Wymagania wobec inspektora ochrony danych, które formułuje RODO w art. 37-39, wymagały konkretyzacji w wytycznych Grupy Roboczej Art. 29. W dniu 13.12.2016 r. Grupa Robocza Art. 29 wydała wytyczne dotyczące inspektorów ochrony danych [Guidelines on Data Protection Officers (‘DPOs’), WP 243, http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf] oraz towarzyszące im najczęściej zadawane pytania (WP243 Annex – frequently asked questions, http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_annex_en_40856.pdfwersja-angielska.pdf). Artykuł przedstawia wymagania wobec inspektorów ochrony danych w kontekście RODO.

Przepisy polskie o ochronie danych osobowych

Obowiązujące aktualnie polskie przepisy (art. 36a ustawy z 29.8.1997 r. o ochronie danych osobowych; t.j. Dz.U. z 2016 r. poz. 922; dalej: OchrDanychU oraz rozporządzenie Ministra Administracji i Cyfryzacji z 11.5.2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745) już w 2015 r. wskazywały pozycję administratora bezpieczeństwa informacji w strukturze i jego zadania, wyprzedzając tym samym wiele z rozwiązań, które przyniosło następnie RODO. Jak ocenia Generalny Inspektor Danych Osobowych, administratorzy bezpieczeństwa informacji, którzy spełnili wszystkie dotychczas wymagane kryteria, będą mogli nadal pełnić tę funkcję bez konieczności odrębnego powoływania ich na stanowisko inspektora ochrony danych. Nie należy jednak traktować ewolucji instytucji ABI i przekształcenia go w inspektora ochrony danych jedynie jako prostej zmiany nazwy tego stanowiska. To zmiana o znacznie większym znaczeniu – inspektor ochrony danych stał się kluczowym elementem zapewnienia zgodności przetwarzania danych z RODO. Obowiązek ten należy postrzegać w kontekście nowego podejścia do systemu ochrony danych w instytucjach. Podlega on zgodnie z RODO zasadzie risk-based approach – adekwatności stosowanych środków do charakteru, zakresu, kontekstu i celów przetwarzania oraz do prawdopodobieństwa wystąpienia i wagi naruszenia dla praw lub wolności podmiotu danych, a także priorytetów wynikających z wniosków z analizy ryzyka.

Zasada rozliczalności

Obowiązki inspektora ochrony danych wynikają również z zasady rozliczalności (art. 5 ust. 2 RODO), która obliguje administratorów do wdrażania rozwiązań dla zagwarantowania zgodności przetwarzania danych z prawem, a więc w szczególności z kluczowymi zasadami ochrony danych, w tym zasadami jakości danych. To obowiązek aktywnego działania, wykazywania inicjatywy, bez oczekiwania na skargi i wnioski klientów lub zarzuty i rekomendacje organów nadzorczych.

Przykład
Prowadzenie przez administratora dokumentacji opisującej wdrożone gwarancje zgodności przetwarzania danych z prawem, w tym skutecznej, odpowiadającej obowiązkom ustawowym polityki bezpieczeństwa, a ponadto np. określenie trybu odpowiedzi na skargi i wnioski.

Fundamentalną zmianą, wynikającą z tego nowego podejścia i determinującą zadania inspektora ochrony danych, jest odejście od ścisłych, niskopoziomowych wytycznych i „checklist”.

Siła hasła

Przykładem jest siła hasła, określona dotychczas w załączniku do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29.4.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r., Nr 100, poz. 1024) (pkt VIII wymaga, aby składało się ono z co najmniej 8 znaków, zawierało małe i wielkie litery oraz cyfry lub znaki specjalne). Zwiększenie możliwości technicznych łamania haseł wymaga zrewidowania ich siły w przypadku konkretnego administratora, w zależności od ryzyka, które zidentyfikował. Hasła złożone z 8 znaków mogą być złamane w ciągu jednego dnia, ale czas potrzebny przy zastosowaniu tych samych technologii do złamania hasła złożonego z 10 znaków wzrośnie do 19,5 miesiąca. Zadaniem administratora i inspektora jest więc zapewnienie siły hasła nie według ściśle określonej w rozporządzeniu liczby znaków, lecz zgodnie z dobrymi praktykami i indywidualną oceną ryzyka.

Wyznaczenie inspektora

Ogólne rozporządzenie o ochronie danych w art. 37 określa kryteria, które decydują o obowiązku powołania inspektora ochrony danych przez administratora lub processora. Wyznaczenie inspektora stało się obowiązkiem:

1) organów i podmiotów publicznych, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,

2) administratorów danych i processorów, których główny przedmiot działalności obejmuje regularne i systematyczne monitorowanie osób, których dane dotyczą, na dużą skalę,

3) administratorów danych i processorów, których główna działalność obejmuje przetwarzanie na dużą skalę danych wrażliwych oraz ­danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Wymóg wyznaczenia inspektora poza tymi przypadkami może wynikać również z przepisów prawa krajowego, a samo wyznaczenie może też nastąpić dobrowolnie, mimo braku takiego obowiązku.

„Duża skala”

Jednym z podstawowych kryteriów dla ustalenia, czy administrator lub processor jest obowiązany powołać inspektora ochrony danych, jest „duża skala” przetwarzania, której RODO nie definiuje (art. 37 ust. 1 lit. b i c RODO). Czynnikami, które powodują, że skala przetwarzania jest duża, są m.in.:

1) znaczna liczba podmiotów danych, jako wartość bezwzględna lub względna – w odniesieniu do danej populacji,

2) zakres przetwarzanych danych i zróżnicowanie ich kategorii,

3) czas trwania przetwarzania danych,

4) zasięg geograficzny przetwarzania danych.

Przykłady przypadków, w których przetwarzanie danych następuje na dużą skalę, to przetwarzanie danych m.in.:

1) klientów w ramach działalności bankowej lub ubezpieczeniowej przez instytucje prowadzące tę działalność,

2) pacjentów w ramach działalności szpitala,

3) pasażerów komunikacji miejskiej (na przykład przez magnetyczne karty pasażerów),

4) w czasie rzeczywistym geolokalizacyjnych danych klientów międzynarodowej sieci fast food dla celów statystycznych przez operatora specjalizującego się w takich operacjach,

5) do celów reklamy behawioralnej przez wyszukiwarki internetowe,

6) przez dostawców usług telefonicznych lub internetowych (treść, przemieszczanie się, lokalizacja).

Natomiast przykładami czynności, które nie wiążą się z przetwarzaniem danych na dużą skalę, są indywidualne praktyki w ramach wykonywania zawodów lekarza lub prawnika.

Główna działalność administratora lub podmiotu przetwarzającego

Wytyczne Grupy Roboczej Art. 29 definiują też „główną działalność administratora lub podmiotu przetwarzającego”, ponieważ duża skala przetwarzania odnosi się do tego kryterium (art. 37 ust. 1 lit. b i c RODO). Są to kluczowe operacje podejmowane dla osiągnięcia celów administratora lub processora i obejmują wszelkie czynności, w których przetwarzanie danych jest nieodłącznym elementem działalności administratora lub processora.

Przykład
Przetwarzanie danych w celu badania zdolności kredytowej przez bank, w celu analizy ryzyka ubezpieczeniowego przez zakład ubezpieczeń, czy świadczenia opieki medycznej przez szpital.

Główna działalność nie obejmuje natomiast czynności wspomagających, takich jak obsługa wynagrodzeń i kad­rowa lub standardowe wsparcie informatyczne. Jakkolwiek są to czynności niezbędne do wykonywania podstawowej działalności administratora lub processora, to mają jednak charakter pomocniczy, a nie główny.

Regularne i systematyczne monitorowanie osób

Grupa Robocza Art. 29 zdefiniowała również „regularne i systematyczne monitorowanie osób” (art. 37 ust. 1 lit. b RODO), będące kolejnym kryterium obowiązku powołania inspektora ochrony danych. Monitorowaniem osób, których dane dotyczą, jest obserwowanie ich aktywności i wyborów w Internecie oraz profilowanie na podstawie wynikających z tych obserwacji wniosków, a więc wykorzystywanie wyników do analiz i prognoz przyszłych decyzji, preferencji i zachowań podmiotu danych, w tym do celów reklamy behawioralnej. Jednak monitorowanie nie ogranicza się do Internetu.

Przez „regularność” monitorowania Grupa Robocza Art. 29 rozumie prowadzenie tych czynności, m.in. stale lub w określonych odstępach czasu w danym okresie bądź cyklicznie, lub o stałych porach.

Monitoring „systematyczny” jest prowadzony zgodnie z przyjętym systemem, zorganizowany lub metodyczny, w ramach ogólnego planu gromadzenia danych lub w ramach strategii.

Grupa Robocza Art. 29 podaje liczne przykłady z wielu sektorów oraz wspólne wielu sektorom, wśród nich:

 1) profilowanie i scoring dla celów oceny ryzyka (np. oceny ryzyka kredytowego i ubezpieczeniowego, przeciwdziałania oszustwom i praniu pieniędzy),

 2) świadczenie usług telekomunikacyjnych,

 3) śledzenie lokalizacji użytkownika, (np. przez aplikacje mobilne),

 4) programy lojalnościowe,

 5) reklama behawioralna,

 6) monitorowanie kondycji fizycznej i parametrów stanu zdrowia przez urządzenia noszone przez podmiot danych,

 7) CCTV (monitoring wizyjny),

 8) inteligentne liczniki, np. energii elektrycznej,

 9) inteligentne samochody,

10) inteligentne domy.

Wspólne ustanowienie inspektora ochrony danych przez administratorów lub processorów

Ogólne rozporządzenie o ochronie danych w art. 37 ust. 2 i 3 dopuszcza wspólne ustanowienie inspektora ochrony danych przez administratorów lub processorów działających w ramach grupy przedsiębiorstw lub będących organami lub podmiotami publicz­nymi.

Warunkiem dopuszczalności wspólnego ustanowienia inspektora dla grupy przedsiębiorstw jest łatwość nawiązania z nim kontaktu z każdej jednostki organizacyjnej, a dla instytucji publicznych – uwzględnienie ich struktury organizacyjnej i wielkości. Należy uznać, że to kryteria zbieżne.

Pojęcie dostępności odnosi się do funkcji inspektora jako punktu kontaktowego dla podmiotów danych i organu nadzorczego, a także wewnątrz organizacji. To przede wszystkim rzeczywista dostępność inspektora – fizyczna w siedzibie instytucji lub za pośrednictwem infolinii, a także innych bezpiecznych środków komunikacji. To również kwestia technicznej możliwości komunikacji, a więc m.in. dostępności danych kontaktowych inspektora – RODO wymaga tego w klauzulach informacyjnych dla klientów (art. 13 ust. 1 lit. b i art. 14 ust. 1 lit. b) oraz w zawiadomieniu kierowanym do organu nadzorczego (art. 37 ust. 7). Skuteczna komunikacja wymaga też posługiwania się językiem stosowanym przez podmioty danych i przez organ nadzoru.

Należy więc podkreślić, że powołanie wspólnego inspektora jest w pełni dopuszczalne, jednak pod warunkiem rzeczywistej możliwości skutecznego wykonywania ustawowych zadań na rzecz wszystkich administratorów ­objętych tą wspólną obsługą. Liczba tych instytucji nie może więc być nadmierna i powodować, że możliwość wykonywania zadań stanie się iluzoryczna.

Outsourcing funkcji inspektora

Inspektor ochrony danych nie musi być pracownikiem administratora, dopuszczalny jest również outsourcing tej funkcji (art. 37 ust. 6 RODO), przy czym wszystkie warunki wskazane w art. 37-39 RODO mają zastosowanie w pełnym zakresie zarówno do wewnętrznego, jak i zewnętrznego inspektora.

Outsourcing funkcji inspektora może być wykonywany przez zespół, jednak pod nadzorem wyznaczonego lidera wskazanego w umowie o powierzeniu funkcji inspektora, wraz z podziałem zadań w ramach tego zespołu.

Zespół może być powołany także wewnątrz organizacji, z zastrzeżeniem podziału zadań i odpowiedzialności lidera jako inspektora.

Można to uznać za zapewnienie zasobów niezbędnych do wykonania tych zadań, a więc spełnienie warunku z art. 38 ust. 2 RODO, co może być celowe lub wręcz niezbędne, gdy wymaga tego skala zadań inspektora wynikająca np. z wielkości organizacji, ilości przetwarzanych danych, skomplikowania systemów, ilości transferów danych, liczby skarg i wniosków.

Innymi formami „zapewnienia inspektorowi zasobów niezbędnych do wykonania jego zadań” oraz „dostępu do danych osobowych i operacji przetwarzania, a także zasobów niezbędnych do utrzymania jego wiedzy fachowej” (czego wymaga art. 38 ust. 2 RODO) są, jak wskazuje Grupa Robocza Art. 29:

1) aktywne wsparcie inspektora ochrony danych przez zarząd,

2) zapewnienie wystarczającej ilości czasu na wypełnienie obowiązków,

3) odpowiednie wsparcie finansowe, infrastrukturalne (np. przez zapewnienie lokali i sprzętu) oraz przez oddelegowanie personelu,

4) oficjalne poinformowanie wszystkich pracowników o wyznaczeniu inspektora ochrony danych,

5) szkolenia.

Kryterium wyboru inspektora ochrony danych są jego kwalifikacje zawodowe, w szczególności specjalistyczna wiedza z zakresu prawa i praktyk w dziedzinie ochrony danych, oraz umiejętność realizacji ustawowych zadań. Grupa Robocza Art. 29, przybliżając to kryterium, zaznacza, że należy oczekiwać adekwatnie wyższego poziomu kwalifikacji inspektora w przypadku administratorów lub processorów, u których skala i skomplikowanie procesów przetwarzania są znaczne lub którzy przetwarzają dane wrażliwe lub podlegające dodatkowej ochronie sektorowej, np. tajemnicy bankowej lub ubezpieczeniowej.

Kwalifikacje zawodowe i wiedza fachowa wymagane od inspektora

Kwalifikacje zawodowe i wiedza fachowa wymagana od inspektora obejmują:

1) znajomość krajowych i europejskich przepisów i praktyk w zakresie ochrony danych, w tym pogłębiona znajomość RODO,

2) zrozumienie prowadzonych operacji przetwarzania, technologii informatycznych i bezpieczeństwa danych,

3) znajomość organizacji i sektora, w którym działa,

4) zdolność do promowania kultury ochrony danych wewnątrz organizacji.

Pomocne mogą być również Professional Standards for Data Protection Officers of the EU institutions and bodies working under Regulation (EC) 45/2001.

Niezależność w ramach struktur administratora danych i processora

Ogólne rozporządzenie o ochronie danych zapewnia inspektorowi niezależność w ramach struktur administratora danych i processora (art. 38 ust. 3 RODO). Wyklucza wydawanie mu poleceń dotyczących pełnienia tej funkcji, poddaje bezpośrednio najwyższemu kierownictwu administratora lub processora, wyklucza odwołanie lub kary służbowe za wypełnianie ustawowych zadań. Ta gwarancja niezależności inspektora ochrony danych jest niezbędna dla zapewnienia mu możliwości wykonywania zadań obejmujących monitorowanie działań administratora lub processora w zakresie ochrony danych osobowych (i innych obowiązków określonych w art. 39 RODO). Brak gwarancji niezależności inspektora ochrony danych narażałby go na nieformalną presję ze strony administratora danych, processora lub zwierzchników w przypadkach, w których formułowane przez inspektora wnioski powodowałyby konieczność ponoszenia przez te podmioty znacznych kosztów czy obciążałyby odpowiedzialnością określone osoby.

Gwarancje te obejmują również (art. 38 ust. 6 RODO) powierzenie inspektorowi innych zadań i obowiązków tylko pod warunkiem braku konfliktu interesów z innymi obowiązkami lub zadaniami. Naruszeniem tego zakazu konfliktu interesów byłoby np. powołanie na stanowisko inspektora osoby określającej w organizacji cele i sposoby przetwarzania danych osobowych. Funkcji inspektora nie należy więc łączyć w szczególności z funkcjami członka zarządu, dyrektora operacyjnego, dyrektora finansowego, szefa marketingu, HR lub IT.

Przeciwdziałanie konfliktom interesów na stanowisku inspektora wymaga więc w szczególności wdrożenia wewnętrznej polityki, w tym zidentyfikowania stanowisk kolidujących z tą funkcją.

Ważne
Grupa Robocza Art. 29 zastrzega jednak, że powołanie inspektora ochrony danych nie oznacza nałożenia na niego pełnej odpowiedzialności za naruszenia i za niezgodność działań organizacji z RODO.

Obowiązek zapewnienia zgodności spoczywa na administratorze lub processorze (art. 24 RODO), choć należy podkreślić kluczową rolę inspektora w tym procesie i znaczenie zapewnienia przez administratora lub processora wskazanych wcześniej w tym artykule gwarancji niezależności i rzeczywistych możliwości wykonywania zadań przez inspektora.