RODO to potocznie stosowane określenie unijnego Rozporządzenia (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, przyjętego przez Parlament Europejski i Radę Unii Europejskiej 27 kwietnia 2016 r. Rozporządzenia unijne są aktami prawnymi określonymi w art. 288 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE). Akty te charakteryzują się zasięgiem ogólnym, wiążąc państwa członkowskie w całości. Przepisy rozporządzeń (również RODO) stosowane są w tych państwach bezpośrednio – czyli w brzmieniu nadanym im przez europejskiego ustawodawcę. Obowiązujące od 25.05.2018 r. RODO ma zapewniać podstawowe prawa związane z ochroną danych osobowych. Stanowi ono odpowiedź Parlamentu Europejskiego i Rady UE na dynamicznie rozwijające się zjawiska umożliwiające niektórym podmiotom przetwarzanie wrażliwych danych. Jako takie zjawiska wskazano między innymi obecne technologie, które umożliwiają jednostkom łatwe dzielenie się informacjami na temat ich zachowania i preferencji oraz publiczne udostępnianie tych informacji w skali globalnej. Poza tym, przetwarzanie danych w „chmurze” stanowi wyzwanie dla ochrony danych, ponieważ wiąże się to z utratą przez jednostki kontroli nad ich potencjalnie poufnymi informacjami. Metody gromadzenia danych osobowych stały się coraz bardziej wyrafinowane i coraz trudniejsze do wykrycia. Użycie zaawansowanych narzędzi i specjalnych oprogramowań umożliwia podmiotom gospodarczym lepsze dobranie strategii marketingowych wobec konkretnych osób dzięki monitorowaniu ich zachowania.
Przepisy omawianego Rozporządzenia mają zapewnić faktyczną i rzetelną ochronę danych osób fizycznych, zapewniając im szereg praw, między innymi do szerszego wglądu we własne dane, uzyskiwania szczegółowych informacji o celu i zakresie ich przetwarzania oraz możliwości ich całkowitego usunięcia z zasobów firmy. Szefowie firm muszą liczyć się z szeregiem obowiązków wynikających z RODO, które wymusza na nich stworzenie kompleksowej polityki bezpieczeństwa dotyczącej przechowywania i przetwarzania danych osobowych. Przepisy Rozporządzenia muszą zostać uwzględnione także w pracy zatrudnionych pracowników, szczególnie w zakresie pozyskiwania i zapisywania danych. Bardzo przydatne mogą okazać się szkolenia, dotyczące stosowania polityki bezpieczeństwa w codziennej pracy.
Rozporządzenie nie precyzuje konkretnych środków ochrony danych, ale zobowiązuje administratorów danych osobowych do monitorowania, raportowania i analizowania incydentów związanych z naruszeniem ochrony danych osobowych. W przypadku takich naruszeń administratorzy muszą zgłosić je właściwym organom nadzorczym w ciągu 72 godzin od momentu ich wykrycia. Przedsiębiorcy powinni przeprowadzić dokładną analizę posiadanych zasobów danych, określić sposób ich pozyskiwania, ustalić kto ma do nich dostęp oraz jaka jest prawna podstawa ich przetwarzania. Kluczowe jest uzyskanie wyraźnych i niezbyt ogólnych zgód od osób fizycznych na przetwarzanie ich danych, w zgodzie z zamierzonym celem. Przedsiębiorcy muszą również zapewnić możliwość realizacji prawa do bycia zapomnianym. Konieczne jest także regularne przeprowadzanie analiz ryzyka przetwarzania danych oraz ocen skutków przetwarzania, prowadzenie rejestru czynności przetwarzania i informowanie o wszelkich wyciekach danych. RODO (Rozporządzenie o Ochronie Danych Osobowych) nakłada obowiązek powołania osoby odpowiedzialnej za nadzór nad przestrzeganiem przepisów dotyczących ochrony danych osobowych. Tą osobą jest Inspektor Ochrony Danych, który pełni funkcję analogiczną do Administratora Bezpieczeństwa Informacji.
Ogólne rozporządzenie o ochronie danych osobowych reguluje instytucję inspektora danych w art. 37-39, które określają zasady wyznaczenia inspektora, jego status oraz zadania. Według przepisów rozporządzenia wyznaczenie inspektora ochrony danych ma kluczowe znaczenie w procesie przetwarzania danych w organizacji. Powołanie inspektora ochrony danych ma ułatwić przestrzeganie przepisów o ochronie danych przez administratorów oraz podmioty, które te dane przetwarzają. Ponadto, inspektor pośredniczy pomiędzy administratorem danych a osobami, których dane dotyczą, oraz pomiędzy administratorem danych, a organem nadzorczym.
Zgodnie z przepisami RODO inspektor to osoba, która ma wspomagać administratora danych lub podmiot przetwarzający w monitorowaniu wewnętrznego przestrzegania RODO, a tym samym w wykazywaniu zgodności przestrzegania obowiązków RODO. Przepisy rozporządzenia wymagają bezpośredniej podległości inspektora najwyższemu kierownictwu administratora lub podmiotu przetwarzającego oraz niezależności inspektora w wykonywaniu swoich obowiązków. Oznacza to, że inspektora ma być swego rodzaju partnerem dla osób zarządzających przy zapewnieniu przestrzegania obowiązków ochrony danych osobowych.
Na stanowisko inspektora ochrony danych mogą aplikować osoby, które mają pełną zdolność do czynności prawnych i korzystają z pełni praw publicznych. Ponadto, osoby te nie mogą być skazane prawomocnym wyrokiem orzeczonym za przestępstwo lub przestępstwo skarbowe popełnione umyślnie. Oprócz powyższych wymogów osoby takie muszą posiadać kwalifikacje szczególne wynikające z rozporządzenia. Przepisy RODO przewidują obowiązek posiadania odpowiednich kwalifikacji zawodowych przez osoby, które mają zostać wyznaczone na funkcję inspektora, powinny także mieć wiedzę fachową w zakresie prawa i praktyk dotyczących ochrony danych osobowych. Dla kandydata na stanowisko inspektora absolutną podstawą jest znajomość krajowych oraz europejskich przepisów o ochronie danych osobowych. Inspektor ochrony danych powinien mieć wiedzę o operacjach przetwarzania danych, systemach informatycznych oraz zabezpieczeniach stosowanych u konkretnego administratora, oraz znać jego potrzeby w zakresie ochrony danych. Nieoceniona jest także znajomość procedur administracyjnych i zasad funkcjonowania danej jednostki. Inspektor ochrony danych powinien także posiadać umiejętność sumiennego wypełniania swoich zadań. Posiadanie odpowiednich kwalifikacji nie oznacza jeszcze, że ktoś się nadaje do wykonywania pracy inspektora. Przy wyznaczaniu inspektora administrator powinien wziąć pod uwagę nie tylko jego wykształcenie i doświadczenie, ale także cechy osobowe.
Rozporządzenie RODO wprowadza pojęcie administratora danych osobowych, które zgodnie z przepisami tego rozporządzenia oznacza organ, jednostkę organizacyjną oraz podmiot lub osobę decydującą o celach i środkach przetwarzania danych osobowych. Administratorem danych osobowych mogą być zatem:
Do podstawowych zadań przedsiębiorcy, jako administratora danych należy zaliczyć między innymi stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, czy też prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środków zapewniających ochronę danych osobowych. Ponadto do najważniejszego obowiązku administratora danych osobowych należy obowiązek powołania inspektora ochrony danych osobowych – jednakże tylko w tych wypadkach, w których przepisy go do tego zobowiązują.
Zgodnie z przepisami RODO, administrator i podmiot przetwarzający są zobowiązani do wyznaczenia inspektora ochrony danych osobowych w następujących przypadkach:
Zgodnie z wytycznymi Grupy Roboczej, która została powołana w celu wsparcia ochrony danych osobowych w ramach RODO, za główną działalność uważa się działalność kluczową dla funkcjonowania administratora i realizacji jego celów. Obejmuje ona operacje przetwarzania danych, gdy przetwarzanie danych osobowych jest nieodłącznie związane z podstawowymi zadaniami administratora lub podmiotu przetwarzającego. Warto zaznaczyć, że działania takie jak zarządzanie listą płac czy korzystanie z podstawowych usług IT są uważane za czynności pomocnicze, które wspierają główną działalność. W związku z tym te działania same w sobie nie nakładają obowiązku wyznaczenia inspektora ochrony danych.
Aby ustalić, czy przetwarzanie danych odbywa się na dużą skalę, Grupa Robocza sugeruje uwzględnienie takich czynników jak: liczba osób, których dane dotyczą, rodzaje przetwarzanych danych osobowych, czas przechowywania tych danych, a także geograficzny zasięg przetwarzania. Przeanalizowanie tych elementów w kontekście całościowym powinno pozwolić na ocenę czy dane osobowe są przetwarzane na dużą skalę. Przykłady przetwarzania danych na dużą skalę obejmują zarządzanie danymi klientów przez banki lub przetwarzanie danych pacjentów przez szpitale w ramach ich działalności.
Podmioty, które nie są zobowiązane do wyznaczenia inspektora na podstawie przepisów RODO, nie są pozbawione możliwości dobrowolnego ustanowienia takiej funkcji w ramach swojej organizacji. Niektóre podmioty mogą zdecydować się na taki ruch w celu zwiększenia swojej konkurencyjności na rynku poprzez uwiarygodnienie, iż działają one zgodnie z RODO.
Zadania inspektora ochrony danych, określone wprost przez RODO, obejmują m.in.:
Warto podkreślić, że zadania inspektora ochrony danych nie kończą się na tych wymienionych w RODO. Inspektor uczestniczy również w procesach związanych z realizacją uprawnień osób, których dane dotyczą, oraz reaguje na ich skargi. Do standardowych zadań nieuwzględnionych jednak bezpośrednio w przepisach RODO należy zaliczyć między innymi:
Wybór odpowiedniego kandydata na inspektora ochrony danych może być zadaniem niezwykle trudnym, jednakże nie kończy całego procesu związanego z jego wyznaczeniem. Jest jednak niezbędny, ażeby przejść do kolejnego kroku procesu, jakim jest formalne wyznaczenie inspektora. Inspektor może zostać wyznaczony na swoją funkcję w formie postanowienia zawartego w umowie bądź w formie oświadczenia woli administratora danych osobowych (np. w formie zarządzenia, uchwały itp.). Inspektor ochrony danych może wykonywać swoją funkcję na podstawie umowy o pracę lub innych umów cywilnoprawnych (np. umowy zlecenie czy umowy B2B). Umowa o pracę może stanowić jedną z form wyznaczenia inspektora. Jest to najlepsze rozwiązanie w przypadku, gdy jeden z dotychczasowych pracowników administratora ma zostać wyznaczony na stanowisko inspektora. W takim wypadku wystarczy aneksować umowę za zgodą pracownika. Nie ma w zasadzie żadnych przeszkód, aby zawrzeć umowę z pracownikiem wcześniej niezatrudnionym w organizacji, który będzie pełnił obowiązki inspektora. Jedną z form wyznaczenia inspektora może być zawarcie z nim umowy o świadczenie usług. Outsourcing danych osobowych współcześnie jest bardzo popularną usługą, która pozwala obniżyć koszty związane z wyznaczeniem inspektora.
Ostatnim etapem związanym z wyznaczeniem inspektora jest zgłoszenie tego faktu przez podmiot, który go wyznaczył do Prezesa Urzędu Ochrony Danych Osobowych w ciągu 14 dni od dnia wyznaczenia.
