora bezpieczeństwa informacji, i który zgodnie z art. 37 RODO, ma obowiązek wyznaczenia inspektora ochrony danych, zobowiązany jest wyznaczyć inspektora ochrony danych oraz zawiadamia prezesa urzędu w terminie do dnia 31 lipca 2018 r. Ustawodawca zobligował administratora, który wyznaczył inspektora do zawiadomienia prezesa Urzędu Ochrony Danych Osobowych o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora. Te same dane należy niezwłocznie podać do publicznej wiadomości na swojej stronie internetowej po wyznaczaniu inspektora. Zawiadomienie o wyznaczeniu inspektora ochrony danych dokonywane będzie w drodze elektronicznej i winno zostać opatrzone kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Warto także zwrócić uwagę, że w przypadku wyznaczenia jednego inspektora dla kilku jednostek organizacyjnych w ramach danej jednostki samorządu terytorialnego, co jest dopuszczalne, należy uwzględnić struktury organizacyjne i wielkości danych jednostek w ten sposób, aby inspektor mógł prawidłowo wykonywać swoje liczne obowiązki (np. wyznaczenie jednego inspektora dla wszystkich szkół funkcjonujących w danej gminie), każdy z tych podmiotów dokonuje odrębnego zawiadomienia o ustanowieniu inspektora ochrony danych. Prezes urzędu prowadzić będzie wewnętrzną ewidencję zawiadomień, która w części dotyczącej imienia i nazwiska inspektora będzie podlegała udostępnieniu.


WPROWADZENIE INSTYTUCJI INSPEKTORA OCHRONY DANYCH OSOBOWYCH MA NA CELU MAKSYMALIZACJĘ POZIOMÓW BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Inspektorem powinna zostać osoba, która ma niezbędne kwalifikacje zawodowe, a w szczególności fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, jakie przewidziano. Wymagany poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Inspektor powinien posiadać odpowiednią wiedzę na temat operacji przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych. W przypadku organów i podmiotów publicznych inspektor powinien koniecznie posiadać również wiedzę w zakresie procedur administracyjnych i funkcjonowania danej jednostki. Inspektor ochrony danych może być wyznaczony spośród własnych pracowników jednostki lub zadania te może wykonywać podmiot zewnętrzny na podstawie umowy o świadczenie usług.
Administratorzy winni pamiętać, iż wyznaczenie inspektora ochrony danych nie zdejmuje z nich odpowiedzialności za brak właściwego realizowania obowiązków wynikających z RODO. Z rozporządzenia jasno wynika, że to administrator lub podmiot przetwarzający jest zobowiązany do zapewnienia i udowodnienia zgodności przetwarzania danych osobowych z przepisami prawa (artykuł 24(1)). Przetwarzanie danych zgodne z rozporządzeniem jest obowiązkiem administratora lub podmiotu przetwarzającego, a inspektor ma pomóc w realizowaniu tego zadania. Ustawodawca przewiduje, iż kary jakie można będzie nałożyć za nieprzestrzeganie RODO w przypadku jednostek samorządu terytorialnego mogą sięgnąć do 100 000 zł (art. 95 ust. 1 p.u.o.d.o.).

 

ZADANIA INSPEKTORA

Zadania inspektora danych osobowych zostały określone w art. 39 RODO, zgodnie z którym inspektor ma następujące zadania:

  • informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
  • monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
  • udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie ich wykonania;
  • pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;
  • współpraca z organem nadzorczym.


ADMINISTRATOR WSPIERA INSPEKTORA

Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. Administrator odpowiada za stworzenie niezbędnych warunków do wykonywania zadań inspektora. RODO wprost nakłada obowiązek wspierania inspektora ochrony danych w wypełnianiu przez niego zadań [...], zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej. Ustanawiając zatem inspektora ochrony danych należy zapewnić mu: wsparcie ze strony kadry kierowniczej, ustanowić wymiar czasu umożliwiający prawidłowe wykonywanie zadań (szczególnie ważne przy wykonywania zadań na rzez kilku podmiotów lub łączenia zadań inspektora z innymi zadaniami), zasadne może być wskazanie czasu, który należy poświęcić na obowiązki inspektora, czy też stworzenie planu jego pracy, odpowiednie wsparcie finansowe, infrastrukturalne (pomieszczenia, sprzęt, wyposażenie), należy także zakomunikować wszystkim pracownikom fakt wyznaczenia inspektora, tak aby wiedzieli o jego istnieniu oraz o pełnionych przez niego funkcjach, możliwości podnoszenia swoich kwalifikacji m.in. poprzez ciągłe szkolenie, udział w konferencjach tematycznych, warsztatach. Ważnym aspektem wykonywania zadań inspektora jest jego niezależność. Oznacza to, że w ramach wypełniania zadań inspektora nie może otrzymywać instrukcji dotyczących sposobu rozpoznania sprawy, środków jakie mają zostać podjęte czy celu jaki powinien zostać osiągnięty, a także faktu, czy należy skontaktować się z organem nadzorczym. Inspektor nie może również zostać zobligowany do przyjęcia określonego stanowiska w sprawie z zakresu prawa ochrony danych, np. określonej wykładni przepisów. Inspektor nie może być odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. inspektor może na podstawie RODO zostać zobligowany przez administratora do wykonywani innych zadań i obowiązków, jednakże zadania i obowiązki te nie mogą powodować konfliktu interesów. Wytyczne wskazują, iż zależnie od rodzaju działalności, rozmiaru i struktury organizacji, dobrą praktyką dla administratorów i podmiotów przetwarzających może być́ identyfikowanie stanowisk niekompatybilnych z funkcją inspektora, opracowanie wewnętrznych zasad uniemożliwiających łączenie stanowisk będących w konflikcie interesów. Inspektor nie może zajmować stanowiska pociągającego za sobą określenie sposobu i celów przetwarzania danych. Skoro art. 39 (1) RODO określa minimalną listę̨̨ zakresu obowiązków inspektora, to możliwe jest, aby administrator powierzył mu np. prowadzenie, w imieniu administratora, rejestru czynności przetwarzania danych. Administratorzy winni zatem zweryfikować zakres obowiązków, jakie nakłada na nich RODO i skonfrontować te obowiązki z zadaniami inspektorów ochrony danych, i podjąć ewentualną decyzję obligująca Inspektorów do wykonywania poszczególnych czynności administratora. Należy to zrobić niezwłocznie, gdyż data 25 maja 2018 r. zbliża się wielkimi krokami.

dr Marcin Adamczyk
Narodowy Instytutu Samorządu Terytorialnego
Wydział Prawa i Administracji UWM w Olsztynie

SPIS TREŚCI

Wydawca: SKIBNIEWSKI MEDIA, Warszawa