Rz: Czy administratorzy danych muszą się przyzwyczaić do obecności w strukturach ich firm lub jednostek administratora bezpieczeństwa informacji?

Paweł Litwiński: Wszystko wskazuje na to, że nastąpi zmiana terminologiczna. Studiując trzy projekty ogólnego rozporządzenia o ochronie danych osobowych, tj. wersję przygotowaną przez Komisję Europejską oraz wersje parlamentu i Rady, wszystkie posługują się terminem „inspektora danych osobowych" na określenie odpowiednika obecnego administratora bezpieczeństwa informacji. Jako że wersje są w tym zakresie zgodne, należy się spodziewać, że po wejściu w życie rozporządzenia tak właśnie będzie się określać odpowiednika ABI. Dlatego administratorzy nie powinni przywiązywać się do nazwy, co nie znaczy, że taka osoba nie będzie mogła funkcjonować w strukturze przedsiębiorstwa lub innego podmiotu.

Obowiązujące od 1 stycznia 2015 roku zmienione przepisy ustawy o ochronie danych osobowych w sposób radykalny zmieniły pozycję prawną i obowiązki ABI, chociaż sama instytucja nie była nowa. Bardzo dużo emocji budziło pytanie, czy powołanie ABI będzie obowiązkowe. Jak ta kwestia przedstawia się w projektach rozporządzenia?

Rzeczywiście, jednym z zasadniczych elementów składających się na nową pozycję prawną administratora bezpieczeństwa informacji w polskiej ustawie o ochronie danych osobowych jest dobrowolność jego wyznaczenia przez administratora danych. Zgodnie z art. 36b administrator albo powołuje ABI, albo sam wykonuje jego obowiązki. Jeśli chodzi o projekty unijne, to zasada dobrowolności powołania inspektora ochrony danych utrzymana została w całości w projekcie Rady – projekt Rady nie przewiduje żadnych przypadków, w których powołanie inspektora byłoby obowiązkowe.

Natomiast projekt Komisji oraz projekt parlamentu już inaczej podchodzą do tej kwestii. I przewidują sytuacje, w których powołanie inspektora jednak obowiązkowe będzie. Przykładowo w projekcie parlamentu taki obowiązek powinien być np. wtedy, gdy administratorem danych osobowych jest podmiot należący do sfery prawa publicznego albo jest to osoba prawna, a przetwarzanie danych dotyczy ponad 5 tys. podmiotów danych rocznie w dowolnym okresie kolejnych 12 miesięcy, albo wówczas, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych. Taki obowiązek jest także przewidywany w przypadku podmiotów mających dostęp do tzw. danych wrażliwych.

Warto natomiast podkreślić, że wspólnym rozwiązaniem dla wszystkich projektów jest możliwość powoływania jednego inspektora przez kilka podmiotów – projekty różnią się tylko pewnymi szczegółami w zakresie tego rozwiązania. Wszystkie trzy projekty są także zgodne co do tego, że inspektor może być zatrudniony na podstawie umowy o pracę albo wykonywać swoje obowiązki na podstawie umowy o świadczenie usług (outsourcing).

Pomijając terminologię i ewentualne zastąpienie administratora bezpieczeństwa informacji inspektorem, jakie mogą być najważniejsze zmiany, jeśli chodzi o jego umocowanie i funkcje w porównaniu z obecnie obowiązującymi przepisami?

Po pierwsze, w projektach Komisji i parlamentu pojawia się propozycja, aby inspektor pełnił swoją funkcję kadencyjnie. W propozycji Komisji jest to dwuletnia kadencja, a w propozycji parlamentu czteroletnia w przypadku pracowników, a dwuletnia w przypadku outsourcingu. Odwołanie inspektora w czasie trwania kadencji byłoby możliwe jedynie wtedy, gdyby przestał spełniać warunki niezbędne do pełnienia przez niego obowiązków. Wśród tych warunków nie ma jednak, jak to jest obecnie w ustawie o ochronie danych osobowych, wymogu niekaralności, a jedynie bliżej niesprecyzowany wymóg posiadania „wiedzy specjalistycznej". Co ciekawe, projekt Rady odchodzi od modelu kadencyjności inspektora – kwestia ta będzie więc musiała zostać ostatecznie rozstrzygnięta w toku trilogu, czyli konsultacji i „ucierania" wspólnego stanowiska przez trzy unijne instytucje.

Po drugie, istotnym wyznacznikiem wzrostu roli inspektora na gruncie rozporządzenia będzie rozwiązanie zakładające podawanie do wiadomości publicznej imienia, nazwiska oraz danych kontaktowych inspektora ochrony danych. W tym zakresie wszystkie trzy wersje projektu są ze sobą zgodne. Co więcej, we wszystkich trzech wersjach proponuje się wprowadzenie rozwiązania, zgodnie z którym osoby, których dane dotyczą, uzyskają prawo do kontaktu z inspektorem ochrony danych we wszystkich kwestiach związanych z przetwarzaniem ich danych oraz będą mogły wnioskować o możliwość wykonania praw przysługujących im na mocy rozporządzenia. Inspektor otrzyma więc umocowanie do działania w imieniu administratora danych w relacjach do osób, których dane dotyczą. Jest to rozwiązanie nieznane w obecnie obowiązującej ustawie o ochronie danych osobowych, która dla takiego umocowania ABI wymaga udzielenia mu pełnomocnictwa przez administratora danych osobowych.

A co z niezależnością inspektora i jego pozycją w strukturach danego podmiotu?

Wszystkie wersje projektu pozostają zasadniczo zgodne, jeżeli idzie o status inspektora. Składają się na niego: niezależne wykonywanie zadań, podległość bezpośrednio kierownictwu administratora danych, brak możliwości otrzymywania poleceń przez inspektora w zakresie wykonywania przez niego swoich obowiązków, obowiązek wspierania inspektora ochrony danych przez administratora danych w wykonywaniu przez niego zadań czy wreszcie obowiązek zapewnienia mu odpowiednich środków.

Czy w przypadku, gdy przedsiębiorca zdecyduje się powołać inspektora ochrony danych albo będzie miał taki obowiązek, będzie musiał zarejestrować go u generalnego inspektora ochrony danych osobowych?

Żaden z trzech projektów nie zawiera odpowiednika art. 46b–46f polskiej ustawy regulujących procedurę rejestracji ABI przez GIODO. Na gruncie rozporządzenia nie będzie więc obowiązku rejestracji inspektorów, a samo powołanie takiej osoby przez administratora będzie wystarczające dla przyjęcia wszelkich skutków, jakie z tym faktem wiąże rozporządzenie.

A czy sami ABI, po ewentualnym przemianowaniu ich na inspektorów, mogą spodziewać się nowych obowiązków?

Obowiązki inspektora w projektach Komisji i parlamentu zostały znacznie rozbudowane, zwłaszcza w porównaniu z projektem Rady. We wszystkich trzech można jednak znaleźć pewien wspólny rdzeń takich obowiązków. Składają się na niego:

- obowiązek monitorowania zgodności przetwarzania danych osobowych z rozporządzeniem, innymi przepisami prawa oraz wewnętrznymi regulacjami stosowanymi przez administratora danych,

- uczestniczenie w procedurze oceny skutków w zakresie ochrony danych (privacy impact assessment),

- współpraca z organem ochrony danych osobowych,

- pełnienie funkcji punktu kontaktowego dla organu ochrony danych osobowych.

Oczywiście trudno dzisiaj precyzyjnie określić, jaki ostatecznie kształt przyjmą art. 35–37 ogólnego rozporządzenia. Dzięki zasadniczej zmianie pozycji prawnej i obowiązków ABI, która dokonała się 1 stycznia 2015 r., czekające nas zmiany nie będą tak rewolucyjne, jak można by się tego spodziewać. Jednocześnie ewentualne przyjęcie kadencyjności inspektora, a także – co wydaje się raczej przesądzone – umocowanie inspektora do kontaktów z osobami, których dane dotyczą oraz z organem ochrony danych osobowych będzie skutkować umocnieniem jego pozycji prawnej.