Powołanie inspektora ochrony danych (IOD)

RODO stanowi, że administrator i podmiot przetwarzający będą obowiązkowo wyznaczać inspektora ochrony danych, zawsze gdy:

• przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
   
• główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
   
• główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Zasady powoływania inspektorów ochrony danych uszczegóławia projekt polskiej ustawy o ochronie danych osobowych, który stanowi, że przez organy i podmioty publiczne należy rozumieć:

• jednostki sektora finansów publicznych, o których mowa w art. 9 ustawy o finansach publicznych (patrz ramka),
   
• instytuty badawcze, o których mowa w ustawie o instytutach badawczych (Dz. U. z 2017 r. poz. 1158 oraz 1452 i 2201),
   
• Narodowy Bank Polski.

Powołanie inspektora ochrony danych

Projekt polskiej ustawy stanowi, że podmiot, który wyznaczy inspektora będzie miał obowiązek zawiadomić Prezesa Urzędu Ochrony danych Osobowych o jego wyznaczeniu, w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora. W przypadku wyznaczenia jednego inspektora przez organy lub podmioty publiczne albo przez grupę przedsiębiorstw każdy z tych podmiotów będzie dokonywał zawiadomienia. Zawiadomienie będzie sporządzane w postaci elektronicznej i opatrywane kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.

Według projektu nowej ustawy o ochronie danych osobowych, jeżeli w instytucji obecnie powołany jest administrator bezpieczeństwa informacji (ABI), będzie on pełnił funkcję inspektora ochrony danych do dnia 1 września 2018 r. Do tego czasu administrator danych będzie miał obowiązek powiadomić Prezesa Urzędu Ochrony Danych, który zastąpi GIODO, o tym, czy osoba ta nadal będzie pełnić tę funkcję, czy też zastąpi ją inna.

Kto może zostać inspektorem?

Wymogi stawiane inspektorom ochrony danych przez przepisy ogólnego rozporządzenia są podobne do tych stawianych obecnie ABI. Aktualnie obowiązująca ustawa o ochronie danych osobowych wskazuje, że osoba powoływana na stanowisko ABI powinna posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych. Ogólne rozporządzenie w art. 37 ust. 5 stanowi, że inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania nałożonych na niego zadań. GIODO w ABI-informatorze, znajdującym się na stronie https://abi.giodo.gov.pl, informuje, że: "Wymagany od inspektora poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale zgodnie z Wytycznymi dotyczącymi inspektorów ochrony danych musi być on współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Wyższy poziom wiedzy powinien być wymagany, np. w przypadku wyjątkowo skomplikowanych procesów przetwarzania, przetwarzania dużej ilości danych szczególnych kategorii, czy też podmiotów regularnie przekazujących dane do państw trzecich. Inspektor ochrony danych powinien mieć odpowiednią wiedzę z zakresu krajowych, europejskich oraz sektorowych przepisów i praktyk w zakresie ochrony danych osobowych, a także dogłębną znajomość RODO".

Obecnie GIODO zachęca wszystkie instytucje i działających w ich strukturach administratorów bezpieczeństwa informacji do dokonania przeglądu schematów pozyskiwania danych osobowych, tj. na jakich podstawach prawnych są pozyskiwane i w jakich celach oraz jaki jest zakres gromadzonych danych, tak by być gotowym na wejście w życie nowych przepisów.

Podmiot, który wyznaczy inspektora, będzie udostępniał jego dane, niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności.