Kto musi powołać ABI/IOD?
Aktualna ustawa o ochronie danych osobowych określa, że powołanie ABI (administratora bezpieczeństwa informacji) jest przywilejem administratora danych. Oznacza to, że ma on możliwość, a nie obowiązek powołania ABI. Warto podkreślić, że w podmiotach, które przetwarzają dane na dużą skalę lub przetwarzają dane wrażliwe, ABI zdecydowanie powinien być powołany, bo pomimo że nie ma tego obowiązku, trudno jest wyobrazić sobie, jak taki podmiot będzie w stanie wywiązać się z obowiązku zapewnienia poufności danych bez osoby odpowiedzialnej za nadzór nad procesami przetwarzania.
Powołanie ABI przez podmioty publiczne (urzędy, szpitale, ośrodki pomocy społecznej, itd), banki, operatorów telekomunikacyjnych, agencje badawcze oraz inne podmioty, które przetwarzają dane w szerokim zakresie i na dużą skalę powinno być obligatoryjne już dzisiaj. Jest to kwestia chociażby zaufania do tych podmiotów oraz dawania przez nie gwarancji należytej świadomości i stosowanych środków w celu ochrony danych. Przekazywanie im danych wiąże się z kwestią zaufania w złożone deklaracje. Pomimo, że nie ma obowiązku powołania ABI, zdecydowanie jest to zalecane w tego typu podmiotach.
Nowelizacja przepisów o ochronie danych osobowych wprowadza w miejsce ABI inspektora ochrony danych osobowych (IOD). Jest to rola rozszerzona w stosunku do obecnych obowiązków ABI. Szerzej omówię to w oddzielnym artykule. Od maja 2018 roku na podstawie art 37. RODO będzie istniał obowiązek powołania IOD (inspektora ochrony danych), gdy:
1. przetwarzania dokonują organ lub podmiot publiczny;
2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
W pozostałych podmiotach będzie można powołać IOD, chociażby dlatego że może to wpłynąć pozytywnie na wizerunek podmiotu.
Przepisy krajowe doprecyzują, które „organy lub podmioty publiczne” obejmie ten obowiązek, na dzień dzisiejszy można interpretować to jako organy władzy krajowej, organy regionalne i lokalne, ale także inne podmioty, które realizują obowiązki publiczne. Zresztą warto zwrócić uwagę, że większość podmiotów publicznych (tzw. budżetówek) będzie miała obowiązek powołania IOD także ze względu na pozostałe punkty RODO. Przecież działalność urzędów, ośrodków pomocy publicznej, szpitali, służb mundurowych, sądów, bibliotek, zakładów komunikacji miejskiej jest oparta głównie na przetwarzaniu danych osobowych, w wielu przypadkach są to dane wrażliwe i przetwarzane na dużą skalę.
Odnosząc się do pozostałych punktów przepisów, zgodnie z wytycznymi dotyczącymi inspektorów ochrony danych przygotowanymi (nr 16/EN WP 243) przez Grupę Roboczą art. 29 ds. ochrony danych osobowych:
(…) „Główną działalnością” będzie działalność kluczowa z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane. „Głównej działalności” nie należy interpretować w sposób wyłączający działalność w zakresie przetwarzania danych nierozerwalnie związaną z działalnością główną. Dla przykładu działalnością główną szpitali będzie zapewnianie opieki medycznej. Natomiast prowadzenie efektywnej opieki
medycznej nie byłoby możliwe bez przetwarzania danych medycznych jak np. historii choroby pacjenta. W związku z tym działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zaklasyfikowana jako działalność główna. Oznacza to, że szpitale będą miały obowiązek powołania IOD. (…)
Mówiąc krótko przez główną działalność będziemy rozumieć konieczność przetwarzania danych do realizacji celów statutowych i biznesowych. Nie dotyczy to danych osób, które są zatrudniane przez podmiot w celu realizacji tych działań.
Podążając dalej za wytycznymi grupy roboczej art. 29:
(…) Nie jest możliwe wskazanie konkretnej wartości, czy to rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby „dużą skalę”. Nie wyklucza to sytuacji, w której, wraz z rozwojem praktyki ukształtują się standardy, które umożliwiałyby kwantytatywne określenie „dużej skali” w odniesieniu do określonych rodzajów przetwarzania. GR Art. 29 zamierza wspierać ten proces poprzez rozpowszechnianie przykładów odpowiednich progów dla wyznaczenia IOD.
W każdym razie, GR Art. 29 zaleca uwzględnianie następujących czynników przy określaniu, czy przetwarzanie następuje na „dużą skalę”:
- Liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy
społeczeństwa; - Zakres przetwarzanych danych osobowych;
- Okres, przez jaki dane są przetwarzane;
- Zakres geograficzny przetwarzania danych osobowych; (…)
Z własnego doświadczenia powiem tak: jeżeli administrator danych zastanawia się, czy nie powinien powołać ABI/IOD ze względu na prowadzoną przez siebie działalność, to za jego wątpliwością kryją się podświadome przesłanki, które wskazują, że zdecydowanie powinien to zrobić.
Gdy już inspektor ochrony danych osobowych zostanie powołany, zgodnie z art. 37 RODO administrator danych lub procesor są zobligowani opublikować dane inspektora oraz zawiadomić organ nadzorczy o danych kontaktowych IOD. Tryb nie został wskazany w RODO, ale prawdopodobnie zostanie określony w polskich przepisach wykonawczych (prawdopodobnie zostanie zachowany obecny tryb wnioskowy). Na dzień dzisiejszy zaleca się opublikowanie danych do inspektora na stronie internetowej podmiotu. Informację o tym kto jest odpowiedzialny za nadzorowanie bezpieczeństwa informacji powinni otrzymać także wszyscy pracownicy, współpracownicy oraz podmioty współpracujące.
Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001
Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!