Właśnie przyjęte rozporządzenie unijne w sprawie ochrony danych osobowych zmodyfikuje dotychczas funkcjonujące regulacje. To ADO będzie odpowiadał za to, żeby przetwarzane przez niego dane były odpowiednio chronione. Z pewnością pomoże mu w tym wykwalifikowany administrator bezpieczeństwa informacji, a właściwie inspektor ochrony danych.
Zakończyła się właśnie czteroletnia praca organów Unii Europejskiej nad nowym kształtem regulacji dotyczących ochrony danych osobowych. Zasadnicze znaczenie będzie miało tzw. ogólne rozporządzenie o ochronie danych osobowych.
Jest to rozporządzenie Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Rozporządzenie to nazywa się także angielskim skrótem GDPR.
Weszło w życie 20 dni po opublikowaniu w Dzienniku Urzędowym Unii Europejskiej, ale będzie bezpośrednio stosowane w państwach członkowskich dopiero 2 lata po publikowaniu, czyli od 25 maja 2018 r.
W rozporządzeniu próżno szukać określenia „administrator bezpieczeństwa informacji”. Zamiast tego w systemie ochrony danych osobowych pojawi się tzw. inspektor ochrony danych. Przejmie on prawa i obowiązki ABI.
Podobieństwo nazewnictwa do tego funkcjonującego w ramach ochrony informacji niejawnych nie jest przypadkowe, gdyż i sam system ochrony danych osobowych zacznie powoli przypominać rygorystyczną ochronę informacji niejawnych.
Jak wynika z preambuły rozporządzenia, w sektorze prywatnym przetwarzanie danych osobowych należy do administratora danych osobowych. Wykonuje swoje obowiązki z pomocą inspektora ochrony danych.
Bez względu na to, czy jest on pracownikiem administratora, czy też nie – powinien być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny od tego administratora.
Na szczeblu europejskim będzie istniała zaś Europejska Rada Ochrony Danych. W jej skład ma wchodzić, obok szefów organów naczelnych państw członkowskich (np. polskiego GIODO), także Europejski Inspektor Ochrony Danych.
Administrator danych osobowych ma obowiązek wyznaczyć inspektora ochrony danych, gdy:
Będzie można powołać jednego wspólnego inspektora ochrony danych dla:
Wyznaczenie inspektora powinno się odbyć na podstawie kwalifikacji zawodowych. Chodzi tu w szczególności o wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętność wypełnienia zadań inspektora.
Inspektor może zarówno być członkiem personelu administratora (tj. pracownikiem), jak i wykonywać zadania na podstawie umowy o świadczenie usług (np. umowy zlecenia).
O ile dotychczas administrator bezpieczeństwa informacji mógł, ale nie musiał być wyznaczony (a wówczas musiał być zgłoszony do GIODO), o tyle w przypadku nowego inspektora ochrony danych jego istnienie jest obowiązkowe w zasadzie zawsze, gdy wskazuje na to:
Na przykład: inspektora ochrony danych będzie musiała mieć każda taka gminna instytucja jak przedszkole czy zakład wodociągowy.
W pozostałych przypadkach wyznaczenie inspektora ochrony danych jest fakultatywne. Oczywiście zgłoszenie inspektora danych do organu nadzorczego jest obowiązkowe, więc tutaj zmiany de facto nie ma.
Jeżeli dane osobowe są zbierane bezpośrednio od osoby, której dotyczą, to administrator danych osobowych podczas ich pozyskiwania będzie zobowiązany podać jej m.in. dane kontaktowe inspektora ochrony danych.
Dane te powinny także znajdować się w rejestrze czynności przetwarzania danych osobowych, za który odpowiada administrator, jak również w rejestrze wszystkich kategorii czynności przetwarzania.
Ponadto istnieje także generalny obowiązek opublikowania danych kontaktowych administratora (art. 37 ust. 7 rozporządzenia).
Administrator ma wobec swojego inspektora ochrony danych pewne obowiązki. Powinien:
Administrator nie może odwołać ani ukarać inspektora za wykonywanie przez niego zadań, ale tylko tak długo, jak długo inspektor działa w granicach i na podstawie rozporządzenia. Inspektor powinien być usytuowany w strukturze firmy lub urzędu bezpośrednio pod zarządzającym tą jednostką.
Co więcej, administrator nie może także zabronić osobom, których dane dotyczą, kontaktu bezpośrednio z inspektorem we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących tym osobom. Nie ogranicza to jednak prawa administratora do zlecania inspektorowi także innych zadań i obowiązków, jeżeli tylko nie powodują konfliktu interesów.
Naturalnie inspektor powinien zachować w tajemnicy informacje uzyskiwane w toku wykonywania swoich zadań.
Do zadań inspektora ochrony danych należą:
1) informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia oraz innych przepisów o ochronie danych obowiązujących w Unii lub w państwach członkowskich i doradzanie im w tej sprawie,
2) monitorowanie przestrzegania przepisów o ochronie danych oraz polityk administratora, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
3) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,
4) współpraca z organem nadzorczym (chodzi o Generalnego Inspektora Ochrony Danych Osobowych),
5) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych.
Zadania te powinny być wypełniane z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
Zadania inspektora muszą być także określone w wiążących regułach korporacyjnych, jeżeli w danej organizacji zostaną przyjęte.
Europejski Inspektor Ochrony Danych to szczególny członek Europejskiej Rady Ochrony Danych, który generalnie nie będzie miał prawa głosu. Wyjątkiem są decyzje co do zasad i przepisów, które mają zastosowanie do instytucji, organów i jednostek organizacyjnych Unii i merytorycznie odpowiadają przepisom rozporządzenia. Sama Europejska Rada Ochrony Danych zajmuje się zaś przede wszystkim:
Europejska Rada Ochrony Danych będzie niejako najwyższym inspektorem danych osobowych w całej Unii Europejskiej. Z tego też powodu jej głównym celem stanie się monitorowanie stosowania zasad ochrony danych osobowych na terenie Unii tak, aby zapewnić ich jednolitość.
Odstępstwo jednego z organów naczelnych
Załóżmy, że duński odpowiednik polskiego GIODO, tzw. Datatilsynet, uznał, że pobieranie linii papilarnych w windach w celu ustalenia uprawnień do wjazdu na określone piętro jest zbyt dużą ingerencją w prywatność.
Datatilsynet stwierdził bowiem, że cel przetwarzania danych nie jest wystarczający do tego, aby pobierać linie papilarne automatycznie od wszystkich. Powinny być pobierane tylko od tych, którzy wcześniej wcisną przycisk piętra, do którego dostęp jest ograniczony.
Jeżeli inne organy naczelne państw członkowskich będą zdecydowanie odmiennego zdania, to Europejska Rada Danych Osobowych będzie mogła zmusić duński urząd do zmiany stanowiska.
Rozporządzenie przewiduje, że inspektor ochrony danych powinien zostać wyznaczony nie tylko u administratora danych osobowych, ale także w tzw. podmiocie przetwarzającym. Jest to w zasadzie obecny procesor z art. 31 ustawy o ochronie danych osobowych, a więc podmiot, któremu administrator danych osobowych powierzył ich przetwarzanie.
Jak wskazuje pkt 81 preambuły do rozporządzenia, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania.
Chodzi w szczególności o wiedzę fachową, wiarygodność i zasoby tych podmiotów.
W ocenie, czy dany podmiot przetwarzający zapewnia te gwarancje, będzie więc miało znaczenie, jaką fachowość prezentuje inspektor ochrony danych zaangażowany przez ten podmiot przetwarzający.
Naruszenie przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego podlega administracyjnej karze pieniężnej w wysokości do 10 mln euro, a w przypadku przedsiębiorstw nawet do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (jeżeli te 2% wynosi mniej niż 10 mln euro, to w dalszym ciągu można nałożyć na przedsiębiorstwo karę do 10 mln euro).
Bez wątpienia jednym z takich penalizowanych obowiązków administratora i podmiotu przetwarzającego jest ustanowienie inspektora ochrony danych.
Ustalając, czy kara w ogóle powinna być nałożona, a także jaki powinien być jej wymiar, organ powinien wziąć pod uwagę m.in.:
Rozporządzenie wchodzi w życie dopiero za dwa lata, czyli 25 maja 2018 r., a polski prawodawca będzie jeszcze musiał zmienić polską ustawę o ochronie danych osobowych oraz nawet 300 innych aktów. Mimo to administratorzy danych powinni już teraz patrzeć w przyszłość i podejmować pierwsze kroki związane z nowymi przepisami.
Zastosuj
W wieloletnich umowach o współpracę, w których kwestia danych osobowych jest poruszana (np. jedna ze stron powierza drugiej stronie przetwarzanie danych osobowych), warto obok administratora bezpieczeństwa informacji dopisywać np. taki zwrot: „lub inspektora ochrony danych”.
Jeżeli w regulacjach wewnętrznych spółki zamieszczane są odniesienia do administratora bezpieczeństwa informacji, dobrze rozważyć zdefiniowanie go jako także „inspektora ochrony danych” lub „wspólnego inspektora ochrony danych” – przez objęcie wszystkich tych „strażników danych” jedną definicją. Pozwoli to na prawidłowe przygotowanie terminologiczne aktów wewnętrznych.
Wreszcie już teraz, jeżeli nie uczyniono tego do tej pory, można upublicznić dane kontaktowe obecnego administratora bezpieczeństwa informacji przez podanie ich na stronie organizacji oraz informować o tych danych w klauzulach informacyjnych.
Nie bez znaczenia może być także zwiększenie popytu na usługi obecnych administratorów bezpieczeństwa informacji. Nie można przecież całkowicie wykluczyć niedostatku wykwalifikowanych inspektorów ochrony danych w początkowym okresie obowiązywania nowych regulacji, skoro tak drastycznie zwiększy się zakres administratorów danych zobowiązanych do zatrudnienia inspektora ochrony danych.
Z tego powodu warto rozważyć zatrudnienie lub rozpoczęcie szkolenia osoby, która obejmie obowiązki ABI, a w przyszłości inspektora ochrony danych.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
