Ogólne Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych (RODO) wprowadza nowe terminy, definicje i instytucje, mające na celu zapewnienie ochrony danych osobowych. Na jego mocy znany z obecnie obowiązujących przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Administrator Bezpieczeństwa Informacji od 25 maja 2018 r., a więc od momentu, w którym rozporządzenie znajdzie zastosowanie, będzie nazywany Inspektorem Ochrony Danych (Data Protection Officer).

Na wstępie warto wyjaśnić, że Administrator Bezpieczeństwa Informacji, potocznie zwany ABIm to osoba czuwająca nad bezpieczeństwem i ochroną przetwarzania danych osobowych, powoływana przez administratora danych osobowych. Jego głównym zadaniem jest zapewnienie przestrzegania przepisów o ochronie danych osobowych u danego administratora danych osobowych.

W polskiej ustawie o ochronie danych osobowych wyznaczenia ABIego przez administratora danych jest dobrowolne. W przypadku jego niepowołania, administrator danych osobowych sam wykonuje jego obowiązki. Kwestia ta ulegnie jednak zmianie, gdyż w myśl przepisu art. 37 ust. 1 administrator i podmiot przetwarzający (procesor) mają obowiązek wyznaczyć Inspektora Ochrony Danych w przypadku, gdy:

• przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
• główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub
• główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 (tzw. danych wrażliwych), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Dla podmiotów spełniających powyższe przesłanki, a więc m.in. dla podmiotów z sektora publicznego, rozporządzenie wprowadzi zatem istotną zmianę w porównaniu z obecnym stanem prawnym – fakultatywność wyznaczenia takiej osoby zostanie zastąpiona obowiązkiem. W przypadkach innych niż te, o których mowa powyżej, administrator lub podmiot przetwarzający będą posiadać dobrowolność w powołaniu Inspektora Ochrony Danych, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

W dalszych ustępach art. 37 RODO wskazano na możliwość pełnienia funkcji Inspektora Ochrony Danych przez jedną osobę w grupie przedsiębiorstw. IOD może być także członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług. Pozostawia to więc nadal swobodę w korzystaniu z outsourcingu w przypadku powoływania Inspektora Ochrony Danych. Zgodnie z art. 37 ust. 5 inspektor powinien być wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w Rozporządzeniu, dlatego przekazanie tego zadania w ręce zewnętrznego eksperta jest często najrozsądniejszym, a zarazem najwygodniejszym rozwiązaniem.

Warto dodatkowo wskazać, że w przypadku, gdy przedsiębiorca zdecyduje się powołać Inspektora Ochrony Danych albo obowiązek taki będzie wynikać z przepisów, nie będzie obowiązku jego rejestracji. Ustawodawca europejski nie zdecydował się zatem na regulację stanowiącą odpowiednik art. 46b-46f polskiej ustawy o ochronie danych osobowych, które to przepisy normują obecnie procedurę rejestracji Administratora Bezpieczeństwa Informacji w rejestrze prowadzonym przez GIODO.

   1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

• sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
• nadzorowanie opracowania i aktualizowania dokumentacji opisującą sposób przetwarzania oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych oraz przestrzegania zasad w niej określonych,
• zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

W związku z zastosowaniem przepisów RODO, od 25 maja 2018 r. do ABIego, a po zmianie terminologii – do Inspektora Ochrony Danych, należeć będzie, na mocy art. 39 ust. 1:

1) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,

2) monitorowanie przestrzegania rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,

3) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35,

4) współpraca z organem nadzorczym,

5) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Inspektor Ochrony Danych będzie musiał wypełniać swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. Katalog zadań zawarty w art. 39 RODO nie jest katalogiem zamkniętym. Art. 38 ust. 6 RODO stanowi bowiem, że IOD może wykonywać inne zadania i obowiązki, przy czym administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.

Zakres obowiązków Inspektora Ochrony Danych na mocy RODO ulegnie zatem zmianom, zwłaszcza w kwestii stanowienia ważnego punktu kontaktowego. Będzie on pełnił tę funkcję nie tylko w relacjach z organem nadzorczym, ale także z osobami, których przetwarzane dane dotyczą. Wynika to przede wszystkim z treści art. 38 ust. 4 RODO, zgodnie z którym osoby, których dane dotyczą, mogą kontaktować się z Inspektorem Ochrony Danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw im przysługujących.

Ponadto IOD będzie musiał udzielać na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania. Takiej oceny skutków planowanych operacji powinien dokonać administrator  przed rozpoczęciem przetwarzania jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, o czym stanowi art. 35 ust. 1. Rozszerzenie zakresu obowiązków Inspektorów Ochrony Danych będzie z pewnością miało wpływ na ich codzienną praktykę, w szczególności ze względu na stanowienia ważnych punktów kontaktowych dla podmiotów danych.

Status Inspektora Ochrony Danych oraz jego niezależność ulegną wzmocnieniu w porównaniu z obecnie obowiązującymi przepisami.
Na mocy art. 38 RODO na status ten składają się:

• zapewnianie przez administratora oraz podmiot przetwarzający, by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych,
• wspieranie przez administratora oraz podmiot przetwarzający w wypełnianiu przez Inspektora Ochrony Danych jego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej,
• zapewnianie przez administratora oraz podmiot przetwarzający, by IOD nie otrzymywał instrukcji dotyczących wykonywania tych zadań,
• niemożność bycia odwołanym czy ukaranym przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań,
• podleganie bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Wraz z rozpoczęciem stosowania przepisów ogólnego Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych czeka nas zmiana terminologii dotycząca osoby odpowiedzialnej za bezpieczeństwo przetwarzania danych u danego administratora – z obecnie nam znanego Administratora Bezpieczeństwa Informacji na Inspektora Ochrony Danych. Przepisy RODO dążą do umocnienia jego pozycji, co wiąże się równocześnie z większą ilością obowiązków nakładanych na każdego Inspektora Ochrony Danych. Z pewnością jednak na największą zmianę muszą przygotować się podmioty, które w swoich strukturach nie mają powołanego Administratora Bezpieczeństwa Informacji, a spełniają przesłanki z art. 37 ust. 1 RODO. W obecnym stanie prawnym jego wyznaczenie jest dobrowolne, zaś od 25 maja 2018 r. powołanie Inspektora Ochrony Danych we wskazanych w Rozporządzeniu przypadkach będzie już obowiązkiem, a nie uprawnieniem.