GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Inspektor Ochrony Danych według dyrektywy policyjnej

Inspektor Ochrony Danych według dyrektywy policyjnej

Art. 47 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych
w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. 2019 poz. 125, dalej: ustawa ODP) wymienia szereg zadań, które musi wykonywać inspektor ochrony danych, wyznaczony przez organy zajmujące się rozpoznawaniem, zapobieganiem, wykrywaniem oraz zwalczeniem czynów zabronionych. Jednocześnie na mocy ust. 4 ww. artykułu Prezes Rady Ministrów 5 czerwca 2019 r. przyjął rozporządzenie  w sprawie trybu i sposobu realizacji zadań przez inspektora ochrony danych (Dz. U. z 2019 poz. 1041), którego celem było doprecyzowanie powyższych zadań.

Zadania Inspektora Ochrony Danych określone w ustawie ODP

Ustawa ODP obszernie reguluje zadania inspektora ochrony danych i jest w tym zakresie bardzo podobna do Rozporządzenia 679/2016/UE. Podobnie jak w RODO, kompetencje IOD koncentrują się wokół monitorowania zgodności przetwarzania danych przez administratora z przepisami dotyczącymi ochrony danych; informowania administratora o spoczywających na nim obowiązkach w zakresie danych osobowych, podnoszeniu świadomości, szkoleniach oraz pełnieniu funkcji punktu kontaktowego w odniesieniu do Prezesa Urzędu Ochrony Danych Osobowych. Dodatkowo ustawa ODP wprost wskazuje, że inspektorzy pełnią funkcję punktu kontaktowego wobec osób, których dane dotyczą, nakłada na nich obowiązek sporządzania raz na rok sprawozdania z wykonywania zadań z zakresu ochrony i sposobu przetwarzania danych osobowych, jak również pewne obowiązki w zakresie podziału zadań związanych z przetwarzaniem.

Jak widać ww. zadania zostały sformułowane w sposób dość ogólny. Np. pojęcie monitorowania zgodności przetwarzania danych przez administratora z przepisami dotyczącymi ochrony danych oznacza, że IOD powinien po pierwsze dokładnie znać cały stan prawny, po drugie posiadać wiedzę na temat działań administratora, który często zatrudnia wiele setek osób, a po trzecie umieć zastosować ww. wiedzę w praktyce. Dodajmy, że wszystko to powinien robić szybko. Założenie, że inspektorzy ochrony danych będą w stanie temu podołać wydaje się niezwykle optymistyczne, dlatego każdy akt doprecyzowujący sposób działania IOD wydaje się czymś pozytywnym. Chociaż rozporządzenie premiera nie może naturalnie ograniczać ustawy, to jednak uszczegóławiając sposób działania inspektorów, siłą rzeczy wskazuje elementy, na które należy położyć największy nacisk.

Rozporządzenie wykonawcze ODP

W tym miejscu należy powrócić do pytania, co nowego wnosi rozporządzenie ODP, czy przyczynia się do powstania wartości dodanej? Za pewny pozytyw można uznać te fragmenty, które pokazują krok po kroku co składa się na zadania inspektora. Np. w § 5. 1. rozporządzenia wskazano w jaki sposób należy monitorować zgodność przetwarzania przez administratora z przepisami o ochronie danych osobowych. Powyższe zadanie musi być realizowane poprzez: „gromadzenie informacji uzyskanych od administratora lub osób odpowiedzialnych […] na temat procesów przetwarzania danych osobowych w celu ich identyfikacji, analizę tych informacji oraz ich ocenę pod kątem zgodności […]. W przypadku stwierdzenia nieprawidłowości w tym zakresie inspektor ochrony danych przekazuje administratorowi pisemne rekomendacje dotyczące podjęcia określonych działań.” Naturalnie ww. czynności mogą się wydawać oczywiste, jednakże należy pamiętać, że krąg adresatów rozporządzenia jest szeroki i będzie regulował funkcjonowanie tysięcy inspektorów. Chociaż ww. sformułowanie nadal operuje na dużym poziomie ogólności, to jednak jest bardziej precyzyjne niż odpowiedni fragment samej ustawy. Ponadto w § 4 ust. 2 lit. a) rozporządzenia stwierdzono, że kursy dotyczące ochrony danych osobowych muszą składać się zarówno z zajęć teoretycznych jak i praktycznych. Podkreślenie tych dwóch form jest zaletą, ponieważ większości szkoleń zdecydowanie brakuje części praktycznej.

Jednocześnie wiele przepisów rozporządzenia zdaje się nie wnosić zbyt wiele novum. Np.
w § 3 ust. 1 stwierdzono, że inspektor informuje administratora o jego obowiązkach poprzez: „zapoznawanie, ustnie lub pisemnie, w postaci papierowej, elektronicznej lub za pośrednictwem środków komunikacji elektronicznej […]”. Innymi słowy, forma informowania jest dowolna.

Podsumowanie

Rozporządzenie ODP nie wnosi wiele do systemu ochrony danych osobowych. Jego przepisy nie precyzują zbytnio sformułowań ustawy, jak również nie są gotowymi wskazówkami dla inspektorów ochrony danych. Jednakże z drugiej strony należy pamiętać, że jest to tylko część ww. systemu i trudno oczekiwać rewolucji od jednego aktu rangi wykonawczej. Chociaż z pewnością można było zrobić więcej, to na tym etapie wydaje się, że rozporządzenie nie wprowadza przepisów, które mogłyby spowodować problemy interpretacyjne, a w kilku miejscach przynosi pewną umiarkowaną wartość dodaną.

Zapraszamy na szkolenie: 5-dniowe Kompleksowe Szkolenie dla Inspektora Ochrony Danych