Sprawdź, czym będą różniły się obowiązki i odpowiedzialność ABI i IOD

Przetwarzający dane osobowe (np. spółka, osoba fizyczna, spółdzielnia) jest administratorem danych osobowych (ADO). Obecnie ADO może wykonywać swoje obowiązki w zakresie przetwarzania danych osobowych z pomocą ABI, a po 25 maja 2018 r. – z pomocą inspektora ochrony danych. Wyznaczenie inspektora ochrony danych będzie jednak obowiązkowe, gdy:

• przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
• główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
• główna działalność administratora polega na przetwarzaniu na dużą skalę danych osobowych wrażliwych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Czyli generalnie, o ile administrator bezpieczeństwa informacji mógł, ale nie musiał być powołany (a wówczas musiał być zgłoszony do GIODO), o tyle w przypadku nowego inspektora ochrony danych jego wyznaczenie jest obowiązkowe w zasadzie zawsze, gdy wskazuje na to: kategoria przetwarzanych danych, cel przetwarzania danych na dużą skalę albo gdy mówimy o jednostce publicznej.

Na stronie Ministerstwa Cyfryzacji można zapoznać się z udostępnionym przez resort projektem nowej ustawy o ochronie danych osobowych. Ma ona za zadanie dostosować polskie prawo do treści rodo. W art. 61 znajduje się zapis, zgodnie z którym osoby wykonujące 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji pełnią funkcję inspektora ochrony danych do 1 września 2018 r. (a więc nieco ponad 3 miesiące). W tym terminie administrator danych osobowych lub podmiot przetwarzający mają obowiązek zawiadomić Prezesa Urzędu Ochrony Danych Osobowych (zastąpi obecnego Generalnego Inspektora Ochrony Danych Osobowych):

• o wyznaczeniu inspektora ochrony danych osobowych albo
• że administrator bezpieczeństwa informacji nie pełni funkcji inspektora ochrony danych.

Zawiadomienie będzie mogło być przesłane także w formie elektronicznej. Należy jednak pamiętać, że jest to jedynie projekt ustawy, a jej ostateczna treść może ulec daleko idącym zmianom.

Główne zadanie obecnego administratora bezpieczeństwa informacji to zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

• sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
• nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych,
• zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Ponadto ABI prowadzi rejestr zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, z obowiązku rejestracji których zwolnieni są administratorzy danych. Rejestr powinien zawierać nazwę zbioru oraz inne informacje (m.in. oznaczenie administratora danych czy podstawę prawną upoważniającą do prowadzenia zbioru).

Oczywiście w ramach określonych wyżej obowiązków mieście się wiele czynności bardziej szczegółowych. Będzie to np. kontrola stanu wydanych upoważnień oraz ewidencji osób upoważnionych do przetwarzania danych osobowych zawartych w poszczególnych zbiorach czy prowadzenie szkoleń z zakresu ochrony danych osobowych dla pracowników administratora danych.

Inspektor ochrony danych powinien przede wszystkim zachować w tajemnicy informacje uzyskiwane w toku wykonywania swoich zadań. A do zadań tych należą:

• informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,
• monitorowanie przestrzegania przepisów o ochronie danych oraz polityk administratora, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
• udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,
• współpraca z organem nadzorczym (zgodnie z projektem ustawy o ochronie danych osobowych w Polsce będzie to Prezes Urzędu Ochrony Danych Osobowych),
• pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych.

Podczas wykonywania swoich zadań inspektor ochrony danych powinien uwzględniać ryzyko związane z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. Jeżeli w danej organizacji zostały przyjęte tzw. wiążące reguły korporacyjne, to powinny one zawierać wskazane zadania inspektora.

Podobnie jak to ma miejsce dziś w odniesieniu do ABI, także inspektor ochrony danych może wykonywać inne zadania i obowiązki. O ile jednak w przypadku ABI nie mogły one naruszać prawidłowego wykonywania podstawowych zadań ABI, o tyle w przypadku inspektora ochrony danych osobowych administrator lub podmiot przetwarzający mają obowiązek zapewnić, by takie zadania i obowiązki nie powodowały konfliktu interesów.

Ustawa o ochronie danych osobowych nie zawiera przepisów dotyczących bezpośrednio odpowiedzialności administratora bezpieczeństwa informacji. Dlatego, jeżeli ABI nie będzie prawidłowo wypełniał swoich obowiązków, poniesie odpowiedzialność na podstawie umowy łączącej go z ADO, a w pewnych przypadkach może dojść do odpowiedzialności dyscyplinarnej. Podobnie sprawy będą się miały z odpowiedzialnością inspektora ochrony danych, więc używany w dalszej części termin ABI obejmuje także inspektora ochrony danych.

Odpowiedzialność umowna będzie różna w zależności od tego, czy ABI został zatrudniony na podstawie umowy o pracę czy też umowy cywilnoprawnej. W przypadku umowy o pracę ADO może:

• żądać od ABI naprawienia szkody wyrządzonej przez pracownika,
• żądać od ABI odszkodowania za wyrządzoną szkodę z tytułu niewykonania lub nienależytego wykonania obowiązków pracowniczych w wysokości wyrządzonej szkody, ale jeżeli pracownik wyrządził szkodę nieumyślnie to nie więcej niż trzymiesięczne wynagrodzenie przysługujące pracownikowi w dniu wyrządzenia szkody,
• rozwiązać stosunek pracy.

Odpowiedzialność administratora bezpieczeństwa informacji ogranicza się przy tym wyłącznie do rzeczywistej szkody pracodawcy w ramach tzw. normalnych następstw działań lub zaniechań ABI. Pracodawca nie może się więc domagać od administratora bezpieczeństwa informacji zapłaty utraconych korzyści, a więc czegoś, co pracodawca utraci w przyszłości z powodu nienależytego wykonania obowiązków przez ABI.

Na przykład, jeżeli wskutek zaniedbań ABI doszło do wycieku danych osobowych klientów ADO, to administrator bezpieczeństwa informacji:

• odpowie za szkody wywołane koniecznością zadośćuczynienia klientom, których dane wyciekły,
• nie odpowie za szkody, jakie ADO poniesie wskutek tego, że jakaś część potencjalnych nowych klientów nie skorzysta z jego usług, po tym, jak dowie się o wycieku danych.

Zupełnie inaczej mogą zostać uregulowane zasady odpowiedzialności administratora bezpieczeństwa informacji w przypadku umowy cywilnoprawnej. Zasada swobody umów pozwala ADO i ABI ukształtować odpowiedzialność administratora bezpieczeństwa informacji w niemal dowolny sposób i na przykład:

• ograniczyć odpowiedzialność ABI wyłącznie do winy umyślnej,
• nałożyć na ABI kary umowne za poszczególne przypadki naruszenia jego obowiązków,
• wskazać, w jakich przypadkach odpowiedzialność ABI ma charakter odpowiedzialności gwarancyjnej, tj. nie jest uzależniona od winy ABI.

Katalog możliwych rozwiązań jest niemal nieograniczony, a strony mogą sięgać nawet po nietypowe, ale pasujące im w danych okolicznościach konstrukcje prawne. Można więc sobie wyobrazić ustanowienie na rzecz administratora danych zastawu na wierzytelnościach przysługujących ABI, zabezpieczającego ewentualne roszczenia ADO względem ABI.

W przypadku inspektora ochrony danych prawodawca unijny zwrócił szczególną uwagę na niezależność w jego działaniu. Administrator danych osobowych oraz podmiot przetwarzający mają więc obowiązek zapewnić, aby inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania swoich zadań.

Co więcej, ogólne rozporządzenie o ochronie danych wyraźnie zakazuje w art. 38 ust. 3 administratorowi danych i podmiotowi przetwarzającemu odwoływać lub karać inspektora ochrony danych za wypełnianie swoich zadań. Inspektor ochrony danych ma też bezpośrednio podlegać najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Tak uregulowana niezależność inspektora ochrony danych będzie determinowała także zasady jego odpowiedzialności przed ADO. W mojej ocenie inspektor ochrony danych będzie miał podstawy do ograniczenia albo nawet zwolnienia się z odpowiedzialności za takie swoje działania lub zaniechania, które były wynikiem bezpośredniej ingerencji administratora danych. Trudno bowiem ponosić odpowiedzialność, nie mając możliwości podejmowania decyzji.

W jeszcze gorszej sytuacji postawi się administrator danych, który w umowie z inspektorem ochrony danych przewidzi jakieś kompetencje opiniodawcze lub decyzyjne dla innej osoby niż inspektor. Przykładem takich postanowień może być:

• obowiązek inspektora ochrony danych uzgadniania swoich decyzji (wszystkich lub jakiegoś ich wycinka) z administratorem systemów informatycznych lub ADO,
• okresowa weryfikacja działań inspektora ochrony danych przez firmowego pełnomocnika ds. zgodności pod kątem celowości czy zasadności decyzji podejmowanych przez inspektora.

Ponadto administrator danych oraz podmiot przetwarzający muszą zapewnić, aby inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Jeżeli więc nawet inspektor ochrony danych podjął samodzielnie decyzję z zakresu ochrony danych osobowych, to jego odpowiedzialność może być ograniczona ze względu na to, iż nie udostępniono mu wszystkich istotnych informacji w sprawie.