Inspektor Ochrony Danych Osobowych – pracownik wewnętrzny czy outsourcing ?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych wprowadzana nowe rozwiązania w zakresie bieżącej kontroli przestrzegania przepisów o ochronie danych osobowych przez administratorów danych osobowych.

Inspektor Ochrony Danych Osobowych obowiązkowo wyznaczany jest przez organ lub podmiot publiczny, jeśli dokonują one przetwarzania danych osobowych. Podobnie, konieczne jest powołanie IODO jeśli „główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę”; lub administrator przetwarza na dużą skalę dane osobowe „ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dokonuje przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej”.

W innych przypadkach powołanie IODO jest fakultatywne, jednakże z regulacji unijnych wynika, iż jest czynnością zalecaną, gdyż umożliwia zapewnienie wysokiego poziomu ochrony danych osobowych, zmniejszając ryzyko naruszenia prawa i narażenia się na wysoką odpowiedzialność finansową przewidzianą w regulacjach RODO.
RODO określa wymogi jakie powinna spełniać osoba pełniąca funkcję IODO jednakże, czyni to w znacznym stopniu w sposób ogólny, pozostawiające faktycznie szeroką swobodę w wyborze konkretnej osoby na to stanowisko. Jednocześnie jednak od poziomu wiedzy, kompetencji i doświadczenia IODO zależy rzeczywisty poziom ochrony danych osobowych, a tym samym przestrzeganie wiążących przepisów prawa.

Z perspektywy administratora (pracodawcy) istotnym jest, iż IODO powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny, tym samy chociaż znajduje się to stanowisko w strukturze administratora, to w praktyce działalność osoby powołanej na stanowisko IODO jest niezależna od poleceń pracodawcy, a obowiązki i zadania IODO określają przepisy prawa. Dodatkowo należy stwierdzić, iż osoba powołana na to stanowisko nie powinna realizować innych zdań dla pracodawcy, tak aby nie dochodziło do naruszenia niezależności w działaniu takiej osoby. Podsumowując więc IODO, w niektórych przypadkach funkcja obligatoryjna, w pozostałym zakresie funkcja fakultatywna jest realizowana na rzecz administratora, ale przez osobę, która w praktyce ma być od niego niezależną.

W wielu przypadkach, gdy dochodzi do powołania IODO, okazuje się, że rzeczywisty zakres jego obowiązków nie wypełnia pełnoetatowego zatrudnienia dla nowego pracownika. Natomiast w przypadku zatrudnienia takiej osoby na podstawie umowy o pracę, wiążą się z takim rozwiązaniem znaczne dodatkowe koszty dla administratora – przedsiębiorcy.
Dlatego alternatywą dla zatrudniania IODO, jako własnego pracownika, jest skorzystanie z pomocy podmiotów zewnętrznych oferujących usługi IODO. Jest to rozwiązanie optymalne, gdyż umożliwia właściwe ukształtowanie czasu pracy IODO w oparciu o rzeczywiste potrzeby administratora. Prócz tego, jako osoba niepracująca na co dzień w strukturze administratora, a pojawiająca się od czasu do czasu ma bardziej wyostrzoną uwagę, co do ewentualnych problemów związanych z ochroną danych osobowych w stosunku, do osób na stałe pracujących w strukturze administratora, które w sposób naturalny mogę pewne pojawiające się incydenty ignorować. Kolejną korzyścią jest prostsze zapewnienie niezależności w działaniu IODO, co jest warunkiem prawidłowego wykonywania zadań IODO. Natomiast zapewnienie niezależności w praktyce jest znaczenie trudniejsze, jeśli IODO znajduje się w zależności służbowej od administratora albo jednego z jego pracowników.
Najważniejszymi jednak korzyściami wynikającymi ze skorzystania z usług zewnętrznego podmiotu przy korzystaniu z usługi IODO jest optymalizacja kosztów działalności przedsiębiorstw oraz pełen profesjonalizm usług świadczonych przez podmiot zewnętrzny. Podobnie jak dziś usługi księgowe, prawnicze, informatyczne, kadrowe, itp. tak także te związane z ochroną danych osobowych mogą być outsourcingowane do wyspecjalizowanych podmiotów zewnętrznych, zapewniających profesjonalne usługi, świadczone przez wysokiej klasy specjalistów, umożliwiając jednocześnie dokonanie realnych oszczędności w działalności zlecającego przedsiębiorstwa. Dlatego też, z wyżej wskazanych powodów, rozwiązanie polegające na nawiązaniu współpracy z zewnętrznym podmiotem zapewniających usługi IODO jest z pewnością korzystnym rozwiązaniem dla zdecydowanej większości administratorów danych osobowych.

Rola pracowników w ochronie danych osobowych przetwarzanych przez przedsiębiorcę

Nowe rozwiązania unijne, funkcjonujące także w Polsce, w zakresie ochrony danych osobowych (tzw. RODO) nakładają szczególne obowiązki na podmioty przetwarzające dane osób fizycznych. System ochrony danych osobowych w Unii Europejskiej ukierunkowany jest na zapewnienie najwyższych standardów bezpieczeństwa danych odnoszących się do każdej osoby fizycznej. O ile podmiotem (administratorem) danych jest konkretny przedsiębiorca, czy to prowadzący swoją działalność w ramach jednoosobowej działalności gospodarczej, czy też w ramach spółki, to w praktyce to osoby współpracujące, najczęściej pracownicy przedsiębiorcy, są odpowiedzialni za pracę z danymi osób fizycznych. Dlatego też, od właściwego przeszkolenia pracowników, ich wiedzy oraz umiejętności praktycznych, zależy rzeczywisty poziom ochrony bezpieczeństwa danych osobowych w podmiocie je przetwarzającym, a tym samym przestrzeganie powszechnie obowiązującego prawa, które co warto podkreślić, powiązane jest z systemem kosztownych sankcji finansowych.
Analiza stopnia zaawansowania wdrażania nowych zapisów o ochronie danych osobowych w Polsce nasuwa jeden zasadniczy wniosek. Podmioty, które dokonały wdrożenia nowych zapisów, dokonały tego przede wszystkim formalnie, tzn. przygotowały dokumenty i odpowiednie klauzule informacyjne oraz poinformowały osoby, których dane przetwarzają o fakcie przetwarzania i o wejściu w życie nowych przepisów prawnych.
Jednakże dotychczasowe doświadczenie wynikające z kontaktów z administratorami danych osobowych i ich pracownikami wskazuje, iż najbardziej newralgiczny punkt całego systemu przetwarzania i ochrony danych osobowych został zaniedbany.
Niewielką uwagę poświęcono właściwemu przeszkoleniu osób (pracowników), na co dzień przetwarzających dane osobowe. Oczywiście posiadają oni właściwe upoważnia a nawet poświadczenia przeszkolenia, jednakże ich realna wiedza i umiejętności praktyczne są niewystarczające. Najczęstsze problemy dotyczą: niestosowania właściwych zabezpieczeń, braku rejestrowania wszystkich czynności przetwarzania danych, nieprawidłowych reakcji na zgłoszenia wniosków przez osoby, których dane są przetwarzane czy nieinformowania o incydentach związanych z naruszeniem danych osobowych.
Te braki narażają przedsiębiorców na ogromne ryzyko związane z naruszeniem danych osobowych czy nawet niewłaściwym albo brakiem raportowania o naruszeniach do podmiotów nadzorujących ochronę danych osobowych w Polsce. Takie zaniedbania będą natomiast skutkować znacznymi karami finansowymi, które z założenia mają mieć dotkliwy charakter dla podmiotów naruszających prawo z zakresu ochrony danych osobowych. Dodatkowo wystąpienie takich przypadków może skutkować odpowiedzialnością dyscyplinarną i odszkodowawczą pracowników, a w niektórych przypadkach może być podstawą rozwiązania stosunku pracy z pracownikiem, który dopuścił się naruszenia RODO.
Rozwiązaniem przeciwdziałającym wystąpieniu powyższych sytuacji, jest zadbanie o profesjonalne i praktyczne przeszkolenie swoich pracowników w zakresie RODO. Tylko cykliczne szkolenia i ewaluacja wiedzy pracowników pozwolą na utrzymanie właściwego poziomu ochrony danych osobowych w prowadzonej działalności gospodarczej oraz uniknięcie kar finansowych za naruszenia regulacji RODO.

RODO – informacja

Szanowni Państwo,
przypominamy, iż w dniu 25.05.2018 r. zaczęły w Polsce obowiązywać przepisy Rozporządzenia Parlamentu Europejskiego i RADY (EU) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. RODO lub GDPR).
Wspomniane przepisy nakładają na przedsiębiorców szereg obowiązków w zakresie ochrony danych osobowych, jak chociażby obowiązek prowadzenia stosownej dokumentacji oraz odpowiednich środków organizacyjnych oraz technicznych, które mają służyć zabezpieczeniu przetwarzanych danych osobowych.
Nowe regulacje dotyczą prawie wszystkich przedsiębiorców, albowiem jako przetwarzanie rozumie się jakiekolwiek działalnie na danych osobowych. Za klasyczny przykład przetwarzania w działalności gospodarczej uznaje się chociażby wystawienie faktury VAT na osobę fizyczną, w tym na osobę prowadząca jednoosobową działalność gospodarczą.
Obok nowych obowiązków oraz uprawnień RODO wprowadza również nowy katalog kar za stwierdzone naruszenia rozporządzenia.
Administracyjne kary pieniężne mają być nakładane zależnie od okoliczności każdego indywidualnego przypadku i mogą sięgać nawet do 20.000.000 euro a w przypadku przedsiębiorstwa –do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie będzie miała kwota wyższa.
Ewentualne ukaranie administratora lub procesora ww. karą pieniężną nie wyklucza przy tym jego odpowiedzialności cywilnej za ewentualne szkody, wobec osób, których dane osobowe są przetwarzane.

RODO: Idą zmiany w przepisach o ochronie danych osobowych. styczeń 18, 2018

Co to jest RODO?

Od 25 maja 2018 r. zaczną w Polsce obowiązywać przepisy Rozporządzenia Parlamentu Europejskiego i RADY (EU) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. RODO lub GDPR).

Powyższe rozporządzenie na nowo definiuje standardy dotyczące przetwarzania danych osobowych, przez przedsiębiorców, wprowadzając szereg nowych wymogów dla podmiotów przetwarzających dane osobowe oraz uprawnienia osób, których te dane dotyczą.

Obecnie kwestie związane z przetwarzaniem danych osobowych reguluje przede wszystkim ustawa z 29.08.1997 r. o ochronie danych osobowych wraz ze stosownymi aktami wykonawczymi do tej ustawy, jednakże już od maja 2018 r., gdy w Polsce zaczną bezpośrednio obowiązywać przepisy RODO, to właśnie RODO będzie najważniejszym aktem prawnym dot. ochrony danych osobowych.

Co nowego wprowadza RODO?

RODO kompleksowo reguluje zakres obowiązków administratorów oraz podmiotów przetwarzających dane osobowe z jednej strony, a z drugiej uprawnienia osób, których dane są przetwarzane.

Do najważniejszych zmian z punktu widzenia obowiązków administratorów oraz podmiotów przetwarzających należą z pewnością:

  • wprowadzenie obowiązku autokontroli poprawności przetwarzania danych osobowych oraz zgłaszania ewentualnych uchybień w tym zakresie do stosownego organu nadzorczego, a w określonych przypadkach również informowania osób, których dane osobowe są przetwarzane;
  • poszerzenie oraz doprecyzowanie obowiązku informacyjnego administratora;
  • wprowadzenie zasady rozliczalności, zgodnie z którą administrator będzie zobowiązany do zapewnienia odpowiednich środków organizacyjnych oraz technicznych zapewniających, że przetwarzanie jest wykonywane zgodnie z obowiązującymi przepisami, a także umożliwiających wykazanie powyższego faktu;
  • wprowadzenie zasad privacy by design oraz privacy by default, zgodnie z którymi administrator będzie zobowiązany do uwzględnienia ochrony danych osobowych oraz ewentualnego ryzyka już na etapie projektowania nowych produktów lub usług. Ponadto administrator będzie musiał ograniczyć ilość oraz jakość zbieranych danych osobowych do absolutnego minimum, niezbędnego do wykonania danej usługi/osiągnięcia zamierzonego celu;
  • poszerzenie wymogów dotyczących uzyskiwania zgody na przetwarzanie danych osobowych. Zgoda będzie musiała być zbierana w sposób jasny, zrozumiały, prostym językiem i w łatwo dostępnej formie. Ponadto prośba o udzieleni zgody musi być wyraźna i łatwa do odróżnienia od innych elementów;
  • wprowadzenie obowiązku przeprowadzenia oceny skutków przetwarzania danych dla prywatności tzw. privacy impact assesment, w sytuacjach, gdy przetwarzanie będzie rodziło wysokie ryzyko naruszenia praw osób, których dane dotyczą;
  • wprowadzenie instytucji Inspektora Ochrony Danych Osobowych, który zastąpi obecnych Administratorów Bezpieczeństwa Informacji (tzw. ABI), których powołanie będzie obowiązkowe w określonych sytuacjach.

Z punktu widzenia osób fizycznych, których dane są przetwarzane, RODO wprowadza szereg nowych uprawnień, w szczególności:

  • prawo do przenoszenia danych, zgodnie z którym osoba, której dane dotyczą będzie mogła żądać wydania przez administratora danych jej dotyczących, w formie ustrukturyzowanej, w formacie nadającym się do odczytu maszynowego oraz przesłania tych danych przez administratora do wybranego podmiotu;
  • prawo do bycia zapomnianym, zgodnie z którym osoba, której dane dotyczą ma prawo żądać usunięcia jej danych osobowych;
  • poszerzony zakres informacji dotyczących przetwarzania, których osoba, której dane są przetwarzane może żądać od administratora;
  • możliwość uzyskania od administratora lub procesora odszkodowania za ewentualne szkody wynikające z naruszenia przepisów o ochronie danych osobowych.

Poszerzony katalog kar

Obok nowych obowiązków oraz uprawnień RODO wprowadza również nowy katalog kar za stwierdzone naruszenia rozporządzenia.

Administracyjne kary pieniężne mają być nakładane zależnie od okoliczności każdego indywidualnego przypadku i mogą sięgać nawet do 20.000.000 euro a w przypadku przedsiębiorstwa –do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie będzie miała kwota wyższa.

Ewentualne ukaranie administratora lub procesora ww. karą pieniężną nie wyklucza przy tym jego odpowiedzialności cywilnej za ewentualne szkody, wobec osób, których dane osobowe są przetwarzane.

Może zatem dojść do sytuacji, w której administrator będzie ukarany karą pieniężną oraz będzie dodatkowo zmuszony do wypłaty odszkodowania na rzecz osób, których dane osobowe przetwarzał.