W jaki sposób ABI stanie się inspektorem ochrony danych

Rola, jaką inspektor ochrony danych będzie pełnił w procesie przetwarzania danych osobowych, jest niebagatelna. Z intencji ustawodawcy europejskiego wprost wynika, że inspektor ma być niezależny, dysponować odrębnością organizacyjną w strukturze administratora oraz podlegać wyłącznie najwyższemu kierownictwu. Jednocześnie też ADO nie może nakładać na inspektora kar w związku z wykonywaniem przez niego zadań. W tym kontekście jest to istotna regulacja, która ma bezpośredni wpływ na treść postanowień umowy B2B w relacji inspektor–ADO.

Jeśli chodzi o podstawę prawną wykonywania zadań przez inspektora, RODO nie narzuca jednego obowiązującego modelu. Dopuszcza zarówno zatrudnienie pracownicze, jak i inne formy świadczenia pracy. Co istotne, zakres obowiązków nie może być jednak swobodnie kształtowany uzgodnieniami stron, ponieważ RODO wprost określa zakres zadań inspektora.

To, co będzie się działo z ABI od dnia praktycznego stosowania RODO, reguluje projekt ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych. W art. 134 tego projektu ustawodawca krajowy wskazuje, że ABI pełniący tę funkcję 24 maja 2018 r. będą z mocy prawa pełnić ją do 1 września 2018 r. w ustawowym statusie inspektorów ochrony danych. W tym terminie, zgodnie z ogólnymi zasadami zgłaszania organowi nadzorczemu wyznaczonego inspektora, będzie trzeba zawiadomić organ nadzorczy, tj. Prezesa Urzędu Ochrony Danych Osobowych, o wyznaczeniu inspektora. Mając jednak na uwadze, że projekt ustawy jest w trakcie procesu legislacyjnego, należy zweryfikować ostateczną treść uchwalonych w tym zakresie przepisów, co zgodnie z informacjami przedstawicieli projektodawcy ma nastąpić na wiosnę tego roku.

Obecnie ABI może być wyznaczony spośród załogi pracowniczej administratora. Może pełnić swoją funkcję zarówno w ramach zatrudnienia pracowniczego, np. na podstawie umowy o pracę, jak i w ramach zatrudnienia niepracowniczego, np. na bazie umowy zlecenia czy o świadczenie usług. Możliwe jest również zastosowanie modelu B2B, przy czym należy pamiętać, że ABI może być wyłącznie osoba fizyczna.

Status prawny inspektora ochrony danych oraz jego powiązanie z administratorem będą regulowane treścią przepisów o ochronie danych osobowych – w zakresie wyznaczenia i zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych oraz treścią przepisów stanowiących podstawę prawną stosunku prawnego łączącego ADO z inspektorem, np. Kodeksu pracy, przepisów prawa cywilnego itd. Dlatego też najbardziej odpowiednią formą prawną będzie adekwatna zmiana treści tego stosunku prawnego, wprowadzona aneksem do obowiązujących umów.

Należy pamiętać, że zakres obowiązków inspektora ochrony danych jest ściśle określony treścią RODO oraz ustawy o ochronie danych osobowych. Wykładnia systemowa i funkcjonalna norm wyznaczających zadania inspektora wskazuje, że może on wykonywać inne niż normatywnie przypisane mu zadania, wyłącznie wyjątkowo, tj. wówczas gdy te inne zadania nie będą determinowały konfliktu interesów. W odpowiedzi na pytanie, jak należy to rozumieć, pomogą wytyczne Grupy Roboczej Art. 29, która precyzuje, że wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. Oznacza to, że inspektor nie może zajmować równocześnie stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. Za stanowiska, które mogą powodować konflikt interesów, będą uważane stanowiska kierownicze (np. dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych.