Administrator bezpieczeństwa informacji a inspektor ochrony danych
Nie powołałeś ABI i zastanawiasz się, czy masz obowiązek powołać inspektora ochrony danych? Pełniłeś funkcję ABI i nie wiesz, jak należy postąpić po wejściu w życie RODO? A może szukasz alternatywy dla obu tych stanowisk? Z mojego artykułu dowiesz się:
- Jakie podmioty mają obowiązek powołać inspektora, nawet jeśli nie miały powołanego ABI,
- Jakie obowiązki ciążą na administratorze danych, który powołał uprzednio ABI,
- Jak zastąpić oba te stanowiska osobą dedykowaną do spraw ochrony danych osobowych.
Kto ma obowiązek powołać inspektora
RODO wymienia trzy kategorie podmiotów, w których należy ustanowić stanowisko inspektora ochrony danych osobowych, są to:
- podmioty publiczne, przez które na gruncie prawa polskiego należy rozumieć jednostki sektora finansów publicznych, instytuty badawcze oraz Narodowy Bank Polski,
- podmioty, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę – do tej kategorii zalicza się portale internetowe gromadzące dane osobowe znacznej liczby użytkowników, pracodawców gromadzących dane biometryczne dużej liczby pracowników w celu ich identyfikacji, podmioty korzystające z monitoringu wizyjnego na dużą skalę,
- podmioty, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa – będą to w szczególności szpitale i placówki medyczne (w zakresie szczególnych kategorii danych osobowych), instytucje i podmioty przetwarzające na dużą skalę informacje o wyrokach i innych naruszeniach prawa.
Pamiętaj, że obowiązek wyznaczenia inspektora ochrony danych spoczywać może zarówno na administratorze danych osobowych, jak i na podmiocie przetwarzającym. Stanie się tak, gdy spełniać on będzie co najmniej jedną ze ww. przesłanek. Co ważne, możesz powołać inspektora ochrony danych, także dobrowolnie, gdy nie ciąży na tobie taki obowiązek.
Inspektor zamiast ABI
Jeżeli dotychczas w twojej firmie funkcjonował administrator bezpieczeństwa informacji, dalsze pełnienie przez niego funkcji oraz twoje obowiązki z tym związane wynikają z przepisów przejściowych polskiej ustawy o ochronie danych osobowych. Zgodnie z nimi:
- osoba pełniąca w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji, stała się, z mocy ustawy, inspektorem ochrony danych i pełni swoją funkcje do dnia 1 września 2018 r., chyba, że do tego dnia administrator zawiadomi Prezesa UODO o wyznaczeniu innej osoby na inspektora ochrony danych,
- osoba taka może zostać odwołana przez administratora danych bez zawiadomienia Prezesa UODO o wyznaczeniu innej osoby na inspektora ochrony danych, w przypadku gdy na podstawie RODO administrator danych nie ma obowiązku wyznaczenia inspektora ochrony danych,
- osoba, która stała się inspektorem ochrony danych, pełni swoją funkcję także po dniu 1 września 2018 r. jeżeli do tego dnia administrator zawiadomi o niej Prezesa UODO.
Alternatywa dla inspektora
Wysoce sformalizowana funkcja inspektora ochrony danych zniechęca niektóre podmioty, które nie mają obowiązku jej ustanawiania, do dobrowolnego jego powoływania. Aby jednakże scedować przynajmniej część obowiązków z tej dziedziny na inną osobę, wykorzystuje się instytucję pełnomocnika zarządu. Jest on powoływany do prowadzenia określonych spraw z zakresu ochrony danych osobowych, wskazanych w pełnomocnictwie. Dzięki temu firma ta dużą elastyczność w kreowaniu jego obowiązków, a także łatwość ich zmiany i odwołania pełnomocnika. Co ważne, osoba taka nie podlega zgłoszeniu do Prezesa UODO. Nie ma również przeszkód aby zadania te podzielić pomiędzy dotychczasowych pracowników odpowiednio modyfikując zakres ich obowiązków służbowych.