8 obowiązków nowego ABI

Zgodnie z projektem Komisji Europejskiej inspektor ochrony danych ma być powoływany w każdym przypadku, w którym przetwarzania danych dokonuje organ lub podmiot publiczny. Ta propozycja jest akceptowana przez wszystkich uczestników trilogu. Kolejny przypadek obligatoryjnego powołania inspektora to sytuacja ADO – przedsiębiorstwa zatrudniającego co najmniej 250 osób oraz sytuacja, w której główna działalność ADO lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych.

Parlament w ramach złożonych poprawek zaproponował rezygnację z określania minimalnej liczby zatrudnianych pracowników na rzecz przetwarzania danych przez administratora – osobę prawną, o ile przetwarzanie dotyczyłoby ponad 5000 podmiotów danych rocznie. Parlament zaproponował również dodanie obowiązku wyznaczenia inspektora, gdy główna działalność ADO polega na przetwarzaniu danych:

• wrażliwych,
• dotyczących lokalizacji lub
• dzieci lub pracowników przetwarzanych w wielkoskalowych zbiorach danych.

Ten element negocjacji jest bardzo istotny, ponieważ na gruncie polskiej ustawy o ochronie danych administratorzy mają pełną swobodę co do powołania lub niepowołania ABI. Tymczasem, po wejściu w życie rozporządzenia na dużą grupę administratorów zostanie ponownie nałożony obowiązek powołania osoby odpowiedzialnej za ochronę danych. Z pewnością spodziewać się go mogą ADO z sektora publicznego.

Ogólnie mówiąc, zadaniem DPO będzie szeroko pojęte monitorowanie wszelkiego rodzaju aktywności związanych z przetwarzaniem danych i ich zgodności z odpowiednimi przepisami o ochronie danych (nie tylko przepisami rozporządzenia). Inspektor będzie miał obowiązek:

• informowania ADO o obowiązkach wynikających z rozporządzenia oraz dokumentowania tej działalności i uzyskiwanych odpowiedzi. Parlament proponuje dodatkowo, by ten obowiązek rozszerzyć o upowszechnianie wiedzy i doradzanie ADO w zakresie ochrony danych (w szczególności, w zakresie stosowanych środków i procedur);
• monitorowania wykonania i stosowania polityk ADO w zakresie ochrony danych , w tym przydział obowiązków, szkolenie personelu zaangażowanego w operacje przetwarzania oraz powiązane kontrole;
• monitorowania wykonania i stosowania rozporządzenia, w szczególności jeśli chodzi o wymogi dotyczące uwzględnienia ochrony danych już w fazie projektowania, ochrony danych jako opcji domyślnej i bezpieczeństwa danych oraz informowania podmiotów danych (w tym także wniosków związanych z wykonywaniem przez podmioty danych ich praw);
• zapewnienia prowadzenia dokumentacji ochrony danych;
• monitorowania dokumentacji, zgłoszeń i zawiadomień dotyczących naruszeń ochrony danych osobowych związanych z obowiązkiem powiadamiania o naruszeniach bezpieczeństwa danych;
• monitorowania przeprowadzenia oceny skutków w zakresie ochrony danych przez administratora oraz wniosków o uprzednie zezwolenie lub uprzednią konsultację, jeśli są one wymagane;
• monitorowania odpowiedzi na wnioski organów nadzorczych oraz współpracy z organem nadzorczym na wniosek tego organu lub z inicjatywy DPO;
• pełnienia funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem oraz zasięgania opinii organu nadzorczego, w odpowiednich przypadkach, z inicjatywy inspektora ochrony danych.

Wśród poprawek PE znalazł się również postulat wprowadzenia do zadań DPO obowiązku informowania przedstawicieli pracowników o przetwarzaniu ich danych.