Obowiązki IOD w związku z ustawą o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości
Doczekaliśmy się uregulowania kwestii przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, które zgodnie z art. 2 ust. 2 lit d RODO było wyłączone spod jego stosowania. Zasady przetwarzania danych przez te podmioty reguluje ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (dalej będę używać określenia uodopzzzp). Podkreślenia wymaga fakt, że ustawa odnosi się do przetwarzania danych osobowych do wskazanych celów, czyli w pozostałym zakresie zastosowanie będzie miało RODO, w szczególności do zasad przetwarzania danych pracowników, kandydatów do pracy, kontrahentów, uczestników przetargów.
Nowa ustawa reguluje zasady wyznaczenia, a także obowiązki Inspektora Ochrony Danych Osobowych w podmiocie zobligowanym do jej stosowanie. Nie sposób oprzeć się wrażeniu, że to powrót do korzeni, czyli (uchylonej) ustawy o ochronie danych osobowych z 2015 roku (dalej stara uodo), która miała „przygotować” administratorów danych na przyjście RODO. Być może niektórzy pamiętają jeszcze dwa rozporządzenia wykonawcze do tej ustawy, określające sposób realizacji obowiązków przez ówczesnego ABI:
- Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji
- Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych
Sprawdzenia na zlecenie Prezesa UODO
Pierwszą istotną różnicą w stosunku do RODO, jest fakt, że Prezes Urzędu może zwrócić się bezpośrednio do inspektora ochrony danych o przeprowadzenie sprawdzenia stosowania uodopzzzp (art. 11). Takie same obowiązki miał ABI zgodnie ze starą uodo. RODO nie przewiduje przeprowadzania sprawdzeń przez IOD na zlecenie Prezesa UODO. Warto podkreślić, że sprawdzenie dotyczy tylko i wyłączenie procesów przetwarzania danych dotyczących apobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
Pełnie roli punktu kontaktowego
Zgodnie z artykułami 13 i 14 RODO administrator danych, który wyznaczył Inspektora, podaje jego dane w każdym obowiązku informacyjnym. Natomiast artykuł 22 uodopzzzp wskazuje, że dane kontaktowe Inspektora publikuje się dopiero wówczas, gdy jest to konieczne. Warto zwrócić uwagę, że obowiązek informacyjny, o którym mowa w uodopzzzp wypełnia się poprzez udostępnienie klauzuli informacyjnej na stronie internetowej, w Biuletynie Informacji Publicznej na stronie podmiotowej właściwego organu lub urzędu lub w jego siedzibie. Dodatkowo klauzula jest o wiele mniej obszerna niż ta z RODO.
Inspektor Ochrony Danych pełni rolę punktu kontaktowego dla Prezesa UODO, tak jak ma to miejsce w przypadku RODO. W szczególności będzie prowadził na polecenie administratora konsultacje z Prezesem UODO w zakresie oceny skutków, spraw związanych z naruszeniem dla ochrony danych osobowych.
Rejestr czynności przetwarzania danych osobowych
Administratorzy danych na mocy artykułu 32 uodopzzzp jest zobligowany do prowadzenia rejestru czynności przetwarzania danych, a jeżeli ma to zastosowanie, także rejestr kategorii czynności przetwarzania. W odróżnieniu od RODO ustawa nie przewiduje możliwości zwolnienia z tego obowiązku. Biorąc pod uwagę, że rejestry pomagają administratorowi zapewniać rozliczalnosćć przetwarzania danych, jest to rozsądne podejście. Inspektor, jak w przypadku RODO, wspiera administratora w prowadzeniu rejestru.
Ocena skutków dla ochrony danych
Co ciekawe artykuł 36 ustęp 6 uodopzzzp wyraźnie wskazuje na to, że administrator danych może powierzyć Inspektorowi wykonanie w jego imieniu oceny skutków. Jest to zasadnicza różnica w stosunku do RODO. Z mojego punktu widzenia, nie jest to najlepsze rozwiązanie, bo Inspektor nie jest osobą, która powinna wskazywać, jakie środki minimalizujące ryzyko zastosuje administrator. Inspektor powinien być niezależny od administratora danych i pełnić rolę doradczą, jednocześnie został uprawniony do przeprowadzenia oceny skutków i narzucenia administratorowi środków, które powinien zastosować. Stoi to w sprzeczności z faktem, że to administrator decyduje o sposobach przetwarzania danych, a nie inspektor. W praktyce mogę wyobrazić sobie dwie sytuacje:
- administrator danych powierza Inspektorowi wykonanie oceny skutków, a potem narzuca mu zmiany, które powinien w nich dokonać, co stoi w sprzeczności z niezależnością wykonywania obowiązków, w konsekwencji inspektor wykona ocenę skutków, która będzie „oderwana od rzeczywistości”, opierając ją na tym co być powinno, a nie co jest;
- inspektor opierając się na zasadzie niezależności, dokona oceny skutków, w której narzuci administratorowi swoje zalecenia do wykonania, jeżeli administrator nie będzie chciał się z nimi zgodzić, konieczne będą konsultacje z Prezesem UODO.
Moim zdaniem Inspektor powinien wspierać administratora w przeprowadzeniu oceny skutków, jednakże nie jest w stanie wykonać jej za administratora w sposób, który nie stałby w sprzeczności z innymi wymaganiami uodopzzzp oraz RODO.
Artykuł 47 uodopzzzp wskazuje, że obowiązkiem IOD jest przygotowywanie zaleceń co do oceny skutków dla ochrony danych osobowych, w przypadku, o którym mowa w art. 37, oraz monitorowanie wykonania tych zaleceń. Trudno oprzeć się wrażeniu, że w tym brzmieniu IOD jest jednocześnie nadzorcą oraz wykonawcą, więc nie można mówić o jego niezależności w działaniu.
Wyznaczenie Inspektora
Podobnie, jak RODO, ustawa przewiduje możliwość wyznaczenia jednego Inspektora dla kilku organów. Istotną zmianą jest wyraźne wskazanie możliwości wyznaczenia zastępy Inspektora. Jest to bardzo dobra propozycja, ponieważ obecnie dużym problemem dla większości osób realizujących obowiązki IOD jest możliwość zapewnienia ciągłości działania, szczególnie podczas urlopu. Wielu Inspektorów skarży się na to, że w zasadzie ich urlop jest tylko na papierze, ponieważ w praktyce ich obecność jest wymagana praktycznie non stop. Wyznaczenie zastępy powinno być dobrą praktyką u każdego administratora danych, u którego przetwarzanie danych jest istotną częścią działalności.
Zarówno Inspektora, jak i jego zastępcę należy zgłosić Prezesowi UODO. Należy podkreślić, że zgodnie z artykułem 98 uodopzzzp, jeżeli administrator wcześniej już wyznaczył i zgłosić IOD na mocy RODO, będzie zobligowany do ponownego zgłoszenia Inspektora. Wnioski zgłaszające są dostępne tutaj.
Monitorowanie zgodności przetwarzania z uodopzzzp
Inspektor wyznaczony na mocy przepisów uodopzzzp ma bardzo podobne obowiązki do tych określonych w RODO. Najważniejsze jest monitorowanie przestrzegania zgodności przetwarzania z ustawą (audyty), a także zapoznawanie z obowiązkami wynikającymi z przepisów oraz wewnętrznych pracowników administratora. Inspektor będzie także monitorował polityki bezpieczeństwa administratora. Jako punkt kontaktowy będzie informował Prezesa UODO, o tym jak administrator danych realizuje jego zalecenia (czyli jest oczami i uszami UODO u administratora).
Mówiąc o powrocie do korzeni, tzn. starej uodo Inspektor jest zobligowany raz do roku sporządzić oraz przekazać administratorowi sprawozdania ze sprawdzenia. Sposób przeprowadzania sprawdzenia zostanie określony w odrębnym rozporządzeniu, które zapewne będzie tożsame do rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji.
Jeden Inspektor dwa zestawy obowiązków
Warto podkreślić, że w jednym podmiocie może być obowiązek wyznaczenia Inspektora na mocy RODO oraz uodopzzzp. Może to być jedna i ta sama osoba (tak pewnie będzie najczęściej) lub dwie (wówczas mogliby na wzajem być swoimi zastępcami). Inspektor realizując swoje obowiązki, będzie musiał szczególną uwagę zwraca na fakt, że część monitorowanych przez niego procesów będzie podlegało ochronie na mocy RODO, a część na mocy uodopzzzp. Większość obowiązków jest tożsama, więc Inspektor, który już realizował swoje obowiązki na mocy RODO nie powinien mieć trudności ze sposobem realizacji nowych zadań. Odrębną kwestią może być czas, ponieważ pomimo, że obowiązki są przybliżone, czas realizacji może istotnie wzrosnąć, ponieważ trzeba będzie przygotowywać odrębne sprawozdania (lub części sprawozdania), rejestry, analizy ryzyka, oceny skutków. Dodatkowo może dojść konieczność realizowania sprawdzeń na polecenie Prezesa UODO oraz udzielanie mu wyjaśnień dotyczących sposobu przetwarzania danych osobowych przez administratora.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.