Wszystkie podmioty z sektora publicznego muszą wyznaczyć inspektora ochrony danych

Ogólne rozporządzenie o ochronie danych (RODO) nakłada obowiązek wyznaczenia inspektora ochrony danych (IOD) na każdy organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (art. 37 ust. 1 pkt a RODO) – przypomina GIODO. RODO wprowadziło w tym zakresie istotną zmianę. Wyznaczenie IOD w podmiotach sektora publicznego nie będzie, jak dotąd uprawnieniem, lecz stanie się obowiązkiem wszystkich organów i podmiotów publicznych.

Jak wskazuje projekt nowej ustawy o ochronie danych osobowych (wersja z 3 marca 2018 r.), przez organy i podmioty publiczne zobowiązane do wyznaczenia IOD rozumiane będą organy oraz podmioty publiczne wskazane w art. 9 ustawy z 27 sierpnia 2009 r. o finansach publicznych, a także instytuty badawcze w rozumieniu ustawy z 30 kwietnia 2010 r. o instytutach badawczych. Jeśli przepis w takim brzmieniu zostanie uchwalony, to obowiązek wyznaczenia IOD, będą miały m.in.:

• organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały,
• jednostki samorządu terytorialnego oraz ich związki,
• samodzielne publiczne zakłady opieki zdrowotnej,
• uczelnie publiczne,
• inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego,
• instytuty badawcze w rozumieniu ustawy z 30 kwietnia 2010 r. o instytutach badawczych.

GIODO wskazuje, że taki przepis wyraźnie przesądzałby o obowiązku wyznaczenia IOD również przez sądy i trybunały, przy czym w ich przypadku – ze względu na ochronę niezawisłości sędziowskiej – z zakresu kompetencji IOD będą wyłączone operacje przetwarzania danych mieszczące się w czynnościach orzeczniczych (sprawowania wymiaru sprawiedliwości).

GIODO przypomina, że obowiązkiem kierownictwa podmiotu publicznego jest zapewnienie odpowiedniego wsparcia IOD. Zgodnie z art. 38 ust. 2 RODO administrator wspiera IOD w wypełnianiu przez niego zadań, zapewniając mu niezbędne do tego zasoby oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej. Ponadto do obowiązków administratorów należy zapewnienie, aby IOD:

• podlegał bezpośrednio najwyższemu kierownictwu podmiotu publicznego,
• miał zapewniony udział we wszystkich zagadnieniach związanych z ochroną danych osobowych,
• nie otrzymywał instrukcji dotyczących wykonywania zadań,
• nie został odwołany lub ukarany za wypełnianie przez niego jego zadań,
• nie otrzymywał innych zadań i obowiązków, jeśli mogłyby one spowodować konflikt interesów.

Aby zapewnić IOD niezależność, administrator lub podmiot przetwarzający powinni wprowadzić wewnętrzne regulacje gwarantujące IOD niezależność i skuteczność w wykonywaniu przez niego obowiązków i zadań. Odnosi się to zwłaszcza do podmiotów publicznych czy też podmiotów o złożonych strukturach, które będą musiały dostosować swoje regulaminy organizacyjne oraz statuty tak, aby ten cel osiągnąć – informuje GIODO.

W odniesieniu do zakazu nakładania na IOD dodatkowych zadań, mogących spowodować konflikt interesów, GIODO wskazuje, że w uodo było przyjęte zbliżone rozwiązanie. Zgodnie z art. 36a ust. 4 uodo administrator danych może powierzyć ABI inne zadania jedynie wówczas, gdy nie naruszy to prawidłowego wykonywania zadań ABI. Wymóg ten zobowiązuje administratora w każdej konkretnej sytuacji do starannego przeanalizowania, czy jakiekolwiek inne zadania funkcje, jakimi zamierzałby obarczyć ABI, nie utrudniłyby mu właściwego wykonywania jego ustawowych obowiązków. W tym zakresie muszą być brane pod uwagę takie czynniki jak np. ilość czasu potrzebnego na wykonywanie poszczególnych obowiązków, stopień skomplikowania i ważności zadań, rezerwa czasowa na nieplanowane zadania, ilość i rodzaj danych osobowych oraz procesów i systemów informatycznych służących do ich przetwarzania.

Zasadniczą rolą IOD będzie doradzanie i weryfikacja prawidłowości wykonywania obowiązków wynikających z przepisów prawa dotyczących przetwarzania danych osobowych. Rola ta nie oznacza przeniesienia na IOD odpowiedzialności za zgodne z prawem przetwarzanie danych osobowych, ponieważ nadal to administrator będzie ponosił pełną odpowiedzialność za zgodne z prawem przetwarzanie danych osobowych – podkreśla GIODO. Dlatego w interesie kierownictwa każdego podmiotu publicznego jest mieć niezależnego, właściwie usytuowanego w strukturze organizacyjnej, inspektora ochrony danych, który będzie mógł efektywnie realizować swoje obowiązki.