W dobie współczesnych czasów przetwarzanie danych osobowych jest niczym powietrze – niezbędne i w zasadzie obecne wszędzie, mimo iż często nieświadomie wykorzystywane. W chwili obecnej jest także nie lada bolączką wszystkich osób, które z większym i mniejszym strachem czują na sobie oddech nadchodzącego RODO. Takimi osobami są między innymi obecni administratorzy bezpieczeństwa informacji, którzy w większości przypadków staną się inspektorami ochrony danych. Z tego powodu inspektorzy szybko zostali okrzyknięci „następcami administratorów bezpieczeństwa informacji”. Czy aby słusznie? Bierzemy pod lupę obecnych administratorów bezpieczeństwa informacji oraz przyszłych inspektorów ochrony danych.

W świetle prawa osoba, która jest sukcesorem obowiązków administratora danych osobowych, to w praktyce (najczęściej) osoba zajmująca się kadrami, księgowa lub inny pracownik na stanowisku administracyjnym, któremu dodatkowo zlecane są takie obowiązki. Furtkę ku takiemu rozwiązaniu otworzył sam ustawodawca – zastrzegając możliwość zlecania administratorom bezpieczeństwa informacji zadań spoza zakresu ochrony danych osobowych.

Rozwiązanie takie może budzić pewne zastrzeżenia – zgodnie z prawem bowiem administrator bezpieczeństwa informacji powinien mieć zagwarantowaną organizacyjną odrębność i podlegać wyłącznie najwyższemu kierownictwu czy samemu administratorowi danych osobowych. Nadto, praca administratora bezpieczeństwa informacji to nierzadko ciężki orzech do zgryzienia, a przede wszystkim czasochłonna funkcja – wykonuje przecież za administratora danych osobowych jego podstawowe obowiązki, poczynając od bycia „strażnikiem” ochrony danych a kończąc na prowadzeniu rejestru zbiorów.

Czy na tle RODO coś się zmienia?

Z całą pewnością zmienia się nazwa. Od 25 maja 2018 r. pojawia się inspektor ochrony danych. Na pierwszy rzut oka jego pozycja w stosunku do administratorów bezpieczeństwa informacji nie ulega zmianie – RODO także przewiduje bezpośrednią podległość najwyższemu kierownictwu oraz możliwość zlecania innych zadań i obowiązków. Nic bardziej mylnego. Dokładna analiza wszystkich przepisów RODO dotyczących inspektora zdaje się prowadzić bowiem do przeciwnego wniosku – zyskuje on o wiele bardziej widoczną niezależność w porównaniu do administratora bezpieczeństwa informacji. Kwestię niezależności należy ściśle powiązać z rolą, jaką RODO nadaje  inspektorowi. Uzyskuje on bowiem status podmiotu opiniodawczego z uprawnieniami monitorowania bezpieczeństwa danych, z kolei osoby obecnie pełniące funkcje administratorów bezpieczeństwa informacji wypełniają obowiązki nałożone prawem na administratorów danych osobowych.

Różnica jest zatem znacząca i w praktyce oznacza ona to, iż administrator danych nie będzie mógł cedować swoich obowiązków na inspektora danych osobowych. Inny charakter roli inspektora nie powoduje jednakże, iż jego znaczenie czy waga działalności jest niższa. Wręcz przeciwnie. Zalecenia inspektora – podmiotu, który powinien posiadać nie tylko teoretyczną, ale i praktyczną wiedzę z zakresu danych osobowych, będą zapewne w 99,9% przypadkach podstawą działań administratorów danych. Przed inspektorami stoi zatem ciężkie zadanie i wysoka odpowiedzialność przed administratorami. Jest ono o tyle utrudnione, iż regulacja RODO pozostawia wiele wątpliwości wprowadzając zasadę ryzyka, w myśl której „Administratorze-Twoim obowiązkiem jest ocena stopnia ryzyka i niebezpieczeństw przetwarzanych przez Ciebie danych”. RODO nie zawiera, mówiąc kolokwialnie, wskazówek z ilu liter i cyfr ma składać się hasło i jak często powinno ulec zmianie – administrator sam musi to ocenić. Praca inspektora jest więc o tyle utrudniona, że na podstawie tak skonstruowanych regulacji prawnych ma on za zadanie służyć prawidłową radą w sytuacji gdy nie ma on podanych gotowych rozwiązań z jakich korzystają obecni administratorzy bezpieczeństwa informacji. I na tym w zasadzie polega największy stopień trudności w pełnieniu tej funkcji – staje się on trochę przewodnikiem, któremu nigdy nie pokazano mapy.

Aby inspektor mógł skutecznie pełnić swoją opiniodawczą rolę, musi mieć zagwarantowany wysoki poziom niezależności. RODO dostarcza kilku cennych wskazówek w tym zakresie. Oprócz ogólnych stwierdzeń o konieczności zapewnienia tej niezależności, RODO wskazuje w zasadzie sposób jej realizacji. Przede wszystkim należy upatrywać jej w tym, iż inspektorzy nie mogą otrzymywać jakichkolwiek instrukcji przy wykonywaniu ich zadań. Po drugie, RODO zakazuje odwołania i stosowania kar przez administratora danych osobowych (lub przez podmiot przetwarzający) za wypełnianie przez inspektora jego zadań. Jako ostatnie należy wskazać, iż wykonywanie innych zadań (obowiązków) przez inspektora nie może powodować konfliktu interesów z pełnioną funkcją, co oznacza, że nie może on zajmować w strukturze organizacyjnej administratora danych osobowych stanowiska, które wiązałoby się z określaniem celów i sposobów przetwarzania danych.

O ile pierwszy i trzeci warunek są jasne, tak pewne wątpliwości może budzić warunek drugi. Czy oznacza on, że inspektor jest nie do ruszenia? Oczywiście, że nie! W świetle RODO, kary w stosunku do inspektorów są niedozwolone tylko w stosunku wykonywanych przez nich zadań. Doprecyzowania wymaga tutaj, iż w szczególności chodzi o sytuację, w której inspektor udziela innego zalecenia, niż to które administrator chciałby otrzymać (np. administrator naciska na wydanie przez inspektora zalecenia zgodnie z którym możliwe jest przetwarzanie danych wrażliwych ze zbioru „X”, inspektor natomiast stwierdza, iż administrator nie ma ku temu podstaw i zaleca zaprzestanie ich przetwarzania, w konsekwencji czego administrator wymierza mu karę). Analogicznie należy podejść do kwestii możliwości  odwołania. Jeżeli inspektor narusza powszechnie obowiązujące prawo, np. prawo pracy czy prawo karne, może on oczywiście zostać odwołany. Kwestie takie można uregulować także w zawartej z inspektorem umowie.

Jak widać, określenie inspektora ochrony danych jako „następca ABI-ego” jest dużym uproszczeniem. RODO wprowadza  bowiem znaczącą zmianę roli inspektora w porównaniu z administratorem bezpieczeństwa informacji. Wszystkie osoby, które zdecydują się na pełnienie funkcji inspektora ochrony danych powinni uświadomić sobie na co się piszą – na odpowiedzialność przez duże „O”.

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.