Zgodnie z nowym rozporządzeniem ogólnym o ochronie danych osobowych w UE, powołanie ABI (DPO) dla części podmiotów będzie obowiązkowe.
MACIEJ
BYCZKOWSKI
prezes Zarządu ENSI, ekspert ds. bezpieczeństwa informacji i ochrony danych osobowych, od 2007 roku pełni funkcję prezesa Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji. Pełni funkcję ABI w kilkunastu organizacjach w Polsce
Dobre wieści dotarły do środowiska ABI pod koniec zeszłego roku. 15 grudnia Komisja Europejska poinformowała o zakończeniu negocjacji (w ramach tzw. trilogu) dotyczących ogólnego rozporządzenia o ochronie danych osobowych, które wejdzie w życie w 2018 lub 2019 roku.
W uzgodnionym tekście rozporządzenia znalazły się zapisy o przyszłej funkcji ABI. Nie czekając na oficjalne tłumaczenie tekstu rozporządzenia, na podstawie tekstu otrzymanego od osób uczestniczących w pracach, na gorąco prześledzimy poniżej nadchodzące zmiany w statusie ABI. Rozporządzenie określa funkcję DPO (data pro-tection officer), którego odpowiednikiem w Polsce jest ABI. Zgodnie z art. 35 rozporządzenia, DPO będzie musiał być obowiązkowo powoływany przez administratora danych osobowych (ADO) oraz podmiot, któremu powierzono przetwarzanie danych osobowych (procesora), w następujących sytuacjach:
• przetwarzania danych przez podmiot lub organ publiczny, z wyłączeniem sądów w ramach prowadzonych przez nie postępowań;
• kiedy główne działania dotyczące przetwarzania danych z uwagi na swą naturę, zakres i/lub cel wymagają regularnego i systematycznego monitorowania danych osobowych na dużą skalę;
• gdy główne działania składają się z operacji przetwarzania danych osobowych wrażliwych (wymienionych w art. 9 rozporządzenia), a także danych dotyczących karalności za przestępstwa i wykroczenia, o których mowa w artykule 9a.
Pozostali ADO lub procesorzy, niewymienieni powyżej, mogą powołać DPO w sposób dobrowolny, chyba że w sytuacjach wymaganych prawem unijnym lub prawem krajowym państwa członkowskiego są zobowiązane wyznaczyć takiego DPO (to akurat nie dotyczy obecnie Polski, ponieważ po ostatniej nowelizacji uodo powołanie ABI jest dobrowolne).
Z tej możliwości będą mogły skorzystać głównie małe, średnie i mikroprzedsiębiorstwa, w tym osoby fizyczne prowadzące jednoosobową działalność gospodarczą.
Ponadto zostały wprowadzone regulacje dotyczące powołania jednego DPO dla kilku podmiotów, w tym:
• grupa przedsiębiorców może powołać jednego DPO, pod warunkiem że może on wykonywać zadania dla każdego z tych przedsiębiorstw,
• dla kilku jednostek lub organów publicznych można powołać jednego DPO, uwzględniając ich wielkość i strukturę organizacyjną.
DPO może być pracownikiem ADO lub procesora bądź wypełniać swoje zadania na podstawie umowy cywilnoprawnej o świadczenie usług. Są wprowadzone wymagania powołania DPO na podstawie jego kwalifikacji zawodowych, a w szczególności na podstawie wiedzy eksperckiej z zakresu prawa ochrony danych i stosowanych praktyk oraz posiadanych umiejętności w zakresie wypełnienia zadań wskazanych w art. 37 rozporządzenia. Podobne wymagania odpowiedniej wiedzy dla ABI są w przepisach art. 36a ust. 5 uodo.
Dane kontaktowe do DPO mają być publikowane do powszechnej wiadomości oraz przekazywane do Generalnego Inspektora Ochrony Danych Osobowych (podobne wymaganie jak przy obecnej rejestracji ABI).
Status DPO określony w rozporządzeniu oraz jego zadania pokrywają się w dużej części ze statusem i zadaniami ABI, które obowiązują w polskich przepisach od początku 2015 roku. Taki był zamysł zespołu ekspertów, który tworzył te przepisy, aby nowy status ABI przygotowywał go do pełnienia funkcji i zadań DPO, które były określone w pierwszym projekcie rozporządzenia z 2012 roku.
Podobnie jak w polskich przepisach, DPO będzie podlegał bezpośrednio pod kierownictwo ADO lub procesora. Zgodnie z art. 36 rozporządzenia ADO lub procesor będą musieli zapewnić niezależność i możliwość wykonywania zadań przez DPO:
• musi on być właściwie i w odpowiednim czasie angażowany we wszystkie kwestie związane z ochroną danych osobowych;
OCHRONA DANYCH OSOBOWYCH Q LUTY 2016