Aktualnie administratorzy danych osobowych niedostatecznie respektują prawa osób, których dane są przetwarzane choćby w zakresie realizacji obowiązków informacyjnych o administratorze danych, celach przetwarzania, przysługujących im prawach.

Większość z nas otrzymuje telefony z ofertami nabycia przeróżnych towarów lub usług. Bezpłatne badania, darmowe konsultacje, promocyjne ceny towarów lub usług itd. itd. Jednak rzadko  podczas takich połączeń przekazywane są wymagane prawem informacje. A zapytanie osoby dzwoniącej o podstawę prawną przetwarzania danych z reguły powoduje przerwanie połączenie lub niejasne wyjaśnienia.

Już w świetle aktualnie obowiązujących przepisów administrator danych ma szereg obowiązków informacyjnych, które powinien wypełnić wobec osób, których dane przetwarza. Jednak RODO wprowadza kilka nowych obowiązków a także szczegółowo precyzuje niektóre kwestie np. w zakresie sposobu przekazywania informacji.

Zgodnie z RODO administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich wymaganych informacji.

RODO przyznaje osobom, których dane są przetwarzane szereg uprawnień takich jak:

  • prawo do bycia poinformowanym o operacjach przetwarzania,
  • prawo dostępu,
  •  prawo do sprostowania/uzupełnienia danych,
  • prawo do usunięcia danych,
  • prawo do ograniczenia przetwarzania,
  • prawo do przenoszenia danych,
  • prawo do sprzeciwu,
  • prawo do tego, by nie podlegać profilowaniu.

Ważne, aby wdrożone przez Ciebie procedury przetwarzania danych uwzględniały możliwość realizacji
tych praw przez osoby, których dane przetwarzasz.

Jak radzi GIODO:

„To jest  dobry moment by sprawdzić skuteczność zastosowanych procedur i wypracować sposób reakcji, np. w sytuacji, w której ktoś poprosi o usunięcie swoich danych osobowych.”

Aktualnie u wielu administratorów danych ten obszar nie jest  uporządkowany stąd pytania o dane osobowe są kłopotliwe oraz budzą niepokój, co dowodzi braku wypracowanych procedur oraz sposobów reakcji na żądanie osób, którzy dane są przetwarzane.

Istotną kwestią będzie ustalenie kto w organizacji będzie odpowiedzialny za usunięcie danych, kto będzie władny podjąć taką decyzję. Jest to w praktyce bardzo istotna kwestia i bardzo zaniedbana a świadomość prawna w tym zakresie znikoma, co powoduje, że większość administratorów przetwarza dane o wiele dłużej niż jest to uzasadnione celem, dla którego dane zostały zebrane a niektórzy wręcz myślą, że raz zebrane dane można przetwarzać wiecznie.

Wdrażanie RODO – Zabezpieczenia

Każdy administrator danych odpowiedzialny jest za bezpieczeństwo i ochronę przetwarzanych danych osobowych przede wszystkim przed przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

RODO jednak nie zawiera szczegółowych wymogów w zakresie środków technicznych i organizacyjnych, które powinny być przez administratorów wdrażane w celu odpowiedniego zabezpieczenia danych. Decyzja o zastosowaniu odpowiednich środków będzie należała do administratora danych.

Dobierając odpowiednie zabezpieczenia administrator danych powinien przede wszystkim uwzględnić ryzyko związane z przetwarzaniem danych w swojej organizacji wynikające np. z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Środki organizacyjne i techniczne stosowane w celu zapewnienia bezpieczeństwa danym aktualnie mogą pozostać aktualne również po 25 maja 2018 r., jeśli oczywiście administrator danych uzna, że zapewnią one zgodność przetwarzania danych z wymogami RODO.

Więcej na zasygnalizowany temat przeczytasz na stronach GIODO Tutaj.

W świetle RODO zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Zgodnie z RODO nowością będzie wyrażenie zgody przez „wyraźne działanie potwierdzające” z tym jednak zastrzeżeniem, iż przyzwolenie na przetwarzanie danych powinno być jednoznaczne, a więc nie budzić wątpliwości co do zamiaru osoby, która takie działanie podejmuje.

Zgodnie z dotychczasowymi przepisami zgoda nie może być dorozumiana lub domniemana z oświadczeń woli innej treści. Co do zasady więc musi stanowić odrębną klauzulę od na przykład regulaminu świadczenia usługi.

Jednakże również na podstawie RODO w przypadku zgody wyrażanej w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Oznacza to, że nie będzie można ukrywać oświadczenia o zgodzie pośród innych oświadczeń, treść oświadczenia dotyczącego zgody powinna być czytelna.

W RODO nie ma wymogu pisemności nawet dla zgody na przetwarzanie danych wrażliwych, jednakże jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie  wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

Zgoda może być więc wyrażona ustnie a także pisemnie w tym w formie elektronicznej poprzez zaznaczenie okienka wyboru podczas przeglądania strony internetowej lub poprzez dokonanie wyboru ustawień technicznych korzystania z usługi.

W każdym przypadku jednak administrator musi być w stanie  wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych

Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie będą oznaczać zgody.

Przetwarzanie, które w dniu rozpoczęcia stosowania  RODO już się toczy, powinno w terminie dwóch lat od wejścia go w życie, zostać dostosowane do jego przepisów.

Zgodnie z powyższym czas na wdrażanie postanowień RODO właśnie płynie, co oznacza, że przegląd stanu ochrony danych osobowych należy rozpocząć tak, aby za rok móc wykazać zgodność z nowymi przepisami.

GIODO podpowiada jak powinien wyglądać prawidłowy przegląd stanu ochrony danych osobowych publikując systematycznie kolejne zagadnienia, które należy sprawdzić w firmie. Zachęcam do lektury.

Zgodnie z zasadą rozliczalności za rok ADO będzie musiał wykazać, że przetwarza dane osobowe w zgodzie z zasadami przyjętymi w rozporządzeniu. Tę zgodność można wykazać na przykład poprzez wdrożenie polityk i procedur przetwarzania danych.

I to teraz właśnie jest czas na przeglądy, audyty, sprawdzenia na przykład w zakresie  jakie dane osobowe przetwarzasz, skąd pochodzą i co cię uprawnia do ich wykorzystywania, czy i komu je udostępniasz oraz jak zabezpieczasz”.

Kolejne istotne zagadnienie, które należy dokładnie sprawdzić to wywiązywanie się z obowiązków informacyjnych wobec podmiotów danych.  Rozporządzenie zwiększa zakres informacji, które należy przekazać.

Od 25 maja 2018 r. administratorzy danych będą musieli poinformować również m.in. o okresie, przez który dane osobowe będą przetwarzane (retencja danych), o ewentualnym fakcie profilowania i jego konsekwencjach czy też o danych kontaktowych inspektora ochrony danych, jeśli został on wyznaczony. Szerszy katalog informacji, które należy przekazać wymusza aktualizację obecnie stosowanych klauzul informacyjnych.

Począwszy do 25 maja 2018 r. będziesz zobowiązany wykazać już zgodność z RODO. Niestety w przypadku braku takiej zgodności organ nadzorczy będzie uprawniony do rozliczenia ADO ze stwierdzonych uchybień i nałożenia stosownych kar pieniężnych. Z tego powodu jest tak ważne, aby przegląd w obszarze danych osobowych rozpocząć już dziś.

Pierwsze wyniki sprawdzeń ABI

Są już pierwsze wyniki ze sprawdzeń ABI. Sprawdzenia zostały przeprowadzone w bankach i przede wszystkim wykazały błędy w formułowaniu treści klauzul zgody.

Okazuje się, w treści jednej klauzuli łączone są zgody na przetwarzanie marketingowe, przesyłanie informacji handlowych drogą elektroniczną oraz używanie telekomunikacyjnych urządzeń końcowych. Do tego dochodzi jeszcze łączenie zgód na przetwarzanie w celach własnych i podmiotów trzecich.

Zgoda na przetwarzanie danych nie może mieć charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania. Osoba nie może być  wprowadzona w błąd. Jeżeli zatem oświadczenie woli dotyczyć ma różnych celów przetwarzania, zgoda powinna być wyrażona wyraźnie pod każdym z tych celów przetwarzania.

Chodzi o to, aby osoba, której dane dotyczą miała swobodę wyboru wyrażenia zgody na przetwarzanie jej danych osobowych w różnych celach. Zgoda nie może być wymuszona.

Jak poradzili sobie ABI ze sprawdzeniami i sprawozdaniami z nich. Czytamy więc:

Treść sprawozdań wskazywała także na niepełną wiedzę ABI w zakresie ochrony danych osobowych niezbędną do sporządzenia sprawozdania ze sprawdzenia, w szczególności w zakresie zgromadzenia adekwatnych dowodów w stosunku do istniejącego stanu faktycznego.”

i kolejna ciekawostka:

Spośród 20 administratorów bezpieczeństwa informacji, którzy dokonali sprawdzenia przetwarzania danych osobowych przez banki w zakresie marketingu kierowanego do klientów oraz osób nie będących klientami banków, tylko jeden z nich stwierdził naruszenie przepisów o ochronie danych osobowych, mimo iż w wielu przypadkach ustalenia dokonane przez administratorów bezpieczeństwa informacji w toku sprawdzeń dawały podstawę do stwierdzenia takich uchybień

Czy mnie to dziwi? A więc nie dziwi zupełnie. W środowisku od początku nowelizacji uodo mówiło się, że sprawozdania ABI dla GIODO to będą laurki, co aktualne wyniki potwierdziły.

Pełen raport w powyższym temacie znajdziesz Tutaj.

W ramach sprawdzianu gotowości do RODO na stronach GIODO publikowane są w odcinkach pomocne we wdrażaniu RODO wyjaśnienia.

Czy RODO to rewolucja, czy zmiany będą zasadnicze, na czym będą polegały i co to oznacza dla administratora danych tego dowiemy się w kolejnym odcinku pomocnych wyjaśnień GIODO, które znajdziesz Tutaj.

Z mojej praktyki wynika, że ogólny stan świadomości o RODO jest w dalszym ciągu bardzo niski, dlatego takie edukacyjne akcje GIODO są bardzo ważne. Administratorzy danych zwłaszcza Ci mali i średni, ale więksi też często nie mają świadomości o istnieniu RODO a jeśli nawet niektórzy coś słyszeli, to już na pewno nie zdają sobie sprawy z wagi problemu.

Został rok, aż rok a może tylko rok, aby się przygotować na rewolucję. W przygotowaniu na pewno bardzo pomocne są wszelkie wytyczne i wyjaśnienia GIODO.

GIODO publikuje zestaw pytań

Biuro GIODO wychodząc na przeciw oczekiwaniom przedsiębiorców zwłaszcza tych mniejszych aktywnie edukuje w zakresie RODO. Tym razem na stronie GIODO znajdziesz listę pytań pomocniczych, które pozwolą Ci ocenić swoją gotowość w zakresie stosowania RODO.

W załączeniu ( Tutaj ) link do listy dla tych, którzy jeszcze się nie zapoznali. Rok to naprawdę już mało czasu w szczególności dla tych, którzy tak naprawdę nigdy porządnie nie uporządkowali sfery ochrony danych osobowych w swojej organizacji.

Warto zatem skorzystać z zestawu pytań opracowanych przez GIODO i w oparciu o nie sprawdzić stan gotowości swojej firmy na przyjęcie i stosowanie nowych przepisów w zakresie ochrony danych osobowych już za rok.

Obowiązki informacyjne w RODO

Jednym z kluczowych obowiązków administratora danych, wynikających z rozporządzenia unijnego o ochronie danych osobowych (RODO), jest obowiązek informowania osób, których dane dotyczą o przetwarzaniu ich danych osobowych.

Zgodnie z RODO dane osobowe powinny być przetwarzane w sposób przejrzysty dla osoby, której dotyczą.

„Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem  danych osobowych były łatwo dostępne i zrozumiałe, oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem”

Zakres informacji, który ma być udzielany zgodnie z RODO jest obszerny, znacznie szerszy, niż przewidują to aktualne  przepisy i można je podzielić na dwie grupy:

W pierwszej grupie mieszczą się informacje:

1) identyfikujące administratora;

2) o celach przetwarzania danych oraz podstawie prawnej przetwarzania;

3) o okresie, przez który dane osobowe będą przechowywane, a gdy podanie takich informacji nie jest możliwe, kryteria ustalania tego okresu;

4) o prawie żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania;

5) o prawie wniesienia skargi do organu nadzorczego;

6) czy podanie danych osobowych jest wymogiem ustawowym albo umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

W drugiej grupie mieszczą się informacje, które administrator danych będzie miał obowiązek przekazać osobie, której dane dotyczą, jeżeli zaistnieją następujące okoliczności:

1) jeżeli administrator z państwa trzeciego wyznaczył w Polsce swojego przedstawiciela, wówczas powinien podać informacje identyfikujące tego przedstawiciela;

2) jeżeli administrator powołał inspektora ochrony danych, powinien podać dane kontaktowe takiej osoby;

3) jeżeli przetwarzanie odbywa się na podstawie zgody, administrator powinien podać informacje o prawie do cofnięcia zgody w dowolnym momencie;

4) w sytuacji, gdy przetwarzanie danych odbywa się w oparciu o prawnie uzasadniony interes realizowany przez administratora lub przez stronę trzecią, administrator powinien wskazać ten interes;

5) jeżeli przetwarzanie danych (jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi bądź przetwarzanie odbywa się w oparciu o prawnie uzasadniony interes realizowany przez administratora lub przez stronę trzecią), administrator powinien podać informacje o prawie wniesienia sprzeciwu wobec przetwarzania;

6)jeżeli przetwarzanie odbywa się na podstawie zgody lub umowy i jest dokonywane w sposób zautomatyzowany, to administrator powinien przekazać podmiotowi danych informacje o prawie do przenoszenia danych;

7) jeżeli dane będą przekazywane odbiorcom, wówczas administrator powinien poinformować osobę, której dane dotyczą, o odbiorcach lub o kategoriach odbiorców danych;

8) jeżeli administrator zamierza przekazać dane do państwa trzeciego bądź organizacji międzynarodowej, powinien poinformować o zamiarze przekazania danych i warunkach tego przekazania;

9) jeżeli administrator stosuje mechanizmy podejmowania zautomatyzowanych decyzji oraz profilowania, to powinien podać informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Dodatkowo należy pamiętać, że  jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, to zgodnie z przepisami RODO przed dalszym przetwarzaniem powinien poinformować osobę, której dane dotyczą, o innym celu, oraz udzielić jej wszelkich innych stosownych informacji.

Na koniec omawiania tego istotnego obowiązku nie można pominąć faktu, iż  przepisy RODO za naruszenie przepisów dotyczących m.in. obowiązków informacyjnych przewidują możliwość wymierzenia przez organ nadzorczy administracyjnej kary pieniężnej w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Wprowadzenie tak wysokich kar pieniężnych ma mieć m.in. charakter odstraszający i skłonić administratorów danych do wypełniania obowiązków nałożonych przepisami RODO.

Wobec powyższego  nie opłaca się oszczędność informacyjna wobec osób, których dane przetwarzasz.

 

Inspektor Ochrony Danych (IOD) w świetle prawa  nie może być odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań.

Jest to w mojej ocenie dość niejasne sformułowanie. Czytając zapis literalnie administrator danych nie może odwołać IOD z funkcji czy w jakikolwiek sposób ukarać za wypełnianie przez niego zadań, ale co, gdy IOD wykonuje zadania nieprawidłowo czy wręcz źle. Czy to oznacza, że przyszły IOD będzie miał status nietykalnej „świętej krowy”.

W wytycznych dotyczących IOD opublikowanych przez Grupę Art. 29 d/s Ochrony Danych czytamy:

„Zgodnie z normalnymi regułami, przepisami karnymi i prawa pracy, jak w przypadku każdego innego pracownika, IOD może zostać odwołany w uzasadnionych sytuacjach z przyczyn innych niż wykonywanie obowiązków IOD (np. kradzież, nękanie fizyczne i psychiczne, molestowanie seksualne, ciężkie naruszenie obowiązków).”

W mojej ocenie, jeśli IOD będzie pracownikiem administratora danych będzie on podlegał takim samym regułom oceny jak inni pracownicy określonym w kodeksie pracy również w zakresie prawa pracodawcy do rozwiązania stosunku pracy tak za wypowiedzeniem jak i bez wypowiedzenia.

Sformułowany w treści rozporządzenia zakaz odwoływania oraz karania przez administratora oraz podmiot przetwarzający za wypełnianie swoich zadań należy interpretować w kontekście w/w wspomanianych wytycznych. Przykładowo  „IOD może uznać określone przetwarzanie za wysoce ryzykowne i zalecić administratorowi lub podmiotowi przetwarzającemu, ale administrator lub podmiot przetwarzający nie zgadza się z oceną IOD. W takiej sytuacji IOD nie może zostać odwołany ani karany za udzielenie określonego zalecenia.”

Nie zmienia to faktu, że pracodawca czyli podmiot powołujący IOD nie zostaje pozbawiony prawa oceny jego pracy  i wyciągania wniosków co do jakości tej pracy czy wręcz wyciagania konsekwencji związanych z nienależytym wykonywaniem obowiązków przez Inspektora.

W świetle rozporządzenia skoro to adminstrator danych powołuje IOD jak również weryfikuje komptencje IOD do pełnienia tej funkcji to oczywistym w mojej ocenie jest korelat tego uprawnienia tj. prawo do oceny jakości pracy IOD jak również prawo do rozliczania go w przypadku niewłaściwego wykonywania tychże obowiązków.

Zważywszy na fakt, że wykwalifikowany IOD ma stanowić fundament dla przestrzegania przepisów RODO w organizacji oraz zważywszy na fakt, że odpowiedzialność za to przestrzeganie spoczywa na ADO nie sposób sobie wyobrazić, aby ADO nie posiadał prawa do odwołania inspektora w przypadku braku oczekiwanych kompetencji oraz doświadczenia.

O wiedzy fachowej Inspektora Ochrony Danych osobowych pisałam Tutaj, kładąc nacisk na wysoki poziom tej wiedzy.

Już po napisaniu artykułu zadzwonił do mnie ABI zaznaczając, że jest świeżo nominowanym ABI, z pytaniem o poradnik dla początkującego ABI. Ów ABI został najpierw powołany i dopiero potem rozpoczął zdobywanie wiedzy niezbędnej dla wykonywania obowiązków.

Czy osoba, tak jak w tym przypadku nie dysponująca od początku odpowiednią wiedzą, jest w stanie zapewnić zgodność przetwarzania danych osobowych z przepisami o ochronie danych osobowych, czy podoła wyzwaniom stawianym przez nowe prawo ochrony danych osobowych, czy wreszcie administrator danych zapewni mu środki i narzędzia niezbędne do należytego wykonywania tych zadań. Mam spore  wątpliwości.

Powoływanie ABI w taki, jak opisany wyżej, sposób jest kolejnym dowodem na ignorancję administratorów danych w sferze prawa ochrony danych osobowych. A co tam powołamy sobie ABI a potem będziemy go szkolić lub sam się będzie szkolił, najlepiej w internecie.

W aktualnym stanie prawnym nie ma obwiązku powoływania ABI, po co więc powoływać ABI, który nie dysponuje odpowiednią wiedzą i doświadczeniem. Niewykluczone, że administratorzy danych powołują ABI w przeświadczeniu istnienia takiego obowiązku.

Zadziwiający jest też fakt, że osoby często przypadkowe nie mające odpowiedniej wiedzy a bywa, że żadnej wyrażają zgodę na pełnienie funkcji ABI i przyjmują związaną z tym odpowiedzialność.

Trudno wyobrazić sobie, aby na stanowisko głównego księgowego pracodawca zatrudnił osobę, która nie ma odpowiedniego wykształcenia, doświadczenia i wiedzy. Trudno też sobie wyobrazić, aby jakikolwiek pracownik przyjął na siebie obowiązki głównego księgowego nie mając wcześniej do czynienia z księgowością.

Jednak okazuje się z funkcją ABI jest inaczej i gdy szef wskazuje jakiegoś przypadkowego pracownika jako kandydata na ABI to pracownik ów taką ofertę przyjmuje, może i  nie do końca chętnie, ale się godzi. Czasami wręcz uważa, że może to być dla niego korzystne i wzmocni jego pozycję w firmie a czasami ne ma wyboru.

W aktualnym stanie prawnym nie ma obowiązku powołania ABI i nie należy tego czynić wybierając  przypadkową osobę do pełnienia tej funkcji. W szczególności z uwagi na nowe prawo ochrony danych osobowych, które już wkrótce wejdzie w życie a  które wymusi zmianę stosunku administratorów danych do obowiązków w zakresie ochrony danych osobowych.

ABI to przyszły Inspektor Danych Osobowych i w świetle nowego prawa ma stanowić fundament nowego, skutecznego systemu ochrony danych osobowych. Jednakże solidny fundament oznacza przede wszystkim odpowiednią wiedzę i doświadczenie.

Rozpoczęcie stosowania, od 25 maja 2018 r., przepisów ogólnego rozporządzenia o ochronie danych (RODO) oznacza, że obowiązki i odpowiedzialność administratorów danych za zgodne z prawem przetwarzanie danych osobowych znacznie się zwiększą.

Tym zaś, którzy nie będą respektowali nowych zasad ochrony danych, grozić będą wysokie kary finansowe. Stąd też sprostanie nowym wymogom, m.in. dzięki wsparciu kompetentnego inspektora ochrony danych, mającego zarówno bogatą wiedzę teoretyczną, jak i konkretne umiejętności praktyczne, nabiera coraz większego znaczenia.

Jednakże świadomośc powyższego jest jeszcze wśród przedsiębiorców bardzo słaba, stąd w dalszym ciągu przypadkowe powołania ABI, którzy nie są oraz nie będą w stanie zapewnić wymaganej przez przepisy RODO  zgodności przetwarzania danych.

Odpowiedzialność za niestosowanie lub nieprawidłowe stosowanie RODO i konsekwencje w postaci kar finansowych spocznie na administratorach danych a nie osobach sprawujących funkcje Inspektora Danych Osobowych.

W wytycznych Grupy Roboczej Art. 29 dotyczących DPO czytamy:

„Choć artykuł 37(5) nie wskazuje konkretnych kwalifikacji zawodowych, jakie należy brać pod uwagę wyznaczając DPO, to jednak istotne jest, by DPO posiadał odpowiednią wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych i praktyk, jak również dogłębną znajomość RODO

i dalej

Zalecana jest również wiedza biznesowa i sektorowa dotycząca administratora. DPO powinien również posiadać odpowiednią wiedzę na temat procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych”.

Jak widać powyżej wymagania wobec przyszłego DPO są duże w szczególności w zakresie znajomości przespisów o ochronie danych osobowych tak europejskich jak i krajowych. Tutaj wymagana jest dogłębna znajomości.

Zalecana jest również wiedza w zakresie przetwarzania danych w systemach informatycznych oraz stosowanych zabezpieczeń u administratora danych. Nie oznacza to w mojej ocenie, że DPO musi zdobyć szczegółową czy techniczną wiedzę dotyczącą  bezpieczeństwa systemów informatycznych czy znać treść norm regulujących te zagadnienia.

Ważne jest jednak, aby posiadł ogólną wiedzę teoretyczną oraz praktyczną dotyczącą przetwarzania danych w systemach informatycznych u administratora danych, potrafił dokonać kwalifikacji prawnej stosowanych sposobów przetwarzania danych w szczególności z zakresu nowych technologii.

Na koniec należy podkreślić, iż  w świetle RODO powołanie DPO także nie będzie obowiązkowe i nie należy tego czynić bez szczegółowej analizy  procesów przetwarzania danych osobowych u danego administratora ze szczególnym uwzględnieniem ryzyka tego przetwarzania dla praw i wolności osób fizycznych.

Inspektor Danych Osobowych ma konkretne przepisami określone zadania do wypełnienia. Nie jest i nie może być tylko figurantem pozorującym zgodność przetwarzania danych osobowych. Jego działania muszą być realne i skuteczne a administrator danych jest zobowiązany mu to umożliwić.

Powoływanie na stanowisko Inspektora Danych Osobowych osób niekompetentnych w świetle RODO będzie działaniem bardzo ryzykowanym, gdyż  nieprawidłowe wykonywanie zadań przez Inspektora to ryzyko kar finansowych dla administratora danych.