Funkcja Administratora Bezpieczeństwa Informacji (dalej: ABI) została wprowadzona do polskiego porządku prawnego na mocy nowelizacji ustawy z dnia 22 stycznia 2004 r. o ochronie danych osobowych. Z dniem wejścia w życie GDPR, zadania i obowiązki ABI po ponownym zgłoszeniu jego powołania do Urzędu Ochrony Danych Osobowych zastąpi inspektor ochrony danych (DPO/IOD). Obie te funkcje mają podobne, jeśli nie takie same założenia. W niedalekiej przyszłości DPO powinien być fachowym wsparciem dla administratora danych osobowych w nadzorze nad procesem przetwarzania danych osobowych w organizacji.
Należy pamiętać, że aktualnie administrator danych (dalej: ADO) ma prawo, a nie obowiązek powoływania ABI. Jednak jego powołanie niesie za sobą wiele udogodnień po stronie administratora danych (np. brak konieczności zgłaszania zbiorów do rejestracji w GIODO poprzez prowadzenie przez ABI jawnego rejestru zbiorów danych osobowych). Po 25 maja 2018 r. ulegnie to zmianie. GDPR wskazuje bowiem na sytuacje, w których administrator danych czy podmiot, któremu powierzono przetwarzanie danych (procesor) będzie miał taki obowiązek[1].
ADO musi zapewnić odpowiednie warunki pracy dla ABI/DPO
Zarówno UODO, jak również GDPR wskazują nam, że ABI/DPO, aby mógł właściwie wykonywać swoje obowiązki, musi mieć zapewnione przez ADO (i procesora w przypadku DPO) odpowiednie warunki do swojej pracy. Cóż to oznacza? Oba te akty prawne wskazują, że osoba pełniąca taką funkcję musi być niezależna w swoich działaniach, ale także musi mieć zapewnione przez ADO (jak również i przez procesora[2] w przypadku DPO) odpowiednie środki umożliwiające mu swoją działalność.
Jeśli chodzi o poziom krajowy i obecną regulację to zgodnie z literalnym brzmieniem art. 36 ust. 8 UODO:
„administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędnego do niezależnego wykonywania przez niego zadań”
Zgodnie natomiast z art. 38 ust. 3 GDPR – „administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego”.
Treść motywu 97 GDPR w sposób konkretny i jednoznaczny wskazuje, że „(…) inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny”.
Zapewnienie przez ADO niezależności ABI/DPO jako element spełnienia wymogu zapewnienia odpowiednich środków organizacyjnych w firmie
|
Czym jest niezależność ABI/DPO?
Z powyższych uregulowań wynika, że ABI/DPO musi być niezależny. Zgodnie z definicją słownika PWN – niezależność oznacza brak podległości, brak podporządkowania, autonomię.
Niezależność DPO należy zatem rozumieć jako pewną autonomię w jego działaniach w zakresie wykonywanych obowiązków dotyczących procesów przetwarzania danych osobowych. Dość istotne jest to, aby ADO, decydując się na powołanie ABI (później DPO), zapewnił mu odpowiednie warunki do pracy, wyodrębnił jego stanowisko ze struktur organizacji eliminując tym samym podległość kierownikom/dyrektorom. Wykonywanie funkcji DPO nie może być również wykonywane w stanie konfliktu interesów. Przykładowo można tu podać pełnienie z jednej strony funkcji DPO, a z drugiej dyrektora ds. informatyki. Ważne jest to, aby nie było to stanowisko iluzoryczne, lecz takie, które daje mu faktyczną możliwość pracy. Dlatego bardzo istotne jest też wsparcie ADO (i procesora w przypadku DPO). Warto też w takich momentach uświadamiać administratorów danych, że ABI (później DPO) należycie wykonując swoją pracę odciąża administratora danych w obowiązkach nałożonych na niego przepisami prawa. Jednak to w jaki sposób ADO zorganizuje to stanowisko będzie później przekładało się na faktyczne możliwości pracy ABI/DPO, a tym samym jakość wykonywanej przez niego pracy.
Jeżeli pracownicy i współpracownicy danej organizacji będą mieli świadomość tego, że ABI/DPO jest realnym wsparciem ADO i posiada on faktyczną niezależność w pracy, wówczas i ich współpraca z ABI/DPO będzie miała rzeczywisty wymiar. To w jaki sposób ADO zapewni odpowiednie warunki pracy ABI/DPO (środki finansowo – organizacyjne), jego niezależność w działaniach, przełoży się na jakość wykonywanej przez niego pracy, a tym samym maleje ryzyko poniesienia odpowiedzialności przez ADO w przypadku powstania naruszeń przepisów dot. ochrony danych osobowych. Warto pamiętać o tym, że od maja 2018 r. organ nadzorczy będzie mógł nakładać kary finansowe, których wysokość będzie uzależniona od stopnia i wagi stwierdzonych naruszeń.
Pewne wskazówki na temat niezależności DPO możemy znaleźć w wytycznych Grupy Roboczej art. 29 (…) „DPO nie może otrzymywać instrukcji dotyczących sposobu rozpatrywania sprawy, środków jakie mają zostać podjęte czy celu w jaki powinien zostać osiągnięty, czy też faktu, czy należy skontaktować się z organem nadzorczym. Nie może również zostać zobligowany do przyjęcia określonego stanowiska w sprawie z zakresu prawa ochrony danych, np. określonej wykładni przepisów. (…) W sytuacji podjęcia przez administratora lub podmiot przetwarzający decyzji niezgodnej z RODO [tu: GDPR] i zaleceniami DPO, DPO powinien mieć możliwość jasnego przedstawienia swojego stanowiska osobom podejmującym decyzję”[3].
Niniejszy artykuł jest wyłącznie krótkim wstępem do cyklicznych publikacji dotyczących niezależności DPO. Na niezależność DPO składa się wiele nowych praw, które będą przedmiotem dalszych rozważań naszego zespołu. Tytułem wstępu – niezależność możemy rozpatrywać pod kątem zagadnień oscylujących wokół:
- Prawa do właściwego i niezwłocznego włączania DPO we wszystkie sprawy dotyczące ochrony danych osobowych.
- Prawa do uzyskania niezbędnych środków oraz dostępu do danych osobowych i procesów.
- Zakazu otrzymywania instrukcji i braku ponoszenia odpowiedzialności DPO za wykonywanie swoich zadań.
Dokładną analizą powyższych zagadnień zajmiemy się w następnych artykułach.
[1] Art. 37 ust. 1 GDPR
[2] Podmiot działający w imieniu i na rzecz ADO
[3] http://www.giodo.gov.pl/1520282/id_art/9740/j/pl/