Prawo do właściwego i niezwłocznego włączania IOD (DPO) we wszystkie sprawy dotyczące ochrony danych osobowych w firmie, to jedno z nowych praw, które otrzyma Inspektor Ochrony Danych na podstawie unijnego rozporządzenia (GDPR/RODO). Jak to prawo będzie respektowane okaże się po 25 maja 2018 roku, a być może już w trakcie przygotowań do wdrożenia GDPR. Otwieramy tym zagadnieniem cykl artykułów poświęconych niezależności ABI/DPO.
Konstrukcja niezależności ABI jest doskonale znana na gruncie krajowym. Ustawa o ochronie danych osobowych wskazuje, że „administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań” (art. 36a ust. 8). Włączanie ABI we wszystkie sprawy dotyczące ochrony danych osobowych w obecnym stanie prawnym polega na zaangażowaniu go w sprawy dotyczące m.in.: wystąpienia incydentu godzącego w bezpieczeństwo przetwarzanych danych, szkoleń celem podnoszenia świadomości pracowników i współpracowników administratora danych, obsługi wniosków o udostępnienie danych osób, których dane są przetwarzane przez firmę, czy opiniowania umów powierzenia przetwarzania danych osobowych.
GDPR w motywie 97 wskazuje na gwarancję niezależności DPO. Zgodnie z jego dosłownym brzmieniem „inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny”.
Wymóg włączania DPO we wszystkie sprawy dotyczące ochrony danych osobowych został wskazany w art. 38 ust. 1 GDPR. Przy czym kluczowe są słowa „właściwie i niezwłocznie”. Tym samym wszelka zwłoka i wprowadzanie DPO w błąd lub zatajenie przed nim kluczowych kwestii związanych z planowanymi projektami, w których przetwarzane będą dane osobowe, nie powinno mieć miejsca. Nieterminowe bądź nierzetelne informowanie DPO może obniżyć standardy ochrony danych osobowych w organizacji i przyczynić się tym samym do większego prawdopodobieństwa wystąpienia incydentu zagrażającego bezpieczeństwu przetwarzanych danych. Wcześniejsze zaznajomienie się DPO w projekcie z kwestiami odnoszącymi się do ochrony danych osobowych pozwoli w sposób precyzyjny i dokładny ocenić problem i zaproponować rozwiązania, które nie będą nadmiernie zaburzały procesów funkcjonujących w organizacji.
Prawo do włączania DPO we wszystkie sprawy z zakresu ochrony danych osobowych powinno mieć szczególnie zastosowanie w kontekście nowych mechanizmów z jakimi przyjdzie się zmierzyć administratorowi danych/podmiotowi przetwarzającemu w najbliższym czasie.
Privacy by design
W kontekście „Privacy by design” funkcja DPO polega na uwzględnianiu w planowanym projekcie ochrony prywatności od samego początku tworzenia określonego produktu. Celem DPO jest uwzględnienie ochrony danych osobowych, która często w fazie projektowej produktów jest całkowicie ignorowana bądź też w sposób znaczący ograniczana. Inspektor Ochrony Danych powinien wskazywać, że prywatność powinna być uwzględniana w przypadku tworzenia nowych systemów informatycznych służących do przetwarzania danych osobowych, opracowywania różnorakich instrukcji, polityk czy dokumentów mogących znacząco oddziaływać na prawa osób, których dane dotyczą. Postępowanie DPO w tym zakresie powinno cechować się tym, że jest ono indywidualne i umożliwiające w każdym czasie modernizowanie rozwiązań do konkretnego stanu i potrzeb.
Ocena skutków przetwarzania danych osobowych – DPIA
Jeśli chodzi o DPIA to administrator danych/podmiot przetwarzający powinien zasięgnąć opinii DPO w następujących kwestiach:
- Czy wykonać DPIA?
- Jaką metodologię należy przyjąć przy dokonywaniu oceny skutków dla ochrony danych osobowych?
- Czy dokonać oceny skutków samodzielnie czy zlecić to zadanie „na zewnątrz”?
- Jakie zabezpieczenia (w tym środki techniczne i organizacyjne) należy wdrożyć w celu zminimalizowania ryzyka wystąpienia incydentów godzących w bezpieczeństwo przetwarzanych danych w przyszłości?
- Oceny czy DPIA została prawidłowo przeprowadzona.
- Wskazanie na wnioski w zakresie tego, jakie dalsze czynności należy podjąć w celu zapewnienia przetwarzania danych osobowych w sposób zgodny z GDPR[1].
Risk based approach
Art. 39 ust. 2 GDPR wskazuje, że “inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania”. W tym zakresie DPO powinien doradzać administratorowi danych/podmiotowi przetwarzającemu, które obszary działalności powinny podlegać wewnętrznemu lub zewnętrznemu audytowi ochrony danych, które szkoleniu z zakresu ochrony danych osobowych, a także, na które operacje przetwarzania poświęcić więcej środków technicznych i organizacyjnych.
Przeszkody jakie może napotkać Inspektor Ochrony Danych egzekwując nowe prawo
Problemy mogą dotyczyć dotyczą w głównej mierze przypadków:
- nieposiadania przez pracowników i współpracowników wiedzy o tym, czy dana kwestia związana jest z ochroną danych osobowych oraz czy określone informacje stanowią daną osobową. Jest to często konsekwencją braku szkoleń z zakresu ochrony danych osobowych podnoszących świadomość personelu w zakresie przetwarzanych danych.
- brak ustalonej procedury czy instrukcji dotyczącej formy i trybu konsultacji z ABI/DPO w przypadku realizacji kluczowego przedsięwzięcia firmy. Często w organizacjach zdarza się sytuacja, w której to pracownik nie wie kim jest ABI, jak się z nim skontaktować oraz w jakich kwestiach należy się do niego zwracać. ABI już teraz powinni zadbać o przejrzystość procesów i prawidłową komunikację na linii administrator danych – ABI/DPO, podmiot przetwarzający – ABI/DPO, pracownik/współpracownik – ABI/DPO.
- informowania ABI wyłącznie w przypadku wystąpienia incydentu zagrażającego bezpieczeństwu przetwarzanych danych. Prawo do właściwego i niezwłocznego włączania we wszystkie sprawy dotyczące ochrony danych osobowych powinno być standardowym postępowaniem w organizacji, a nie wyłącznie incydentalnym przypadkiem.
Pewnych kluczowych informacji udziela nam również Grupa Robocza art. 29. Zgodnie z jej wytycznymi[2] Inspektor Ochrony Danych powinien:
- brać czynny udział w spotkaniach przedstawicieli wyższego i średniego szczebla organizacji
- brać udział w podejmowaniu strategicznych decyzji dotyczących ochrony danych osobowych. Istotne przy tym jest to by niezbędne informacje odnośnie projektów zostały udostępnione DPO z odpowiednim wyprzedzeniem w celu możliwości zajęcia przez niego stosownego stanowiska.
- być informowany o zaistniałych naruszeniach oraz incydentach godzących w bezpieczeństwo przetwarzanych danych.
Prawo do właściwego i niezwłocznego włączania DPO we wszystkie sprawy dotyczące ochrony danych osobowych stanowi narzędzie umożliwiające DPO wykonywanie zadań w zakresie ciągłego informowania i systematycznego doradzania administratorowi danych/podmiotowi przetwarzającemu w celu przestrzegania przez nich obowiązków szczegółowo wskazanych w GDPR.
Niezależność DPO w kontekście prawa do właściwego i niezwłocznego włączania we wszystkie sprawy dotyczące ochrony danych osobowych powinno charakteryzować się tym, że administratorzy danych/podmioty przetwarzające powinni/powinny wprowadzić wewnętrzne zasady i procedury, które zapewnią faktyczny i realny dostęp DPO do wszystkich spraw związanych z ochroną danych osobowych. Precyzyjnie określony przepływ informacji dotyczących ochrony danych osobowych na linii administrator danych – DPO, pracownik – DPO, podmiot przetwarzający – DPO, organ nadzorczy – DPO zminimalizuje możliwość wystąpienia incydentu godzącego w bezpieczeństwo przetwarzanych danych w organizacji, który skutkować może zaburzeniem procesów przetwarzania danych osobowych i mieć tym samym negatywny wpływ na prywatność osób, których dane dotyczą. Podkreślenia wymaga również fakt, że brak realizacji wskazanego prawa DPO przez organizację skutkować może odpowiedzialnością administracyjną określoną w art. 83 ust. 4 GDPR/RODO, która jest zagrożona sankcją do 10 000 000 euro lub do 2% rocznego globalnego obrotu.
[1] Wytyczne Grupy Roboczej art. 29. dotyczące inspektorów ochrony danych osobowych przyjęte w dniu 13 grudnia 2016r.
[2] Tamże, s. 13.
Więcej artykułów o niezależności ABI /IOD: