Dobre prognozy dla ABI

Dobre wieści dotarły do środowiska ABI pod koniec zeszłego roku. 15 grudnia Komisja Europejska poinformowała o zakończeniu negocjacji (w ramach tzw. trilogu) dotyczących ogólnego rozporządzenia o ochronie danych osobowych, które wejdzie w życie w 2018 lub 2019 roku.

W uzgodnionym tekście rozporządzenia znalazły się zapisy o przyszłej funkcji ABI. Nie czekając na oficjalne tłumaczenie tekstu rozporządzenia, na podstawie tekstu otrzymanego od osób uczestniczących w pracach, na gorąco prześledzimy poniżej nadchodzące zmiany w statusie ABI.

Rozporządzenie określa funkcję DPO (data protection officer), którego odpowiednikiem w Polsce jest ABI. Status DPO określony w rozporządzeniu oraz jego zadania pokrywają się w dużej części ze statusem i zadaniami ABI, które obowiązują w polskich przepisach od początku 2015 roku. Taki był zamysł zespołu ekspertów, który tworzył te przepisy, aby nowy status ABI przygotowywał go do pełnienia funkcji i zadań DPO, które były określone w pierwszym projekcie rozporządzenia z 2012 roku.

Podobnie jak w polskich przepisach, DPO będzie podlegał bezpośrednio pod kierownictwo ADO lub procesora. Zgodnie z art. 36 rozporządzenia ADO lub procesor będą musieli zapewnić niezależność i możliwość wykonywania zadań przez DPO:

• musi on być właściwie i w odpowiednim czasie angażowany we wszystkie kwestie związane z ochroną danych osobowych;
• nie będzie mógł otrzymywać żadnych instrukcji w zakresie wykonywania swoich zadań;
• nie zostanie zwolniony lub ukarany za wykonywanie swoich zadań;
• będzie otrzymywał wsparcie w wykonywaniu swoich zadań, w tym niezbędne środki do ich realizacji, dostęp do procesów przetwarzania danych, a także środki konieczne do utrzymania jego wiedzy eksperckiej.

Zgodnie z art. 37 rozporządzenia DPO ma wykonywać co najmniej następujące zadania:

• informowania i doradzania ADO lub procesorowi oraz osobom upoważnionym do przetwarzania danych w kwestiach dotyczących realizacji obowiązków przy przetwarzaniu danych osobowych wynikających z rozporządzenia oraz innych przepisów unijnych lub prawa krajowego państwa członkowskiego;
• nadzorowania zgodności przetwarzania danych z rozporządzeniem oraz innymi przepisami unijnymi lub prawem krajowym państwa członkowskiego oraz z zasadami przetwarzania danych wdrożonymi przez ADO lub procesora, w tym nadawania upoważnień i realizacji obowiązków przy przetwarzaniu danych, podnoszenia świadomości oraz szkoleń osób upoważnionych oraz wykonywania audytów (sprawdzeń) zgodności przetwarzania danych;
• konsultowania odpowiedzi na zapytania skierowane w ramach procesu oceny wpływu zaplanowanych operacji przetwarzania na ochronę danych oraz nadzorowania przeprowadzania takiej oceny zgodnie z art. 33 rozporządzenia;
• współpracy oraz kontaktu z organem nadzorczym (GIODO) w kwestiach związanych z przetwarzaniem danych osobowych, w tym z uprzednią konsultacją przed rozpoczęciem przetwarzania danych, o której mowa w art. 34 rozporządzenia, aby zapewnić zgodność planowanego przetwarzania z rozporządzeniem.

DPO przy wykonywaniu swoich zadań ma obowiązek zwracać odpowiednią uwagę na zagrożenia związane z przetwarzaniem danych osobowych, mając na względzie naturę, zakres, kontekst i cel przetwarzania danych. DPO będzie mógł wykonywać również inne zadania i obowiązki, a ADO lub procesor będą musieli zapewnić, aby ich wykonywanie nie powodowało konfliktu interesów (podobnie jak w art. 36a ust. 4 uodo).

Nowością, którą wprowadza rozporządzenie, będzie możliwość kontaktowania się osób, których dane dotyczą, z DPO we wszystkich kwestiach odnoszących się do przetwarzania ich danych osobowych oraz egzekwowania swoich praw przysługujących im na podstawie rozporządzenia. Dodatkowo DPO na podstawie rozporządzenia jest zobowiązany zachować w tajemnicy kwestie związane z wykonywaniem swoich zadań zgodnie z prawem unijnym lub prawem krajowym państwa członkowskiego.