Prawo do właściwego i niezwłocznego włączania IOD (DPO) we wszystkie sprawy dotyczące ochrony danych osobowych w firmie, to jedno z nowych praw, które otrzyma Inspektor Ochrony Danych na podstawie unijnego rozporządzenia (GDPR/RODO). Jak to prawo będzie respektowane okaże się po 25 maja 2018 roku, a być może już w trakcie przygotowań do wdrożenia GDPR.  Otwieramy tym zagadnieniem cykl artykułów poświęconych niezależności ABI/DPO.

Konstrukcja niezależności ABI jest doskonale znana na gruncie krajowym. Ustawa o ochronie danych osobowych wskazuje, że administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań” (art. 36a ust. 8). Włączanie ABI we wszystkie sprawy dotyczące ochrony danych osobowych w obecnym stanie prawnym polega na zaangażowaniu go w sprawy dotyczące m.in.: wystąpienia incydentu godzącego w bezpieczeństwo przetwarzanych danych, szkoleń celem podnoszenia świadomości pracowników i współpracowników administratora danych, obsługi wniosków o udostępnienie danych osób, których dane są przetwarzane przez firmę,  czy opiniowania umów powierzenia przetwarzania danych osobowych.

GDPR w motywie 97 wskazuje na gwarancję niezależności DPO. Zgodnie z jego dosłownym brzmieniem „inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny”.

Wymóg włączania DPO we wszystkie sprawy dotyczące ochrony danych osobowych został wskazany w art. 38 ust. 1 GDPR. Przy czym kluczowe są słowa „właściwie i niezwłocznie”. Tym samym wszelka zwłoka i wprowadzanie DPO w błąd lub zatajenie przed nim kluczowych kwestii związanych z planowanymi projektami, w których przetwarzane będą dane osobowe, nie powinno mieć miejsca. Nieterminowe bądź nierzetelne informowanie DPO może obniżyć standardy ochrony danych osobowych w organizacji i przyczynić się tym samym do większego prawdopodobieństwa wystąpienia incydentu zagrażającego bezpieczeństwu przetwarzanych danych. Wcześniejsze zaznajomienie się DPO w projekcie z kwestiami odnoszącymi się do ochrony danych osobowych pozwoli w sposób precyzyjny i dokładny ocenić problem i zaproponować rozwiązania, które nie będą nadmiernie zaburzały  procesów funkcjonujących w organizacji.

Prawo do włączania DPO we wszystkie sprawy z zakresu ochrony danych osobowych powinno mieć szczególnie zastosowanie w kontekście nowych mechanizmów z jakimi przyjdzie się zmierzyć administratorowi danych/podmiotowi przetwarzającemu w najbliższym czasie.

Privacy by design

W kontekście „Privacy by design” funkcja DPO polega na uwzględnianiu w planowanym projekcie ochrony prywatności od samego początku tworzenia określonego produktu. Celem DPO jest uwzględnienie ochrony danych osobowych, która często w fazie projektowej produktów jest całkowicie ignorowana bądź też w sposób znaczący ograniczana. Inspektor Ochrony Danych  powinien wskazywać, że prywatność powinna być uwzględniana w przypadku tworzenia nowych systemów informatycznych służących do przetwarzania danych osobowych, opracowywania różnorakich instrukcji, polityk czy dokumentów mogących znacząco oddziaływać na prawa osób, których dane dotyczą. Postępowanie DPO w tym zakresie powinno cechować się tym, że jest ono indywidualne i umożliwiające w każdym czasie modernizowanie rozwiązań do konkretnego stanu i potrzeb.

Ocena skutków przetwarzania danych osobowych – DPIA

Jeśli chodzi o DPIA to administrator danych/podmiot przetwarzający powinien zasięgnąć opinii DPO w następujących kwestiach:

  • Czy wykonać DPIA?
  • Jaką metodologię należy przyjąć przy dokonywaniu oceny skutków dla ochrony danych osobowych?
  • Czy dokonać oceny skutków samodzielnie czy zlecić to zadanie „na zewnątrz”?
  • Jakie zabezpieczenia (w tym środki techniczne i organizacyjne) należy wdrożyć w celu zminimalizowania ryzyka wystąpienia incydentów godzących w bezpieczeństwo przetwarzanych danych w przyszłości?
  • Oceny czy DPIA została prawidłowo przeprowadzona.
  • Wskazanie na wnioski w zakresie tego, jakie dalsze czynności należy podjąć w celu zapewnienia przetwarzania danych osobowych w sposób zgodny z GDPR[1].

Risk based approach

Art. 39 ust. 2 GDPR wskazuje, że “inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania”. W tym zakresie DPO powinien doradzać administratorowi danych/podmiotowi przetwarzającemu, które obszary działalności powinny podlegać wewnętrznemu lub zewnętrznemu audytowi ochrony danych, które szkoleniu z zakresu ochrony danych osobowych, a także, na które operacje przetwarzania poświęcić więcej środków technicznych i organizacyjnych.

Przeszkody  jakie może  napotkać Inspektor Ochrony Danych egzekwując nowe prawo

Problemy mogą dotyczyć dotyczą w głównej mierze przypadków:

  • nieposiadania przez pracowników i współpracowników wiedzy o tym, czy dana kwestia związana jest z ochroną danych osobowych oraz czy określone informacje stanowią daną osobową. Jest to często konsekwencją braku szkoleń z zakresu ochrony danych osobowych podnoszących świadomość personelu w zakresie przetwarzanych danych.
  • brak ustalonej procedury czy instrukcji dotyczącej formy i trybu konsultacji z ABI/DPO w przypadku realizacji kluczowego przedsięwzięcia firmy. Często w organizacjach zdarza się sytuacja, w której to pracownik nie wie kim jest ABI, jak się z nim skontaktować oraz w jakich kwestiach należy się do niego zwracać. ABI już teraz powinni zadbać o przejrzystość procesów i prawidłową komunikację na linii administrator danych – ABI/DPO, podmiot przetwarzający – ABI/DPO, pracownik/współpracownik – ABI/DPO.
  • informowania ABI wyłącznie w przypadku wystąpienia incydentu zagrażającego bezpieczeństwu przetwarzanych danych. Prawo do właściwego i niezwłocznego włączania we wszystkie sprawy dotyczące ochrony danych osobowych powinno być standardowym postępowaniem w organizacji, a nie wyłącznie incydentalnym przypadkiem.

Pewnych kluczowych informacji udziela nam również Grupa Robocza art. 29. Zgodnie z jej wytycznymi[2] Inspektor Ochrony Danych  powinien:

  • brać czynny udział w spotkaniach przedstawicieli wyższego i średniego szczebla organizacji
  • brać udział w podejmowaniu strategicznych decyzji dotyczących ochrony danych osobowych. Istotne przy tym jest to by niezbędne informacje odnośnie projektów zostały udostępnione DPO z odpowiednim wyprzedzeniem w celu możliwości zajęcia przez niego stosownego stanowiska.
  • być informowany o zaistniałych naruszeniach oraz incydentach godzących w bezpieczeństwo przetwarzanych danych.

Prawo do właściwego i niezwłocznego włączania DPO we wszystkie sprawy dotyczące ochrony danych osobowych stanowi narzędzie umożliwiające DPO wykonywanie zadań w zakresie ciągłego informowania i systematycznego doradzania administratorowi danych/podmiotowi przetwarzającemu w celu przestrzegania przez nich obowiązków szczegółowo wskazanych w GDPR.

Niezależność DPO w kontekście prawa do właściwego i niezwłocznego włączania we wszystkie sprawy dotyczące ochrony danych osobowych powinno charakteryzować się tym, że administratorzy danych/podmioty przetwarzające powinni/powinny wprowadzić wewnętrzne zasady i procedury, które zapewnią faktyczny i realny dostęp DPO do wszystkich spraw związanych z ochroną danych osobowych. Precyzyjnie określony przepływ informacji dotyczących ochrony danych osobowych na linii administrator danych – DPO, pracownik – DPO, podmiot przetwarzający – DPO, organ nadzorczy – DPO zminimalizuje możliwość wystąpienia incydentu godzącego w bezpieczeństwo przetwarzanych danych w organizacji, który skutkować może zaburzeniem procesów przetwarzania danych osobowych i mieć tym samym negatywny wpływ na prywatność osób, których dane dotyczą.  Podkreślenia wymaga również fakt, że brak realizacji wskazanego prawa DPO przez organizację skutkować może odpowiedzialnością administracyjną określoną w art. 83 ust. 4 GDPR/RODO, która jest zagrożona sankcją do 10 000 000 euro lub do 2% rocznego globalnego obrotu.

[1] Wytyczne Grupy Roboczej art. 29. dotyczące inspektorów ochrony danych osobowych przyjęte w dniu 13 grudnia 2016r.

[2] Tamże, s. 13.

Dowiedz się więcej o nowych zadaniach ABI jako IOD na warsztatach Omni Modo:

Warsztaty „Dziś Administrator Bezpieczeństwa Informacji (ABI), a jutro Inspektor Ochrony Danych (IOD)”

Więcej artykułów o niezależności ABI /IOD:

Niezależność Administratora Bezpieczeństwa Informacji (ABI) /Inspektora Ochrony Danych (IOD) –nowy cykl artykułów o gwarancji niezależności Inspektora Ochrony Danych

 

 

Related Post