Baza wiedzy DBMS

JEŻELI NIE ABI TO… ? Co musisz wiedzieć o RODO cz.1

  • 285
  • 36

Po wdrożeniu do stosowania przepisów RODO, z polskiego porządku prawnego zniknie Administrator Bezpieczeństwa Informacji – czyli popularny ABI. Nie będzie to wymagało od przedsiębiorców żadnych dodatkowych działań. W dniu 25 maja 2018 r. ABI po prostu przestanie funkcjonować. Wśród osób interesujących się zmianami jakie niesie RODO dość często można spotkać tezę, że ABI zostaje zastąpiony IOD (Inspektorem Ochrony Danych) lub też z angielska – DPO (Data Protection Officer). Jest to jednak daleko idące uproszczenie. Po pierwsze przepisy nie przewidują „substytucji” – tj. nie należy liczyć na to, że istniejący ABI stanie się „automatycznie” IOD 25 maja 2018. Powołanie IOD stanowić będzie zupełnie odrębny proces. Po wtóre ABI i IOD nie są instytucjami tożsamymi. Nie da się wprost przełożyć obecnych obowiązków czy statusu ABI na zadania i rolę IOD.

Obowiązek wyznaczenia IOD

Przedsiębiorca, który przetwarza dane osobowe powinien w pierwszej kolejności dokonać oceny, czy jest zobowiązany do wyznaczenia IOD. W RODO wyraźnie określono grono podmiotów, na których taki obowiązek spoczywa. Zgodnie z art. 37(1) RODO, IOD należy wyznaczyć w przypadku, gdy:

  • przetwarzania dokonują organ lub podmiot publiczny;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

W praktyce działalności firm, najczęściej przedmiotem analizy będzie ustalenie, co oznacza pojęcie „główna działalność administratora(…)”. Odpowiedź można wywieść z motywu 97 RODO – zgodnie z którym „główną działalnością” będzie działalność kluczowa dla danej firmy. Niemniej zgodnie z wytycznymi Grupy Roboczej ds. art. 29 (dalej: WG29), zajmującej się interpretacją przepisów RODO, pojęcie to należy rozumieć dość szeroko. Jeżeli dany przedsiębiorca wykonuje działalność, której prowadzenie nie mogłoby być prowadzone efektywnie bez przetwarzania danych, wówczas przetwarzanie danych w takiej firmie należałoby klasyfikować jako „główną działalność”.

Nie można więc utożsamiać „głównej działalności” z ujawnionymi w KRS lub rejestrze przedsiębiorców PKD. Np. firma prowadząca sprzedaż określonych produktów bądź to poprzez e-shop bądź za pośrednictwem telemarketerów, mimo, iż jej działalność wg. PKD dotyczy „sprzedaży”, będzie zobowiązana do wyznaczenia IOD – ponieważ bez przetwarzania danych nie byłaby w stanie tej działalności prowadzić, tak więc należy uznać, iż jej „główna działalność” polega również na przetwarzaniu danych.

Podobne wątpliwości może budzić interpretacja kryterium „dużej skali”. Na dziś nie jest to dookreślone i zapewne kształtować się będzie w praktyce funkcjonowania RODO, niemniej wydaje się, że należy na dziś przyjąć potoczne, czy też intuicyjne rozumienie tego pojęcia. Czyli podmioty korzystające z hurtowni danych, analiz big-data czy też danych dużych grup klientów powinny przyjąć, iż przetwarzają dane „w dużej skali”. Podobnie nie doprecyzowano znaczenia sformułowania „regularnego monitorowania”. I znowu WG29 stoi na stanowisku, że pojęcie to należy interpretować szeroko – jako w zasadzie większość działań marketingowych, badających zachowania określonych osób lub grup osób – i to w kontekście szerszym, niż wyłącznie aktywność on-line (np. scoring, geolokalizacja, programy lojalnościowe, monitoring).

Należy również mieć na uwadze, że obowiązek powołania IOD dotyczy nie tylko administratorów, ale również podmiotów przetwarzających dane – których status w pewnym uproszczeniu można porównać do obecnych podmiotów, którym dane te powierzono.

Nie ma żadnych przeszkód, aby firmy  lub podmioty, które formalnie nie muszą mieć swojego IOD, mimo wszystko wyznaczyły taką osobę. Status IOD może mieć bądź to – jak określono w RODO „członek personelu” administratora (osoba ta nie musi mieć statusu pracownika). Można również – przy spełnieniu pewnych, w zasadzie niewygórowanych obowiązków, ustanowić jednego IOD dla kilku przedsiębiorstw, co zostanie szerzej omówione w dalszej części artykułu.

Biorąc pod uwagę powyższe uwarunkowania, w sytuacji, gdy przedsiębiorca nie jest pewien, czy ma obowiązek wyznaczenia IOD i nie jest w stanie jednoznacznie wykazać, iż taki obowiązek go nie dotyczy, rekomendować należy wyznaczenie IOD – choćby jako osobę spoza organizacji.

Jeżeli administrator uzna, że nie musi i nie chce wyznaczać IOD – warto udokumentować proces analizy, której skutkiem było uznanie braku obowiązku wyznaczenia IOD i załączyć taki dokument do zbioru dokumentacji związanej z wdrożeniem RODO w firmie, bowiem może być to przedmiotem weryfikacji ze strony organu nadzoru.

Nawet jednak w takiej sytuacji warto zastanowić nad wyznaczeniem w firmie osoby, odpowiedzialnej za realizację zadań z zakresu ochrony danych osobowych – oczywiście nie będzie to IOD i osoba taka nie będzie posiadać jego uprawnień ani obowiązków, niemniej może być bardzo przydatna w przypadku ewentualnej kontroli organu nadzoru. Warto jednak pamiętać, aby nazwa stanowiska czy też funkcji takiego pracownika nie wprowadzała w błąd, sugerując, iż jest to IOD.

Wyznaczenie IOD

Zasadniczo wyznaczenie IOD będzie prostym i nie pociągającym za sobą istotnych kosztów procesem. Polegać będzie na wskazaniu danych kontaktowych IOD oraz przekazaniu ich do organu nadzoru. Dane kontaktowe należy rozumieć jako informacje, umożliwiające kontakt z IOD (np. adres do korespondencji, e-mail, numer telefonu). Nie ma obowiązku publikowania danych osobowych IOD przez firmę – należy jednak rozważyć to jako tzw. „dobrą praktykę”. RODO wymaga, aby IOD spełniał określone kryteria – dotyczą one jego kompetencji, czy też jak to określa samo RODO „kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat praktyk w dziedzinie ochrony danych oraz wypełniania zadań”. Tak więc IOD nie musi posiadać ani określonego poziomu wykształcenia, ani specjalistycznych certyfikatów ani ukończonych kursów. Nie musi być również poddany żadnym egzaminom. Należy jednak mieć na uwadze, że brak odpowiedniej wiedzy po stronie IOD może narazić obsługiwaną przez niego firmę na poważne konsekwencje wynikające z nieprawidłowego przetwarzania danych, więc mimo formalnej łatwości w powołaniu tego podmiotu, warto jednak zadbać, by była to osoba, posiadająca zarówno kwalifikacje jak i możliwości właściwego zabezpieczenia interesów firmy, którą reprezentuje.

Co ważne, rola IOD nie musi być jedyną, pełnioną przez pracownika. W takiej sytuacji warto jednak rozważyć, czy dana osoba będzie w stanie pogodzić zadania IOD z innymi obowiązkami. Należy również zadbać o to, aby jednoczesne pełnienie roli IOD i innych zadań nie generowały konfliktu interesów. W tym wypadku pojawia się poważna wątpliwość, co do zgodności z RODO powoływania do tej roli osób z głównego kierownictwa firmy (Zarząd, dyrektorzy wykonawczy) – co zdarzało się przy ABI. Zgodnie z wytycznymi WG29 właśnie ze względu na niedopuszczalny konflikt interesów taki sposób łączenia funkcji będzie niezgodny z art. 38 RODO.

W przypadku IOD wyznaczonego wspólnie przez kilku przedsiębiorców, warunkiem określonym przez RODO jest jedynie możliwość łatwego nawiązania z taką osobą kontaktu przez każdy z obsługiwanych podmiotów. Należy również brać pod uwagę, że realizacja obowiązków IOD będzie wymagała wglądu w część dokumentów i systemów informatycznych firm czy kontaktów z innymi pracownikami. IOD nie musi być jednak fizycznie alokowany w firmie, kraju czy nawet UE (choć GR29 rekomenduje takie rozwiązanie).

Zadania i pozycja IOD

Zasadniczo można przyjąć, iż IOD odpowiada przede wszystkim za monitorowanie zgodności bieżącego funkcjonowania firmy z RODO. W ramach swoich obowiązków określonych w sposób ogólny w art. 39 RODO, IOD współpracuje z organem nadzorczym, w tym funkcję punktu kontaktowego ze strony firmy dla organu nadzorczego. Odpowiada za informowanie administratora lub podmiotu przetwarzającego oraz pracowników tych organizacji o obowiązkach wynikających z RODO,  monitoruje przestrzeganie przepisów w organizacji. Powinien również brać udział w ocenie skutków danych działań dla ochrony danych – czyli wdrażania w praktyce zasady „privacy by design” i privacy by default”. Co ważne, IOD nie ponosi osobistej odpowiedzialności za ewentualne występujące niezgodności z RODO. Odpowiedzialność ta będzie ciążyła zawsze na administratorze lub podmiocie przetwarzającym.

RODO nie określa szczegółowego zakresu zadań IOD. Zapewne w toku interpretowania RODO zarówno przez podmiot nadzorujący jak również na szczeblu Wspólnotowym, pewien typowy i zalecany katalog zadań IOD zostanie w przyszłości wypracowany. Na obecnym etapie trzeba jednak przyjąć, że zadania IOD na poziomie szczegółowym określane są bezpośrednio przez administratora lub podmiot przetwarzający. Należy przyjąć, że obok zadań wynikających wprost z RODO, IOD będzie odpowiadał za realizację obowiązków, które RODO nakłada na wspierane przez niego organizacje. To, w jakim zakresie i w jaki sposób będzie to realizowane przez IOD zależy już od konkretnego administratora. W komentarzach do RODO podnosi się, że do takich typowych zadań IOD będą należały: prowadzenie szkoleń dla pracowników, opracowanie materiałów (np. treści na strony www) zawierających informacje o zasadach przetwarzania danych, tworzenie i aktualizacja polityk wewnętrznych w tym zakresie, udzielanie porad, prowadzenie audytów, zbieranie informacji o zakresie i sposobie przetwarzania danych osobowych w organizacji, analizowanie konieczności oceny skutków działań w zakresie bezpieczeństwa danych osobowych oraz rekomendowanie metodologii jej przeprowadzenia, identyfikacja ryzyk. W zakresie pełnienia funkcji „punktu kontaktu” z organem nadzoru można tu również wymienić prowadzenie korespondencji z tym organem, wnioskowanie o uzyskanie interpretacji czy porady jak również reprezentowanie administratora lub podmiotu przetwarzającego dane w trakcie działań kontrolnych a także wsparcie administratora przy zgłaszaniu naruszenia danych osobowych. Do zadań IOD może również należeć prowadzenie rejestru czynności przetwarzania danych oraz komunikacja i realizacja żądań osób, do których przetwarzane dane dotyczą a także inne czynności, związane z przetwarzaniem danych osobowych w organizacji.

Jak widać możliwy zakres obowiązków IOD może być określony bardzo szeroko. Jest to jednak w przeważającej mierze kwestia indywidualnej decyzji danego administratora lub podmiotu przetwarzającego. Ponieważ szczegółowy zakres zadań nie wynika z „odgórnie” narzuconych do stosowania przepisów, zalecanym jest, aby był on opisany w ramach dokumentów wewnętrznych (np. regulaminu, procedury) obowiązujących w firmie administratora lub podmiotu przetwarzającego dane.

Aby  IOD mógł efektywnie realizować swoje zadania, zaleca się, aby osoba pełniąca tę funkcję miała odpowiednie umocowanie w firmie. W szczególności należy przez to rozumieć możliwość kontaktu z osobami decyzyjnymi, pełnego dostępu do informacji i infrastruktury – w szczególności tych, które mogą wpływać na kwestie dotyczące przetwarzania danych. W tym zakresie administrator lub podmiot przetwarzający zobowiązani są do wspierania IOD w zakresie wykonywania jego zadań (art. 38 ust. 1 i 2 RODO). Także na poziomie RODO określono wymóg niezależności IOD w zakresie realizowanych funkcji.

Istotne jest również, iż w zakresie swoich funkcji IOD zobowiązany do zachowania tajemnicy– co może mieć szczególnie duże znaczenie dla firm powołujących IOD spoza organizacji.

Z punktu widzenia RODO istotna jest „niezależność” IOD w zakresie wykonywania swoich funkcji. Tak więc IOD nie powinien być karany przez firmę w związku z faktem, iż w ramach pełnionej funkcji wbrew interesom czy twierdzeniom obsługiwanego przedsiębiorcy, wskazywał określone działania lub rozwiązania jako niezgodne z RODO. Dotyczy to tak sankcji bezpośrednich (np. utrata premii, zwolnienie) jak i pośrednich – np. utrudnień w awansie, czy też pomijaniu przy podwyżkach i działaniach rozwojowych.

Nie oznacza to w żadnym stopniu „immunitetu” dla IOD – szczególnie, jeżeli w firmie pełni jeszcze inne funkcje, niemniej jego pozycja będzie w każdym przypadku różniła się od pozycji „standardowego” pracownika.

Jak to wygląda w DBMS

Ponieważ z racji przedmiotu działalności, w przypadku DBMS nie ma żadnych wątpliwości co do obowiązku powołania IOD – osoba taka będzie funkcjonować już od 25 maja 2018 r., dbając o przestrzeganie zasad RODO, aktualność procedur i bezpieczeństwo danych osobowych wykorzystywanych w firmie. Będziemy korzystali z wiedzy doświadczonego pracownika, jak również bieżącego wsparcia prawnego realizowanego przez wyspecjalizowaną kancelarię. Dane IOD oraz dane kontaktowe zostaną opublikowane na stronach internetowych DBMS.

W tym kontekście zwrócić należy uwagę także na potencjalne korzyści, które mogą wiązać się z podjęciem współpracy z DBMS w zakresie działań marketingowych. Jest to związane z obowiązkiem powołania IOD dotyczy także podmiotów, które przetwarzają dane, nawet w sytuacji, kiedy nie mają statusu administratora tych danych. Tak więc „prosty” zakup lub pozyskanie danych z rynku może spowodować, iż firma pracująca z tymi danymi będzie musiała spełnić cały szereg zobowiązań wynikających z RODO – w tym powołać IOD – co szczególnie w przypadku mniejszych firm może być istotną niedogodnością i dodatkowym kosztem.

DMBS udostępnia narzędzia (GreenSender) umożliwiające zamówienie określonej kampanii dedykowanej wskazanym grupom odbiorców bez fizycznego przenoszenia danych osobowych na podmiot realizujący kampanię, dzięki czemu nie będzie on miał statusu podmiotu, „przetwarzającego dane” i związanych z tym obowiązków.

Źródła: RODO, Wytyczne WG29 dotyczące inspektorów ochrony danych;

Podobne wpisy

Przejdź do góry