Już przy pobieżnym zapoznaniu się z proponowanymi przepisami zwraca uwagę kwestia terminologiczna – we wszystkich trzech wersjach3 projekt rozporządzenia posługuje się pojęciem „inspektor ochrony danych” na określenie odpowiednika obecnego administratora bezpieczeństwa informacji. Jako że wszystkie wersje są w tym zakresie zgodne, należy się spodziewać, że po wejściu w życie rozporządzenia tak właśnie będzie się określać odpowiednika dzisiejszego ABI.

Zasada dobrowolności powołania inspektora ochrony danych utrzymana w projekcie Rady

Jednym z zasadniczych elementów składających się na nową pozycję prawną ABI w polskich przepisach ustawy z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm., dalej: Ochr­DanychU) jest dobrowolność wyznaczenia ABI przez administratora danych – administrator danych albo powołuje ABI, albo sam wykonuje jego obowiązki (art. 36b OchrDanychU). Zasada dobrowolności powołania inspektora ochrony danych utrzymana została w całości w projekcie Rady – projekt ten nie przewiduje żadnych przypadków, w których powołanie inspektora byłoby obowiązkowe.

Projekty Komisji i Parlamentu

Jednak projekt Komisji oraz projekt Parlamentu przewidują sytuacje, w których powołanie inspektora będzie obowiązkowe. W projekcie Parlamentu są to następujące sytuacje:

1) gdy administratorem danych osobowych jest podmiot należący do sfery prawa publicznego;

2) gdy administratorem danych jest osoba prawna, a przetwarzanie danych dotyczy ponad 5000 podmiotów danych rocznie w dowolnym okresie kolejnych 12 miesięcy;

3) gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych;

4) gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu danych wrażliwych, danych dotyczących lokalizacji lub danych dotyczących dzieci lub pracowników „w wielkoskalowych zbiorach danych”.

Takie a nie inne stanowisko Parlamentu stanowi wyraz dążenia tej instytucji do większej regulacji niektórych aspektów przetwarzania danych osobowych. Można założyć, że w czasie trilogu Parlament będzie kłaść nacisk na wprowadzenie tych rozwiązań do rozporządzenia.

Wspólnym rozwiązaniem dla wszystkich projektów jest możliwość powoływania jednego inspektora przez kilka podmiotów – projekty różnią się tylko pewnymi szczegółami w zakresie tego rozwiązania.

Projekty Komisji i Parlamentu przewidują, że inspektor jest wyznaczany „na podstawie jego kwalifikacji zawodowych oraz w szczególności jego wiedzy specjalistycznej z zakresu prawa ochrony danych, praktyki i zdolności do wykonywania zadań inspektora. Niezbędny poziom wiedzy specjalistycznej ustala się w szczególności zgodnie z prowadzonym przetwarzaniem danych oraz ochroną wymaganą dla danych osobowych przetwarzanych przez administratora lub podmiot przetwarzający”. Rada dodatkowo zwraca uwagę w swoim projekcie na brak konfliktu interesów po stronie potencjalnego inspektora. Komisja i Parlament, wzorem obecnie obowiązującego art. 36a ust. 4 OchrDanychU, proponują, „by inne obowiązki zawodowe inspektora ochrony danych były zgodne z zadaniami i obowiązkami tej osoby jako inspektora ochrony danych i by nie skutkowały one konfliktem interesów”.

Ważne
Wszystkie trzy projekty są zgodne co do tego, że inspektor może być zatrudniony na podstawie umowy o pracę albo wykonywać swoje obowiązki na podstawie umowy o świadczenie usług (outsourcing).

Komisja i Parlament proponują jednak, aby inspektor pełnił swoją funkcję kadencyjnie4: w propozycji Komisji jest to dwuletnia kadencja, a w propozycji Parlamentu czteroletnia kadencja w przypadku pracowników i dwuletnia w przypadku outsourcingu. Odwołanie inspektora w czasie trwania kadencji byłoby możliwe jedynie wtedy, gdyby „przestał spełniać warunki niezbędne do pełnienia przez niego obowiązków” (wśród tych warunków nie ma jednak, jak to jest obecnie w OchrDanychU, wymogu niekaralności, a jedynie bliżej niesprecyzowany wymóg posiadania „wiedzy specjalistycznej”). Co ciekawe, projekt Rady odchodzi od modelu kadencyjności inspektora – kwestia ta będzie więc musiała zostać ostatecznie rozstrzygnięta w toku trilogu.

Podawanie do wiadomości publicznej informacji „o imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych”

Chyba najbardziej widoczną oznaką wzrostu roli inspektora na gruncie rozporządzenia będzie rozwiązanie zakładające podawanie do wiadomości publicznej informacji „o imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych”. W tym zakresie wszystkie trzy wersje projektu są ze sobą zgodne. Co więcej, we wszystkich trzech wersjach proponuje się wprowadzenie rozwiązania, zgodnie z którym „[p]odmioty danych mają prawo kontaktować się z inspektorem ochrony danych we wszystkich kwestiach związanych z przetwarzaniem swoich danych oraz wnioskować o możliwość wykonania praw przysługujących im na mocy niniejszego rozporządzenia”. Uprawnienie to będzie zabezpieczone przez obowiązek podawania przez administratora danych, przy gromadzeniu danych osobowych, danych kontaktowych inspektora. Inspektor otrzyma więc umocowanie wynikające z przepisów prawa do działania w imieniu administratora danych osobowych w relacjach z osobami, których dane dotyczą – jest to rozwiązanie nieznane obecnie obowiązującej OchrDanychU, która dla takiego umocowania ABI wymaga udzielenia mu pełnomocnictwa przez administratora danych osobowych.

Brak procedury rejestracji ABI przez GIODO

Żaden z trzech projektów nie zawiera odpowiednika art. 46b–46f Ochr­DanychU, regulujących procedurę rejestracji ABI przez Generalnego Inspektora Ochrony Danych Osobowych. Na gruncie rozporządzenia nie będzie więc obowiązku rejestracji inspektorów w GIODO, a samo powołanie inspektora przez administratora danych osobowych będzie wystarczające dla przyjęcia wszelkich skutków, jakie z tym faktem wiąże rozporząd­zenie.

Wszystkie wersje projektu pozostają zasadniczo zgodne co do statusu inspektora. Składają się na niego:

1) niezależne wykonywanie zadań przez inspektora;

2) podległość bezpośrednio kierownictwu administratora danych;

3) brak możliwości otrzymywania poleceń przez inspektora w zakresie wykonywania przez niego swoich obowiązków;

4) obowiązek wspierania inspektora ochrony danych przez administratora danych w wykonywaniu przez niego zadań;

5) obowiązek zapewnienia inspektorowi środków przez administratora danych celem wykonywania jego zadań.

Dodatkowo Parlament proponuje wprowadzenie obowiązku wyznaczania przez administratora danych osobowych „członka kierownictwa wykonawczego, który odpowiada za zgodność z przepisami […] rozporządzenia”, a także nałożenie na inspektora obowiązku zachowania „tajemnicy co do tożsamości podmiotów danych i co do okoliczności umożliwiających ich identyfikację, chyba że podmiot danych zwolni ich z tego obowiązku”. Parlament proponuje również, aby administrator danych obowiązany był zapewniać inspektowi środki niezbędne do „utrzymania poziomu jego wiedzy zawodowej”. Rada natomiast proponuje ustanowienie zakazu karania inspektora („shall not be penalised”; wydaje się, że sformułowanie to dotyczy w szczególności odpowiedzialności pracowniczej) przez administratora danych w związku z wykonywaniem obowiązków inspektora.

Obowiązki inspektora ochrony danych

Obowiązki inspektora ochrony danych w projektach Komisji i Parlamentu zostały znacznie rozbudowane, zwłaszcza w porównaniu do projektu Rady. We wszystkich trzech projektach można jednak znaleźć pewien wspólny rdzeń obowiązków inspektora – składają się na niego:

1) obowiązek monitorowania zgodności przetwarzania danych osobowych z rozporządzeniem, innymi przepisami prawa oraz wewnętrznymi regulacjami stosowanymi przez administratora danych;

2) uczestniczenie w procedurze oceny skutków w zakresie ochrony danych (privacy impact assessment);

3) współpraca z krajowym organem ochrony danych osobowych;

4) pełnienie funkcji punktu kontaktowego dla krajowego organu ochrony danych osobowych.

Zasadniczy chyba obowiązek inspektora, jaki w projekcie Komisji przybiera postać obowiązku informowania administratora danych o jego obowiązkach wynikających z rozporządzenia oraz dokumentowania tej działalności i uzyskiwanych odpowiedzi, w projekcie Parlamentu przybiera postać obowiązku upowszechniania wiedzy, informowania oraz doradzania w odniesieniu do obowiązków wynikających z rozporządzenia, jak również obowiązku doradzania w tych sprawach, „w szczególności w odniesieniu do środków i procedur o charakterze technicznym i organizacyjnym, oraz dokumentowanie tej działalności i uzyskiwanych odpowiedzi”. W projekcie Rady obowiązek ten określony został jako obowiązek informowania i doradzania („inform and advise”), ale ma on obejmować także pracowników administratora danych.

W projektach Komisji i Parlamentu proponuje się nałożenie na inspektora szeregu dodatkowych obowiązków, takich jak obowiązek prowadzenia dokumentacji ochrony danych osobowych, obowiązek monitorowania „dokumentacji, zgłoszeń i zawiadomień dotyczących naruszeń ochrony danych osobowych” czy obowiązek monitorowania „odpowiedzi na wnioski organów nadzorczych oraz, w ramach kompetencji inspektora ochrony danych, współpraca z organem nadzorczym na wniosek tego organu lub z inicjatywy inspektora ochrony danych”.

Podsumowanie

Trudno dzisiaj precyzyjnie określić, jaki ostatecznie kształt przyjmą art. 35–37 ogólnego rozporządzenia. Z jednej strony, dzięki zasadniczej zmianie pozycji prawnej i obowiązków ABI od 1.1.2015 r., czekające nas zmiany nie będą tak rewolucyjne, jak można by się tego spodziewać. Z drugiej strony, przez ewentualne przyjęcie kadencyjności inspektora, a także – co wydaje się raczej przesądzone – przez umocowanie inspektora do kontaktów z osobami, których dane dotyczą oraz z organem ochrony danych osobowych, nadchodzące zmiany spowodują dodatkowe umocnienie jego pozycji prawnej.