Czym zajmuje się Inspektor Ochrony Danych i jaka jest jego pozycja w organizacji?
Unijny prawodawca uznał, że samo określenie obowiązków organizacji w zakresie przetwarzania danych osobowych na poziomie aktu prawnego nie jest wystarczające, aby zagwarantować ich wykonanie. W tym celu zaproponowano powołanie Inspektora Ochrony Danych, z angielskiego Data Protection Officer (DPO), który pełni specjalną rolę w zakresie systemu ochrony danych organizacji. Jego głównym celem jest wspieranie fachową wiedzą i zapewnienia przestrzegania przez nią zasad RODO oraz innych przepisów dotyczących ochrony danych osobowych. Warto podkreślić, że koncepcja DPO nie jest czymś całkowicie nowym – w wielu państwach członkowskich Unii Europejskiej była praktykowana wcześniej. W Polsce podobną rolę spełniał Administrator Bezpieczeństwa Informacji.
Oto lista obowiązków, jakie rozporządzenie nałożyło na inspektora:
- informowanie organizacji oraz jej pracowników o obowiązkach, jakie spoczywają na nich na mocy RODO,
- monitorowanie zgodności przetwarzania danych osobowych z wymogami RODO,
- udzielanie informacji dotyczących Ochrony Skutków dla Ochrony Danych Osobowych (Data Protection Impact Assessment, DPIA), pełnienie roli łącznika między organizacją a organem nadzorczym (w Polsce organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych, UODO)
W ramach swojej funkcji doradczej Inspektor Danych Osobowych musi mieć szeroką wiedzę na temat procesów przetwarzania danych osobowych w organizacji, w której został wyznaczony. Ma obowiązek badać zgodność tych procesów z wymogami RODO oraz na bieżąco informować i doradzać organizacji w kwestii działań, jakie uznaje za konieczne.
Inspektor Danych Osobowych jest więc swoistym „strażnikiem” zgodności.
Informacja o powołaniu DPO oraz jego/jej dane kontaktowe muszą być zgłoszone do organu nadzorczego. Powinny być też podane do wiadomości publicznej. W obu przypadkach chodzi o ułatwienie kontaktu z inspektorem.
Rozporządzenie wymaga, aby Inspektor Danych Osobowych posiadał określony status, na który składa się kilka elementów:
- zaangażowanie: DPO musi być właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych;
- niezbędne zasoby: organizacja ma obowiązek wspierać DPO, zapewniając mu/jej odpowiednie warunki do wykonywania swoich zadań, w tym – dostęp do danych osobowych i informacji o tym, w jaki sposób są przetwarzane; utrzymywać odpowiedni poziom wiedzy fachowej inspektora;
- niezależność: DPO podlega najwyższemu kierownictwu organizacji, nie może otrzymywać od nikogo innego instrukcji dotyczących sposobu realizacji swoich zadań oraz nie może być odwołany lub w żaden inny sposób karany za ich wykonywanie;
- dostępność: osoby, których dane dotyczą, mogą kontaktować się z DPO we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz w kwestii praw przysługujących im na mocy RODO;
- poufność: DPO jest zobowiązany do zachowania tajemnicy podejmowanych działań i poufności danych, którymi dysponuje.
Kiedy należy powołać Inspektora Ochrony Danych?
Art. 37 RODO wprowadził obowiązek, aby w określonych okolicznościach organizacja przetwarzająca dane osobowe (administrator lub podmiot przetwarzający) wyznaczyła Inspektora Ochrony Danych, jeśli:
- przetwarzanie danych osobowych dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- jeśli główna działalność organizacji polega na operacjach przetwarzania danych, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
- jeśli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO.
Podkreślić należy, że ocena, czy dana organizacja ma obowiązek wyznaczyć DPO, powinna być dokonana indywidualnie przez administratora danych lub podmiot przetwarzający oraz – zgodnie z zasadą rozliczalności – odpowiednio udokumentowana. Pamiętać należy, że każde kryterium odnosi się do „głównej działalności” oraz „dużej skali”, a kryterium dotyczące monitorowania dodatkowo mówi o „systematyczności” oraz „regularności”.
Organizacje mogą również wyznaczyć DPO dobrowolnie i bardzo często decydują się na ten krok, ponieważ jest to korzystne dla organizacji. Dobrowolne powołanie w żaden sposób nie wpływa na status inspektora.
Jakie kompetencje powinny cechować inspektora?
Rozporządzenie wymaga, aby Inspektor Ochrony Danych był wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych, także umiejętności sprzyjających wypełnianiu przewidzianych zadań.
Znajomość prawa nie musi być jednoznaczna z wykształceniem w tej dziedzinie, chociaż w praktyce często zdarza się, że DPO właśnie takie posiada. Aby dobrze pełnić swoją funkcję, DPO musi rozumieć zagadnienia techniczne, posiadać odpowiednią wiedzę na temat systemów informatycznych i ich zabezpieczeń, jak również orientować się w zakresie rozwoju nowych technologii. DPO ma obowiązek nieustannie pogłębiać i aktualizować tę wiedzę, a organizacja, w ramach której został wyznaczony, musi go w tym wspierać.
Mimo że poziom wiedzy inspektora nie jest dokładnie określony w przepisach, organy nadzorcze podkreślają, że musi być on współmierny do charakteru, poziomu skomplikowania i ilości danych oraz procesów ich przetwarzania w organizacji. Znajomość przepisów oraz praktyk w dziedzinie ochrony danych osobowych musi być uzupełniona znajomością sektora, w którym działa organizacja.
Co ważne, inspektor ochrony danych może być członkiem personelu administratora, podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług. Część firm decyduje się na skorzystanie z zewnętrznych usług. Nie ma ograniczeń co do tego, ilu organizacjom może służyć jedna osoba w roli DPO. Większe organizacje, które chcą mieć DPO „na wyłączność”, najczęściej wyznaczają go/ją w ramach swojej instytucji. Wielokrotnie DPO ma też zespół wspierający go w wykonywaniu zadań.
Jak podkreśla Europejska Rada Ochrony Danych w swoich wytycznych, DPO powinien posiadać pewne cechy osobiste, takie jak wysoka etyka zawodowa i rzetelne podejście do wykonywanych zadań.
Zakres obowiązków
Zgodnie z art. 39 ust. 2 RODO wymaga się, aby DPO wypełniał swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania. Jest to jeden z aspektów obecnego w tej regulacji podejścia opartego na ryzyku (risk-based approach). Inspektor w swojej ocenie procesów przetwarzania musi brać pod uwagę to, jak te operacje mogą wpłynąć na prawa i wolność osób fizycznych, których dane są przetwarzane; powinien identyfikować i oceniać zagrożenia. Ważne jest, aby DPO w pierwszej kolejności koncentrował swoje działania na procesach „wysokiego ryzyka”, a dokonując swoich ocen, kierował się przede wszystkim wskaźnikiem ryzyka dla praw i wolności osób fizycznych.
Inną, istotną kwestią w pracy DPO jest pozostawanie na bieżąco z decyzjami organów nadzorczych oraz sądów, ponieważ są one bezcennym źródłem wiedzy i wskazówek dla inspektora. Pozwalają na odpowiednią interpretację rozporządzenia (które obowiązuje dopiero 4 lata) i zrozumienie wymagań, jakie są stawiane organizacjom.
Z jakimi wyzwaniami mierzą się DPO?
Główne wyzwanie dla Inspektora Ochrony Danych stanowi ilość oraz poziom skomplikowania operacji związanych z wykorzystywaniem danych osobowych, którym musi podołać. Praca wiąże się wielokrotnie ze skomplikowanym sposobem przepływu danych, szczególnie w przypadku grupy kapitałowej. DPO musi rozumieć model operacyjny grupy kapitałowej – w jaki sposób przekazywane są w niej dane osobowe i jaka jest odpowiedzialność poszczególnych jednostek. W poznawaniu tych procesów powinno pomóc wymaganie prowadzenia rejestru czynności przetwarzania (art.30 RODO), ale część tej bezcennej wiedzy jest budowana przez DPO miesiącami (jeśli nie latami!).
Kolejnym z wyzwań stojących przed DPO jest to, że aktywność instytucji finansowych podlega daleko idącej regulacji, a obowiązki mogą się nieco różnić w poszczególnych krajach, w których działa dana instytucja. Wymogi regulacyjne bardzo często przekładają się na procesy przetwarzania danych osobowych – klientów, pracowników, kontrahentów. Przykładem takiej regulacji na poziomie europejskim jest dyrektywa MiFID II, która zawiera wiele postanowień bezpośrednio lub pośrednio dotyczących przetwarzania danych, takich jak np. konieczność rejestrowania połączeń telefonicznych oraz procesowania przez firmy inwestycyjne danych dotyczących wykonywania i dokumentowania transakcji w celach związanych z wykryciem potencjalnych nadużyć rynkowych. Dyrektywa ta zawiera również odpowiednie postanowienia dotyczące retencji danych. Ponieważ MiFID II jest dyrektywą i pozostawia państwom członkowskim pewną swobodę implementacji, szczegółowe wymagania mogą się różnić w krajach Unii Europejskiej.
Dlaczego warto wybrać taką ścieżkę kariery?
DPO to ważna, specjalistyczna funkcja, która wymaga solidnego przygotowania merytorycznego i doświadczenia; wysokiego poziomu etyki zawodowej oraz dobrej znajomości organizacji. Najważniejszym aspektem w pracy DPO jest świadomość celu, jakiemu służy ta funkcja – ochronie osób fizycznych. Budowanie roli Inspektora Danych Osobowych w oparciu o tę świadomość pozwala dostrzec szerokie możliwości rozwoju i prowadzi do osiągnięcia satysfakcji zawodowej.