GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Inspektor Ochrony Danych (IOD) ma dostęp do wszystkich procesów biznesowych firmy – Niezależność ABI/DPO cz. 2

Prawo do właściwego i niezwłocznego włączania IOD (DPO) we wszystkie sprawy dotyczące ochrony danych osobowych w firmie, to jedno z nowych praw, które otrzyma Inspektor Ochrony Danych na podstawie unijnego rozporządzenia (GDPR/RODO). Jak to prawo będzie respektowane okaże się po 25 maja 2018 roku, a być może już w trakcie przygotowań do wdrożenia GDPR.  Otwieramy tym zagadnieniem cykl artykułów poświęconych niezależności ABI/DPO.

Konstrukcja niezależności ABI jest doskonale znana na gruncie krajowym. Ustawa o ochronie danych osobowych wskazuje, że administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań” (art. 36a ust. 8). Włączanie ABI we wszystkie sprawy dotyczące ochrony danych osobowych w obecnym stanie prawnym polega na zaangażowaniu go w sprawy dotyczące m.in.: wystąpienia incydentu godzącego w bezpieczeństwo przetwarzanych danych, szkoleń celem podnoszenia świadomości pracowników i współpracowników administratora danych, obsługi wniosków o udostępnienie danych osób, których dane są przetwarzane przez firmę,  czy opiniowania umów powierzenia przetwarzania danych osobowych.

GDPR w motywie 97 wskazuje na gwarancję niezależności DPO. Zgodnie z jego dosłownym brzmieniem „inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny”.

Wymóg włączania DPO we wszystkie sprawy dotyczące ochrony danych osobowych został wskazany w art. 38 ust. 1 GDPR. Przy czym kluczowe są słowa „właściwie i niezwłocznie”. Tym samym wszelka zwłoka i wprowadzanie DPO w błąd lub zatajenie przed nim kluczowych kwestii związanych z planowanymi projektami, w których przetwarzane będą dane osobowe, nie powinno mieć miejsca. Nieterminowe bądź nierzetelne informowanie DPO może obniżyć standardy ochrony danych osobowych w organizacji i przyczynić się tym samym do większego prawdopodobieństwa wystąpienia incydentu zagrażającego bezpieczeństwu przetwarzanych danych. Wcześniejsze zaznajomienie się DPO w projekcie z kwestiami odnoszącymi się do ochrony danych osobowych pozwoli w sposób precyzyjny i dokładny ocenić problem i zaproponować rozwiązania, które nie będą nadmiernie zaburzały  procesów funkcjonujących w organizacji.

Prawo do włączania DPO we wszystkie sprawy z zakresu ochrony danych osobowych powinno mieć szczególnie zastosowanie w kontekście nowych mechanizmów z jakimi przyjdzie się zmierzyć administratorowi danych/podmiotowi przetwarzającemu w najbliższym czasie.

Privacy by design

W kontekście „Privacy by design” funkcja DPO polega na uwzględnianiu w planowanym projekcie ochrony prywatności od samego początku tworzenia określonego produktu. Celem DPO jest uwzględnienie ochrony danych osobowych, która często w fazie projektowej produktów jest całkowicie ignorowana bądź też w sposób znaczący ograniczana. Inspektor Ochrony Danych  powinien wskazywać, że prywatność powinna być uwzględniana w przypadku tworzenia nowych systemów informatycznych służących do przetwarzania danych osobowych, opracowywania różnorakich instrukcji, polityk czy dokumentów mogących znacząco oddziaływać na prawa osób, których dane dotyczą. Postępowanie DPO w tym zakresie powinno cechować się tym, że jest ono indywidualne i umożliwiające w każdym czasie modernizowanie rozwiązań do konkretnego stanu i potrzeb.

Ocena skutków przetwarzania danych osobowych – DPIA

Jeśli chodzi o DPIA to administrator danych/podmiot przetwarzający powinien zasięgnąć opinii DPO w następujących kwestiach:

Risk based approach

Art. 39 ust. 2 GDPR wskazuje, że “inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania”. W tym zakresie DPO powinien doradzać administratorowi danych/podmiotowi przetwarzającemu, które obszary działalności powinny podlegać wewnętrznemu lub zewnętrznemu audytowi ochrony danych, które szkoleniu z zakresu ochrony danych osobowych, a także, na które operacje przetwarzania poświęcić więcej środków technicznych i organizacyjnych.

Przeszkody  jakie może  napotkać Inspektor Ochrony Danych egzekwując nowe prawo

Problemy mogą dotyczyć dotyczą w głównej mierze przypadków:

Pewnych kluczowych informacji udziela nam również Grupa Robocza art. 29. Zgodnie z jej wytycznymi[2] Inspektor Ochrony Danych  powinien:

Prawo do właściwego i niezwłocznego włączania DPO we wszystkie sprawy dotyczące ochrony danych osobowych stanowi narzędzie umożliwiające DPO wykonywanie zadań w zakresie ciągłego informowania i systematycznego doradzania administratorowi danych/podmiotowi przetwarzającemu w celu przestrzegania przez nich obowiązków szczegółowo wskazanych w GDPR.

Niezależność DPO w kontekście prawa do właściwego i niezwłocznego włączania we wszystkie sprawy dotyczące ochrony danych osobowych powinno charakteryzować się tym, że administratorzy danych/podmioty przetwarzające powinni/powinny wprowadzić wewnętrzne zasady i procedury, które zapewnią faktyczny i realny dostęp DPO do wszystkich spraw związanych z ochroną danych osobowych. Precyzyjnie określony przepływ informacji dotyczących ochrony danych osobowych na linii administrator danych – DPO, pracownik – DPO, podmiot przetwarzający – DPO, organ nadzorczy – DPO zminimalizuje możliwość wystąpienia incydentu godzącego w bezpieczeństwo przetwarzanych danych w organizacji, który skutkować może zaburzeniem procesów przetwarzania danych osobowych i mieć tym samym negatywny wpływ na prywatność osób, których dane dotyczą.  Podkreślenia wymaga również fakt, że brak realizacji wskazanego prawa DPO przez organizację skutkować może odpowiedzialnością administracyjną określoną w art. 83 ust. 4 GDPR/RODO, która jest zagrożona sankcją do 10 000 000 euro lub do 2% rocznego globalnego obrotu.

[1] Wytyczne Grupy Roboczej art. 29. dotyczące inspektorów ochrony danych osobowych przyjęte w dniu 13 grudnia 2016r.

[2] Tamże, s. 13.

Więcej artykułów o niezależności ABI /IOD:

Niezależność Administratora Bezpieczeństwa Informacji (ABI) /Inspektora Ochrony Danych (IOD) –nowy cykl artykułów o gwarancji niezależności Inspektora Ochrony Danych