W grudniu 2016 roku Grupa Robocza art. 29, opublikowała swoje wytyczne do unijnego rozporządzenia GDPR (RODO). Jednym z tematów wytycznych jest Inspektor Ochrony Danych. Jego rola budzi wielkie zainteresowanie ze względu na porównanie go z obecnie funkcjonującym Administratorem Bezpieczeństwa Informacji. Czy takie porównania są zasadne? Kim ma być Inspektor Ochrony Danych (IOD)?

Wytyczne określają konieczność powołanie Inspektora Ochrony Danych w:

  • organach i podmiotach publicznych, również w podmiotach prywatnych realizujących zadania publiczne;
  • gdy przetwarzanie danych osobowych jest główną działalnością administratora danych,
  • gdy administrator danych przetwarza dane na dużą skalę, zwłaszcza dane wrażliwe.

Co do dużej skali, Grupa nie podaje konkretnych granic liczbowych, wskazuje jedynie na takie czynniki jak zakres przetwarzanych danych, czasowość ich przetwarzania czy znaczną rozciągłość terytorialną przetwarzania. Uwzględniając dużą skalę, nie można mieć na myśli np. rozbudowanej sieci korporacji i przetwarzanych danych pracowniczych. Chodzi tu raczej o charakter działalności przedsiębiorstwa, kiedy to przetwarzanie danych osobowych jest nierozłącznym elementem jego funkcjonowania np. firmy telekomunikacyjne przetwarzające dane abonentów.

Nie ma przeszkód w wyznaczeniu jednego IOD dla kilku podmiotów. Jednak warunkiem jest jego dostępność dla każdej jednostki organizacyjnej w stopniu wystarczającym. Wskazuje się, również na potrzebę zaznajomienia pracowników z IOD oraz umieszczenie jej danych kontaktowych np. w firmowym intranecie, tak by w razie potrzeby konsultacji, pracownicy mieli możliwość skontaktowania się ze specjalistą. Śmiało można stwierdzić, że IOD specjalistą w swojej dziedzinie powinien być. Jego poziom wiedzy powinien być adekwatny do wrażliwości danych, z jakimi pracuje oraz ilości i poziomu skomplikowania procedur i operacji wykonywanych na danych. IOD powinien mieć odpowiednią wiedzę w zakresie prawa krajowego i europejskiego, ale też powinien być zaznajomiony z praktykami ochrony danych. Wskazane jest, by orientował się w czynnościach przetwarzania danych, związanych ze specyfiką swojej organizacji, a przy tym w potrzebach dotyczących zabezpieczeń danych oraz systemach informatycznych. Inspektor powinien być angażowany we wszystkie działania związane z przetwarzaniem danych, od najwcześniejszego momentu, by odpowiednio ocenić ryzyko i mieć wpływ na jego zminimalizowanie. IOD ma być niezależny, co oznacza, że Kierownictwo lub członkowie organizacji nie mogą mu narzucać stanowisk co do sposobu ochrony przetwarzanych danych, jednak nie powinien decydować o celach i środkach przetwarzania danych. Inspektor Ochrony Danych powinien monitorować przestrzeganie prawa ochrony danych, analizować skutki przetwarzania i przeciwdziałać sytuacjom ryzykownym. Zatem zbieżności z obecnym Administratorem Bezpieczeństwa Informacji, znajdziemy sporo.

Autor: Angelika Niezgoda Audytel