Nowy ABI - jakie będzie miał obowiązki

Funkcję inspektora ochrony danych (Data Protection Officer – DPO) wprowadza ogólne rozporządzenie o ochronie danych osobowych. Będzie to osoba (lub osoby) odpowiedzialne w podmiocie za przestrzeganie przepisów o ochronie danych osobowych. Zastąpi obecnego administratora bezpieczeństwa informacji. Zadania „nowego ABI” określa art. 39 ogólnego rozporządzenia. Jednym z nich jest monitorowanie, czy przepisy rozporządzenie są przestrzegane. Zdaniem Grupy Roboczej Art. 29 inspektor powinien wypełniać ten obowiązek poprzez:

• zbieranie informacji w celu identyfikacji procesów przetwarzania danych,
• analizowanie i sprawdzanie zgodności operacji przetwarzania z przepisami,
• informowanie, doradzanie i wydawanie zaleceń dla administratora lub procesora.

Zgodnie z art. 35 ust. 1 ocena skutków przetwarzania będzie zadaniem administratora. Jednak jak twierdzi Grupa Robocza Art. 29, inspektor ochrony danych może odgrywać w tym procesie istotną rolę. Zgodnie z zasadą ochrony danych w fazie projektowania administrator danych powinien konsultować się z inspektorem podczas oceny skutków przetwarzania, a DPO powinien udzielać mu porad. Grupa Robocza Art. 29 zaleca, aby administrator konsultował się z inspektorem m.in. w takich kwestiach:

• czy należy przeprowadzić ocenę skutków przetwarzania,
• zgodnie z jaką metodologią ją przeprowadzić,
• czy przeprowadzić ocenę skutków przetwarzania wewnątrz organizacji, czy zlecić ją firmie zewnętrznej,
• jakie zabezpieczenia należy zastosować, żeby złagodzić wszelkie zagrożenie dla praw i interesów osób, których dane dotyczą,
• czy ocena skutków przetwarzania została prawidłowo przeprowadzona i czy jej wnioski są zgodne z rozporządzeniem.

Grupa Robocza wskazuje, że jeśli administrator nie zgodzi się z zaleceniami inspektora, w dokumentacji oceny skutków przetwarzania powinien pisemnie to uzasadnić.

Zgodnie z art. 39 ust. 2 rozporządzenia ogólnego inspektor ochrony danych powinien wypełniać swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

Zdaniem Grupy Roboczej oznacza to, że inspektor powinien nadać priorytety swoim zadaniom i swoje wysiłki skoncentrować na kwestiach, które stwarzają większe ryzyko w zakresie ochrony danych. Grupa podkreśla, że nie oznacza to, że powinni zaniedbywać kontrole zgodności przetwarzania danych, które mają niższy poziom ryzyka, ale powinni jednak skupić się na obszarach podwyższonego ryzyka.

Jak twierdzi Grupa Robocza, to pragmatyczne podejście powinno pomóc inspektorowi w doradzaniu administratorowi, jaką metodologię wybrać do przeprowadzenia oceny skutków regulacji, które obszary powinny być przedmiotem wewnętrznego lub zewnętrznego audytu oraz którymi zagadnieniami powinna zająć się kadra zarządzająca, a którym inspektor powinien sam poświęcić swój czas.

Zgodnie z art. 30 ust. 1 i 2 to administrator i procesor powinni prowadzić rejestr czynności przetwarzania lub rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora. W praktyce inspektorzy tworzą i przechowują rejestry operacji przetwarzania danych na podstawie informacji dostarczanych im przez różne działy. Jak twierdzi Grupa Robocza, zadania inspektorów wymienione w art. 39 ust. 1 to minimum, dlatego nic nie stoi na przeszkodzie, aby administrator lub procesor zlecili prowadzenie rejestru inspektorowi. Może to pomóc inspektorom w monitorowaniu zgodności przetwarzania danych z przepisami, informowaniu i doradzaniu administratorowi lub procesorowi.