Inspektor Ochrony Danych Osobowych nie może być figurantem

O wiedzy fachowej Inspektora Ochrony Danych osobowych pisałam Tutaj, kładąc nacisk na wysoki poziom tej wiedzy.

Już po napisaniu artykułu zadzwonił do mnie ABI zaznaczając, że jest świeżo nominowanym ABI, z pytaniem o poradnik dla początkującego ABI. Ów ABI został najpierw powołany i dopiero potem rozpoczął zdobywanie wiedzy niezbędnej dla wykonywania obowiązków.

Czy osoba, tak jak w tym przypadku nie dysponująca od początku odpowiednią wiedzą, jest w stanie zapewnić zgodność przetwarzania danych osobowych z przepisami o ochronie danych osobowych, czy podoła wyzwaniom stawianym przez nowe prawo ochrony danych osobowych, czy wreszcie administrator danych zapewni mu środki i narzędzia niezbędne do należytego wykonywania tych zadań. Mam spore  wątpliwości.

Powoływanie ABI w taki, jak opisany wyżej, sposób jest kolejnym dowodem na ignorancję administratorów danych w sferze prawa ochrony danych osobowych. A co tam powołamy sobie ABI a potem będziemy go szkolić lub sam się będzie szkolił, najlepiej w internecie.

W aktualnym stanie prawnym nie ma obwiązku powoływania ABI, po co więc powoływać ABI, który nie dysponuje odpowiednią wiedzą i doświadczeniem. Niewykluczone, że administratorzy danych powołują ABI w przeświadczeniu istnienia takiego obowiązku.

Zadziwiający jest też fakt, że osoby często przypadkowe nie mające odpowiedniej wiedzy a bywa, że żadnej wyrażają zgodę na pełnienie funkcji ABI i przyjmują związaną z tym odpowiedzialność.

Trudno wyobrazić sobie, aby na stanowisko głównego księgowego pracodawca zatrudnił osobę, która nie ma odpowiedniego wykształcenia, doświadczenia i wiedzy. Trudno też sobie wyobrazić, aby jakikolwiek pracownik przyjął na siebie obowiązki głównego księgowego nie mając wcześniej do czynienia z księgowością.

Jednak okazuje się z funkcją ABI jest inaczej i gdy szef wskazuje jakiegoś przypadkowego pracownika jako kandydata na ABI to pracownik ów taką ofertę przyjmuje, może i  nie do końca chętnie, ale się godzi. Czasami wręcz uważa, że może to być dla niego korzystne i wzmocni jego pozycję w firmie a czasami ne ma wyboru.

W aktualnym stanie prawnym nie ma obowiązku powołania ABI i nie należy tego czynić wybierając  przypadkową osobę do pełnienia tej funkcji. W szczególności z uwagi na nowe prawo ochrony danych osobowych, które już wkrótce wejdzie w życie a  które wymusi zmianę stosunku administratorów danych do obowiązków w zakresie ochrony danych osobowych.

ABI to przyszły Inspektor Danych Osobowych i w świetle nowego prawa ma stanowić fundament nowego, skutecznego systemu ochrony danych osobowych. Jednakże solidny fundament oznacza przede wszystkim odpowiednią wiedzę i doświadczenie.

Rozpoczęcie stosowania, od 25 maja 2018 r., przepisów ogólnego rozporządzenia o ochronie danych (RODO) oznacza, że obowiązki i odpowiedzialność administratorów danych za zgodne z prawem przetwarzanie danych osobowych znacznie się zwiększą.

Tym zaś, którzy nie będą respektowali nowych zasad ochrony danych, grozić będą wysokie kary finansowe. Stąd też sprostanie nowym wymogom, m.in. dzięki wsparciu kompetentnego inspektora ochrony danych, mającego zarówno bogatą wiedzę teoretyczną, jak i konkretne umiejętności praktyczne, nabiera coraz większego znaczenia.

Jednakże świadomośc powyższego jest jeszcze wśród przedsiębiorców bardzo słaba, stąd w dalszym ciągu przypadkowe powołania ABI, którzy nie są oraz nie będą w stanie zapewnić wymaganej przez przepisy RODO  zgodności przetwarzania danych.

Odpowiedzialność za niestosowanie lub nieprawidłowe stosowanie RODO i konsekwencje w postaci kar finansowych spocznie na administratorach danych a nie osobach sprawujących funkcje Inspektora Danych Osobowych.

W wytycznych Grupy Roboczej Art. 29 dotyczących DPO czytamy:

“Choć artykuł 37(5) nie wskazuje konkretnych kwalifikacji zawodowych, jakie należy brać pod uwagę wyznaczając DPO, to jednak istotne jest, by DPO posiadał odpowiednią wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych i praktyk, jak również dogłębną znajomość RODO

i dalej

Zalecana jest również wiedza biznesowa i sektorowa dotycząca administratora. DPO powinien również posiadać odpowiednią wiedzę na temat procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych”.

Jak widać powyżej wymagania wobec przyszłego DPO są duże w szczególności w zakresie znajomości przespisów o ochronie danych osobowych tak europejskich jak i krajowych. Tutaj wymagana jest dogłębna znajomości.

Zalecana jest również wiedza w zakresie przetwarzania danych w systemach informatycznych oraz stosowanych zabezpieczeń u administratora danych. Nie oznacza to w mojej ocenie, że DPO musi zdobyć szczegółową czy techniczną wiedzę dotyczącą  bezpieczeństwa systemów informatycznych czy znać treść norm regulujących te zagadnienia.

Ważne jest jednak, aby posiadł ogólną wiedzę teoretyczną oraz praktyczną dotyczącą przetwarzania danych w systemach informatycznych u administratora danych, potrafił dokonać kwalifikacji prawnej stosowanych sposobów przetwarzania danych w szczególności z zakresu nowych technologii.

Na koniec należy podkreślić, iż  w świetle RODO powołanie DPO także nie będzie obowiązkowe i nie należy tego czynić bez szczegółowej analizy  procesów przetwarzania danych osobowych u danego administratora ze szczególnym uwzględnieniem ryzyka tego przetwarzania dla praw i wolności osób fizycznych.

Inspektor Danych Osobowych ma konkretne przepisami określone zadania do wypełnienia. Nie jest i nie może być tylko figurantem pozorującym zgodność przetwarzania danych osobowych. Jego działania muszą być realne i skuteczne a administrator danych jest zobowiązany mu to umożliwić.

Powoływanie na stanowisko Inspektora Danych Osobowych osób niekompetentnych w świetle RODO będzie działaniem bardzo ryzykowanym, gdyż  nieprawidłowe wykonywanie zadań przez Inspektora to ryzyko kar finansowych dla administratora danych.

Rejestracja ABI – okres przejściowy

Nowelizacja ustawy o ochronie danych osobowych wprowadzająca zmiany w zakresie funkcjonowania ABI wchodzi w życie 1 stycznia 2015 r. Przewiduje ona jednak okres przejściowy dla ABI wyznaczonych na dotychczasowych zasadach, w brzmieniu przepisów przed nowelizacją. Jednak trzeba powiedzieć wprost jest to najmniej klarowna część całej nowelizacji.

 Interpretacja przepisu przejściowego sprowadza się jednak do tego, że do ABI wyznaczonych na dotychczasowych zasadach powinno stosować się nową regulację, do czasu zgłoszenia do rejestru, nie dłużej jednak niż do 30 czerwca 2015 r.

 I tutaj zaczynają się schody, bo część obowiązków wynikająca z nowelizacji wprost przypisana jest do ABI zgłoszonego np. prowadzenie uproszczonej kontroli dla GIODO, ale inne już wprost się do tego kryterium nie odwołują, jak na przykład prowadzenie wewnętrznego rejestru.

 Na forum ADO/ABI Generalny Inspektor powiedział, że nie będzie prosił niezgłoszonych ABI o przeprowadzenie kontroli, ale zapytany o obowiązek prowadzenia wewnętrznego rejestru zbiorów danych odpowiedział retorycznie, że chyba takie rejestry to i tak są już dzisiaj przez ABI prowadzone.

 Przepis przejściowy sformułowany jest niefortunnie. Interpretowanie, że dotychczasowy ABI w okresie przejściowym, przed zgłoszeniem go do rejestru, część obowiązków ma wypełniać a części nie, jest w mojej opinii nieuzasadniona. Wybieranie, które obowiązki wobec tego dotyczą ABI niezgłoszonego w okresie przejściowym a które nie, według kryterium rejestracji jest próbą wyjścia z niejasnej sytuacji. Objęcie nową regulacją dotychczasowych ABI, niezgłoszonych w okresie przejściowym wymagało bardziej precyzyjnego uregulowania. Wspomniany przepis przejściowy na pewno nie spełnia tego warunku.

Z uwagi na ogromne zainteresowanie tematem a jednocześnie niezbyt dużą podaż informacji w omawianym zakresie postanowiłam stworzyć poradnik, który w sposób kompleksowy omówi najważniejsze zagadnienia oraz te, które wzbudzają najwięcej wątpliwości i nie są powszechnie komentowane.

Poradnik skierowany jest przede wszystkim do przedsiębiorców rozważających wpływ nowych przepisów na dotychczasową praktykę w swojej organizacji, rozważających “za” i “przeciw” powołania ABI, również do  praktyków tj. samych ABI czy prawników zajmujących się tematyką ochrony danych osobowych zawodowo.

Poradnik jest dostępny nieodpłatnie, po zapisaniu się na listę subskrybentów bloga i złożeniu zamówienia drogą elektroniczną na adres kancelaria@przetwarzaniedanych.pl  Zachęcam i zapraszam do zamawiania tego kompleksowego materiału pozwalającego na rozwianie wielu mitów już krążących wokół nowelizacji.

Administrator danych osobowych – Spółka prawa handlowego

 W kwestii ochrony danych osobowych przedsiębiorcy często mają problemy na poziomie bardzo ogólnych pojęć i kwalifikacji czy regulacje dotyczący ochrony danych osobowych dotyczą ich czy może jeszcze nie.

 Jednym z podstawowych a jednocześnie kluczowych pojęć z zakresu ochrony danych osobowych jest oczywiście administrator danych osobowych.

 W procesie przetwarzania danych osobowych bardzo ważną kwestią jest określenie, jaką rolę podmiot pełni czy administratora czy może przetwarzającego dane na zlecenie osoby trzeciej.

 Czy jestem administratorem zastanawia się przedsiębiorca będący osobą fizyczną, czy jestem administratorem zastanawia się spółka prawa handlowego.

 Administratorem danych osobowych wykorzystywanych w zakresie działalności prowadzonej przez przedsiębiorcę jest, co do zasady, sam przedsiębiorca. Administratorem takich danych jest w szczególności spółka z ograniczoną odpowiedzialnością, spółka akcyjna, spółka jawna czy też spółka komandytowa. Tak więc administratorem danych jest sama spółka prawa handlowego, nie zaś jej organy, osoby zasiadające w organach tej spółki lub pełniące w niej funkcje kierownicze.

W przypadku osoby prowadzącej działalność gospodarczą pozostaje ona administratorem danych niezależnie od tego, czy wyznaczy pracownika odpowiedzialnego za przetwarzanie danych osobowych (tzw. administratora bezpieczeństwa informacji).

 Administrator danych osobowych to bardzo istotna rola w procesie przetwarzania danych ze względu na przymiot decydowania o danych ale także na szereg obowiązków do wypełnienia których zobowiązują administratora przepisy prawa.

 Nie w każdym jednak przypadku określenie swojej roli w stosunku do przetwarzanych danych osobowych jest jasne i oczywiste. Nie rzadko w obrocie gospodarczym można spotkać sytuacje, gdy pojęcia i role ulegają pomieszaniu. Nie obywa się w takich przypadkach bez konsekwencji prawnych.

 Na koniec należy wyraźnie zaznaczyć, iż wskazówką dla rozróżnienia ról w procesie przetwarzania danych jest między innymi to czy podmiot przetwarza dane dla osiągnięcia własnych celów i korzyści czy też dla korzyści i celów osoby trzeciej.

Darmowa skrzynka pocztowa a ochrona danych osobowych

Większość z nas korzysta z darmowych skrzynek pocztowych oferowanych przez dostarczycieli usług internetowych. Najczęściej szukamy bezpłatnych kont poczty elektronicznej rzadko czytając stosowne regulaminy dotyczące świadczenia tychże usług.

Niestety jak to w życiu bywa stara jak świat zasada, że niczego nie ma za darmo sprawdza się i tutaj. Pewnie Cię to dziwi, ale niestety taka jest prawda. Zastanawisz się wobec tego co to oznacza i co jest ceną za udostępnienie Tobie usługi poczty elektronicznej za darmo. Ceną niestety są najczęściej Twoje dane osobowe.  Zamawiając usługę poczty elektronicznej i akceptując regulamin świadczenia tej usługi najczęściej zgadzamy się na wiele różnych sposobów przetwarzania danych osobowych m.in na przykład przetwarzanie w celach marketingowych, profilowanie czy udostępnianie danych osobowych w celach marketingowych podmiotom trzecim.

Często zdarza się, że usługodawcy usług pocztowych zapewniają sobie prawo skanowania zawartości naszych skrzynek pocztowych w celu jak najtrafniejszego doboru reklam.  W regulaminie oczywiście czytamy, że takie skanowanie odbywa się w sposób zautomatyzowany i nikt nie ma dostępu do treści konkretnych wiadomości.

Nie zmienia to jednak faktów, że usługodawcy świadczący usługi poczty elektronicznej często mają siedziby poza terytorium UE a często również korzystają z serwerów zlokalizowanych poza europejskim obszarem gospodarczym. W takim przypadku nie mamy pewności czy regulacje dotyczące ochrony danych osobowych obowiązujace na tychże obszarach są adekwatne do tych obowiązujących w Europie.

Wszystkie te rzeczy mają o tyle znaczenie, że po stronie przedsiębiorców korzystających z powszechnie dostępnych skrzynek pocztowych powstaje ryzyko związane z ochroną tajemnicy przedsiębiorstwa, informacji poufnych związanych z działalnością tegoż przedsięborstwa, w tym danych osobowych klientów.

Zwrócić należy szczególną uwagę na zawody zobowiązane przepisami prawa do zachowania tajemnicy zawodowej w zakresie wszelkich informacji o klientach powziętych w związku ze świadczeniem usług. Osoby wykonujące takie zawody ponoszą odpowiedzialność prawną za niedochowanie tajemnicy zawodowej lub za brak należytej staranności w jej dochowaniu. Takim przykładem może być korzystanie z darmowej skrzynki pocztowej, której zawartość jest przez operatora skanowana do celów reklamowych.

Bywa, że administratorów jest dwóch

Tak, w rzeczywistości sytuacja, gdy administratorów danych osobowych jest dwóch może się przydarzyć. Nie należy ona co prawda do sytuacji typowych, jednakże w życiu jest możliwa. Co ważniejsze mimo, iż przepisy prawne wyraźnie takiej sytuacji nie przewidują to nie oznacza to, iż sytacja taka w świetle prawa jest niemożliwa czy niedopuszczalna. Może ona mieć miejsce wówczas, gdy zbiór danych osobowych pozostaje we wspólnej dyspozycji więcej niż jednego podmiotu.

Administrator danych to jak dobrze wiemy jeden z głównych graczy w procesie ochrony i przetwarzania danych osobowych. Na nim spoczywa największe brzemie odpowiedzialności za dane osobowe, którymi administruje czy zamierza administrować. Decyduje on o celach i środkach przetwarzania danych osobowych. Oznacza to, że wyznacza cele, w których dane będzie przetwarzał oraz wyznacza środki, które umożliwią mu realizcję tychże celów.

W przypadku, gdy administratorów jest dwóch mogą oni działać wspólnie. W takim przypadku decyzje dotyczące zbioru podlegałby uzgadnianiu między nimi lub byłyby wynikiem uzgodnionego w tym zakresie podziału komptencji. Administratorzy mogą też działać samodzielnie i wówczas każdy z nich posiadałby status “samodzielnego” administratora.

Sytuacji, gdy w procesie ochrony i przetwarzania danych osobowych administratorów jest dwóch nie należy mylić z relacją administrator danych i przetwarzający, gdyż jest to zupełnie inna sytuacja. Administrator danych osobowych oraz przetwarzający są to dwa podmioty, które występują w procesie przetwarzania danych osobowych.  Jednakże rola, jaką każdy z tych podmiotów pełni jest odmienna i odmienne są też i obowiązki, ktore prawo przewiduje dla każdego z nich.