Wraz z rozpoczęciem stosowania, od 25 maja 2018 r., przepisów ogólnego rozporządzenia o ochronie danych obowiązki i odpowiedzialność administratorów danych za zgodne z prawem przetwarzanie danych osobowych znacznie się zwiększą. Tym zaś, którzy nie będą respektowali nowych zasad ochrony danych, grozić będą wysokie kary finansowe. Stąd też sprostanie nowym wymogom, m.in. dzięki wsparciu kompetentnego inspektora ochrony danych, mającego zarówno bogatą wiedzę teoretyczną, jak i konkretne umiejętności praktyczne, nabiera coraz większego znaczenia.

Przedstawieniu podstaw prawnych regulujących wykonywanie funkcji inspektora ochrony danych oraz roli i zadań osób je pełniących poświęcona była konferencja „Wykonywanie funkcji inspektora ochrony danych w świetle przepisów ogólnego rozporządzenia o ochronie danych”, którą 14 lutego 2017 r. zorganizowali w Warszawie Generalny Inspektor Ochrony Danych Osobowych (GIODO) oraz Instytut Nauk Prawnych Polskiej Akademii Nauk (INP PAN).

Potrzebna niezależność

W wystąpieniu otwierającym spotkanie dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych (GIODO) podkreślała, że prawodawca unijny, przyjmując rozporządzenie, wzmocnił niezależność i pozycję inspektorów ochrony danych, czyli osób, które najczęściej będą kontynuatorami działań podejmowanych przez dotychczasowych administratorów bezpieczeństwa informacji (ABI). Doprecyzował wymogi dotyczące ich fachowego przygotowania, a jednocześnie zapewnił im większą ochronę. Zgodnie bowiem z art. 36 ust. 3 rozporządzenia, administrator lub podmiot przetwarzający nie może odwołać ani karać inspektora za prawidłowe wypełnianie przez niego zadań. Dr Edyta Bielak-Jomaa zaznaczała również, że określony przez unijnego prawodawcę zakres zadań inspektorów wskazuje, iż osoby te mają przede wszystkim pełnić rolę doradczą i weryfikacyjną wobec działań i decyzji administratorów danych i podmiotów przetwarzających dane. Podkreślała, jak ważne w tym kontekście jest zapewnienie im niezależności.

– Pojęcie niezależności należy odnosić przede wszystkim do wykonywania przez inspektora ochrony danych jego obowiązków i zadań. Jeśli jednym z tych zasadniczych jest doradzanie administratorowi danych w zakresie przestrzegania przepisów rozporządzenia oraz monitorowanie tego przestrzegania, to zadania te powinny być realizowane jedynie przy założeniu, że swoje oceny i zalecenia inspektor może formułować w sposób suwerenny, wolny od jakichkolwiek nacisków i wpływów – mówiła. – Innym przejawem niezależności jest oczywiście umiejscowienie w strukturze organizacyjnej – inspektor ma bowiem bezpośrednio podlegać najwyższemu kierownictwu – dodała.

Jednocześnie dr Edyta Bielak-Jomaa podkreślała, że dysponujący odpowiednią wiedzą i umiejętnościami inspektorzy ochrony danych będą stanowić fundament nowego, skutecznego systemu ochrony danych. Zaznaczała, że podnoszenie ich kwalifikacji to jeden z priorytetów GIODO.

Jest on realizowany na wiele sposobów, m.in. poprzez organizację specjalistycznych szkoleń, dedykowanych obecnym ABI oraz przyszłym inspektorom ochrony danych, a także poprzez przygotowywanie branżowych konferencji, choćby takich jak ta zorganizowana 14 lutego 2017 r. przez GIODO i PAN.

W ostatnim czasie są one okazją m.in. do prezentacji podstaw prawnych funkcjonowania inspektorów określonych zarówno w przepisach rozporządzenia o ochronie danych osobowych, jak i w projektowanych przepisach nowej ustawy o ochronie danych osobowych, o czym podczas warszawskiego spotkania mówił dr Maciej Kawecki z Ministerstwa Cyfryzacji, które ze strony rządu odpowiada za przygotowanie Polski do stosowania ogólnego rozporządzenia o ochronie danych.

O tym z kolei, na ile pomocne w wykonywaniu zadań inspektora ochrony danych mogą być tzw. miękkie regulacje, takie jak wytyczne Grupy Roboczej Artykułu 29, mówił Paweł Makowski, zastępca dyrektora Departamentu Edukacji Społecznej i Współpracy Międzynarodowej w Biurze GIODO. W swoim wystąpieniu przedstawił charakter i zawartość wytycznych dotyczących inspektorów ochrony danych, przypominając, że do 15 lutego 2017 r. możliwe jest składanie uwag do nich, w ramach zainicjowanego przez GIODO cyklu konsultacji.

Nowe zadania

Część wystąpień odnosiła się zaś do nowych zadań, które będą realizowane przez inspektorów ochrony danych. Jędrzej Niklas z Fundacji Panoptykon, omawiając kwestię pełnienia przez inspektorów roli punktu kontaktowego m.in. dla osób, których dane dotyczą, wskazywał, jak różne może być do niej podejście. Jednocześnie zaznaczał, że nie ma jednoznacznych rozwiązań w tym zakresie, które z czasem zapewne zostaną wypracowane.

Panel dyskusyjny

Obrady zakończył panel dyskusyjny, którego uczestnicy debatowali o tym, jak obecni administratorzy bezpieczeństwa informacji (ABI) mogą przygotowywać się do wykonywania funkcji inspektora ochrony danych - na ile możliwe będzie wykorzystanie ich dotychczasowych doświadczeń, jakie działania dostosowawcze można podjąć, jak powinien wyglądać harmonogram przygotowań.

A im bliższy jest czas rozpoczęcia stosowania rozporządzenia i im więcej szczegółów dotyczących nadchodzących zmian znamy, tym dyskusja jest żywsza i ciekawsza. GIODO zamierza ją podtrzymywać i zachęca wszystkich do aktywnego uczestnictwa i wyrażania swoich poglądów na temat reformy systemu ochrony danych osobowych.

Konferencja, w której uczestniczyło ponad 200 osób, była jednym z wydarzeń organizowanych w związku z obchodami XI Dnia Ochrony Danych Osobowych.

Towarzyszyło jej również spotkanie dr Edyty Bielak-Jomaa, Generalnego Inspektora Ochrony Danych Osobowych z mediami, które również włączają się do upowszechniania wiedzy na temat zmian w prawie o ochronie danych osobowych.

