Sektor publiczny z obligatoryjnym inspektorem danych osobowych.

Szkoła Podstawowa nr 5 w Zawierciu

Inspektor danych osobowych, czy administrator bezpieczeństwa informacji?

Nawet przedszkole i biblioteka w ciągu dwóch lat będą musiały wyznaczyć inspektora  danych osobowych (czyli specjalistę od ochrony danych osobowych, który obecnie jest nazywany administratorem bezpieczeństwa informacji). Ta konieczność wynika wprost z opublikowanego 4 maja 2016 roku rozporządzenia unijnego.

Wspomniane rozporządzenie odnosi się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu takich danych. Rozporządzenie to wprowadzi (po okresie przejściowym) wiele nowych obowiązków dla administratorów danych, w tym jeden szczególnie istotny dla wszystkich (bez wyjątków) administratorów danych podmiotów i instytucji sektora publicznego, a mianowicie konieczność powołania w ich jednostkach inspektora danych osobowych.

Na wymóg zatrudnienia takiego specjalisty w instytucjach publicznych nie będzie miało wpływu, to ile i jakiego rodzaju dane osobowe przetwarza dana instytucja publiczna. Obowiązek ten obejmie nawet bardzo małe jednostki żłobek, bibliotekę czy też przedszkole. Jedynym udogodnieniem dla tych instytucji będzie możliwość wyznaczenia wspólnego (jednego dla kilku instytucji) inspektora danych osobowych, który będzie realizował zadania ustawowe związane z ochroną danych osobowych odrębnie dla każdej z nich.

Podobnie jak dziś funkcjonujący  w sferze ochrony danych osobowych administratorzy bezpieczeństwa informacji, tak i przyszli inspektorzy ochrony danych nie będą musieli być zatrudnieni na etacie w danej instytucji. Dla wypełnienia rzeczonego obowiązku dana instytucja będzie mogła skorzystać z usług świadczonych przez wyspecjalizowane podmioty zewnętrzne, czyli tzw. outsourcingu. Zlecenie przez administratora danych tego typu usługi nie będzie powodowało automatycznego uwolnienia się od odpowiedzialności za ewentualne nieprawidłowości. Za każde tego typu uchybienia niezmiennie odpowiedzialność będzie ponosiła instytucja przetwarzająca dane osobowe.

Co więcej, odpowiedzialność będzie niewspółmiernie większa niż dzisiaj. W przypadku administracji publicznej górną granicę ustanowiono na poziomie 20 mln euro. Oczywiście tak wysokie kary mogą być stosowane przy najcięższych naruszeniach, jednak bez wątpienia sankcje będą odczuwalne.

Pokazuje to zresztą pewną zmianę w podejściu do ochrony danych osobowych. Dzisiaj, zwłaszcza w Polsce, główny nacisk kładzie się na wypełnienie formalnych obowiązków. Gdy zaczną obowiązywać nowe regulacje unijne, ważniejszy będzie skutek. Instytucje, które nie będą potrafiły zapewnić realnej ochrony danych, będą się musiały liczyć z poważnymi sankcjami. Dlatego w ich dobrze rozumianym interesie jest, aby wybrały inspektorów ochrony danych, którzy zapewnią realne bezpieczeństwo.