A ściślej mówiąc, wszędzie tam, gdzie w firmach lub innych instytucjach działają administratorzy bezpieczeństwa informacji, trzeba będzie przemianować ich na inspektorów danych osobowych. Dlaczego? Ponieważ taka zmiana terminologiczna wynika z projektów unijnego rozporządzenia o ochronie danych osobowych. A dokładnie mówiąc znalazła się we wszystkich projektach, tj. Komisji Europejskiej, Parlamentu i Rady. Ponieważ wszystkie trzy instytucje są tu zgodne, to takie rozwiązanie wydaje się przesądzone.
Nie wiadomo natomiast, czy powołanie inspektora ochrony danych będzie obowiązkowe, czy też nie. Tutaj projekty różnią się. Od tego wysuniętego przez Radę, który w żadnym wypadku nie przewiduje takiego rozwiązania, po propozycje Komisji i Parlamentu, które postulują wprowadzenie takiego obowiązku w określonych przypadkach. Przykładowo projekty mówią o sytuacjach, w których administrator przetwarza bardzo dużo danych albo wówczas, gdy są to tzw. dane wrażliwe (np. dotyczące stanu zdrowia, nałogów, poglądów politycznych, itp.). Nie da się zatem ostatecznie stwierdzić, czy właściciele małych i średnich firm, którzy wykorzystują w swojej działalności dane osobowe, staną przed taką koniecznością.
Jeżeli jednak administrator danych będzie chciał (lub będzie musiał) powołać inspektora, to nie będzie musiał rejestrować go w bazie Generalnego Inspektora Danych Osobowych. A przypomnijmy, że w tej chwili taki obowiązek występuje w przypadku administratorów bezpieczeństwa informacji. Projekty rozporządzenia (i tu wszystkie wersje znów są zgodne) nie przewidują bowiem takiej procedury. Natomiast, podobnie jak jest obecnie przy powoływaniu ABI, osoba wyznaczana na stanowisko inspektora będzie musiała wykazać się wiedzą z zakresu przepisów dotyczących ochrony danych osobowych. Administrator będzie musiał stworzyć mu dogodne warunki pracy, zapewnić wsparcie i ściśle z nim współpracować. Osoba taka ma mieć zagwarantowaną silną pozycję w strukturze firmy lub innego podmiotu, w którym przetwarza się dane osobowe.
Co jeszcze wynika z projektów? Dość istotne dla przedsiębiorców mogą okazać się rozwiązania mówiące o kadencyjności inspektorów. Na przykład pojawia się pomysł, aby w przypadku osoby zatrudnionej w firmie była to czteroletnia kadencja, a w przypadku korzystania z usług zewnętrznych (outsourcing) dwuletnia. Ponownie ma to gwarantować silną pozycję inspektora. Odwołanie takiej osoby w czasie trwania kadencji byłoby możliwe jedynie wtedy, gdyby przestała spełniać warunki niezbędne do pełnienia przez nią obowiązków. Wśród tych warunków nie ma jednak, jak to jest w polskiej ustawie, wymogu niekaralności, a jedynie bliżej nie określony wymóg posiadania „wiedzy specjalistycznej".
Wszystko wskazuje także na to, że inspektor będzie działał w imieniu administratora danych we wszystkich sprawach związanych z procesem przetwarzania danych. W szczególności to bezpośrednio z nim będą kontaktowały się zainteresowane osoby. Czyli te, których dane posiada firma i zajmuje się ich przetwarzaniem. Może np. chodzić o wnioski związane z weryfikacją, poprawianiem, uzupełnianiem takich danych, jak i składania skarg na nieprawidłowe ich przetwarzanie. Jeżeli przepisy wejdą w życie w takim właśnie kształcie, to inspektor otrzyma więc umocowanie do działania w imieniu administratora danych w stosunku do takich osób. Obecnie obowiązujące przepisy takiego rozwiązania nie przewidują. Jeżeli administrator chciałby, aby ABI działał w jego imieniu, to musi mu udzielić specjalne pełnomocnictwo.
Z ewentualnym uprawnieniem do kontaktowania się z osobami, których dane są w posiadaniu firmy i działaniem w imieniu administratora, ma łączyć się obowiązek upubliczniania imienia, nazwiska i danych kontaktowych inspektora.
Kiedy zatem inspektorzy zastąpią administratorów bezpieczeństwa informacji? Tak naprawdę czasu na dostosowanie się do nowej sytuacji będzie dużo. Nawet jeżeli rozporządzenie unijne zostanie przyjęte do końca tego roku (takie są plany), to przewiduje ono dwuletnie vacatio legis. I dopiero po takim czasie zacznie obowiązywać.
