Poważne wyzwanie dla inspektora i administratora bezpieczeństwa informacji

Inspektor ochrony danych to nowa instytucja służąca wypełnianiu zadań z zakresu zapewnienia działania różnych podmiotów zgodnie z prawem oraz do współpracy z organem nadzoru.

Inspektor ochrony danych osobowych (dalej: IOD) pełnić ma kluczową rolę w nowym systemie ochrony, stworzonym przez unijne Ogólne Rozporządzenie w sprawie Danych Osobowych (dalej RODO: wejdzie w życie 25 maja 2018 r.). Wprawdzie instytucja podmiotu stojącego na straży przestrzegania danych wewnątrz organizacji nie jest obca polskiemu porządkowi – na mocy ustawy o ochronie danych osobowych z 29 sierpnia 1997 r. funkcjonuje administrator bezpieczeństwa informacji (ABI), niemniej jednak poszczególne kwestie związane z powołaniem, statusem i zadaniami IOD różnią się od obowiązujących regulacji.

Jakie różnice

Powołanie IOD jest obligatoryjne we wskazanych w RODO przypadkach, podczas gdy powołanie ABI ma zawsze charakter fakultatywny. I tak obowiązek nominowania IOD powstanie gdy:

- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości, przy czym Grupa Robocza Artykułu 29 ds. Ochrony Danych („Grupa art. 29") wskazuje, że dobrą praktyką byłoby powoływanie inspektora także przez podmioty prywatne, które prowadzą działalność z zakresu zadań publicznych tj. transport publiczny, dostawa wody, energii, czy infrastruktura drogowa;

- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na...