Nowe prawo ochrony danych osobowych – rola ABI

Wielkimi krokami zbliżamy się do daty rozpoczęcia stosowania przepisów rozporządzenia PE i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych, RODO). 25 maja 2018 roku administratorzy danych osobowych oraz podmioty przetwarzające dane muszą mieć wdrożony system ochrony danych osobowych, dostosowany do wymogów RODO. Działania w celu dostosowania systemu ochrony danych osobowych do przepisów unijnych powinny być zatem realizowane już dzisiaj. Ważną rolę w przygotowaniu do nowych regulacji mogą stanowić obecni Administratorzy Bezpieczeństwa Informacji (ABI), a w przyszłości Inspektorzy Ochrony Danych (Data Protection Officer).  W świetle ogólnego rozporządzenia, to Inspektorzy Ochrony Danych mają być gwarantem bezpieczeństwa przetwarzanych danych. I podobnie, jak w przypadku ABI mają to być osoby, które dysponują fachową wiedzą i kompetencjami z dziedziny ochrony danych osobowych. Zgodnie z RODO Inspektor Ochrony Danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz umiejętności wypełniania powierzonych mu zadań.

I chociaż obecnie ustawa o ochronie danych osobowych nie wskazuje na obligatoryjność powołania ABI, to jednak wyznaczenie Administratora Bezpieczeństwa Informacji jest postrzegane jako jeden z kluczowych ustawowych elementów systemu bezpieczeństwa danych osobowych, który minimalizuje ryzyko wystąpienia incydentów z udziałem danych osobowych. W podmiotach, w których administrator danych nie powołał ABI ryzyko wystąpienia zagrożeń związanych z danymi osobowymi znacząco wzrasta a realizacja wszystkich obowiązków wynikających z ustawy o ochronie danych osobowych oraz odpowiedzialność za cały system bezpieczeństwa przetwarzanych danych osobowych spoczywa wyłącznie na administratorze danych.

Unijne rozporządzenie, w niektórych przypadkach nie daje administratorowi fakultatywności wyznaczenia Inspektora Ochrony Danych Osobowych. Obligatoryjność powołania Inspektora Ochrony Danych Osobowych będzie dotyczyła:

–  organów i podmiotów publicznych z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

– administratorów danych oraz podmiotów przetwarzających dane, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;

– administratorów oraz podmiotów przetwarzających dane, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych dotyczących wyroków skazujących i naruszeń prawa.

Reforma unijna wprowadza nowe podejście do ochrony danych osobowych. Organizacja ochrony danych osobowych skoncentrowana na identyfikacji istniejącego jak i potencjalnego ryzyka dla ochrony danych osobowych oraz zapewnienie prawa do prywatności osób, których dane dotyczą już na etapie projektowania rozwiązań technicznych bądź organizacyjnych (privacy by desing), a także realizacja pozostałych nowych obowiązków nałożonych na administratora danych ogólnym rozporządzeniem, będzie wymagała od administratorów zaangażowania odpowiedniego specjalisty. Obecni Administratorzy Bezpieczeństwa Informacji wydają się być do nowych zadań doskonale przygotowani. Jednak administrator danych decydując się na model ochrony danych osobowych z ABI (Inspektorem Ochrony Danych) powinien dokonać wyboru takiego kandydata, których oprócz znajomości przepisów prawa związanych z ochroną danych osobowych, co wydaję się kwestią oczywistą, będzie wykazywać się znajomością przepisów branżowych związanych z profilem działalności administratora danych oraz znajomością standardów i metodologii przeprowadzania audytów.