Jeden właściwy i drugi pełniący obowiązki w zastępstwie. Sejm przyjął nowelizację ustawy przygotowaną przez resort cyfryzacji. To zbędna regulacja – oceniają eksperci.
Podmiot, który wyznaczył inspektora ochrony danych osobowych (dalej: IOD), ma mieć możliwość wyznaczenia osoby, która go zastąpi w czasie nieobecności. Zmianę taką przewiduje czekająca już tylko na głosowanie w Senacie ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (ma znowelizować m.in. ustawę z 10 maja 2018 r. o ochronie danych osobowych; Dz.U. z 2018 r. poz. 1000, dalej: u.o.d.o.). Co ciekawe, jeśli Senat zaakceptuje ustawę w brzmieniu zaproponowanym przez Ministerstwo Cyfryzacji, a przyjętym 21 lutego przez Sejm, to do osoby zastępującej trzeba będzie zastosować przepisy dotyczące IOD. A to oznacza, że o samym jej powołaniu trzeba będzie powiadomić UODO, a informację o zastępcy, w tym jego dane, udostępnić na stronie internetowej lub ewentualnie w miejscu prowadzenia działalności. Tylko czy takie rozwiązanie jest w ogóle potrzebne? A nawet jeśli, to czy musi być uregulowane ustawowo? Eksperci są sceptyczni.

Przeregulowanie

Radca prawny Andrzej Lewiński, zastępca GIODO w latach 2006–2016, a obecnie prezes Fundacji im. Józefa Wybickiego oraz przewodniczący komitetu ds. ochrony danych osobowych Krajowej Izby Gospodarczej, wskazuje, że wprowadzenie funkcji zastępcy IOD nie znajduje uzasadnienia w przepisach RODO. I jak podkreśla, w wytycznych Grupy Roboczej Art. 29 z 13 grudnia 2016 r. dotyczących inspektorów ochrony danych (WP 243) jest możliwość, aby w miarę potrzeby IOD powołał zespół pracowników, który będzie go wspierał w wykonywanych obowiązkach. – Nie ma więc potrzeby, aby wprowadzać do polskiej ustawy nieznaną unijnemu rozporządzeniu funkcję. Zwłaszcza, że jej dodanie do przepisów spowoduje szereg wątpliwości – stwierdza mec. Lewiński. Wtóruje mu dr Marlena Sakowska-Baryła, radca prawny i partner w Sakowska-Baryła Czaplińska Kancelaria Radców Prawnych sp.p. oraz redaktor naczelna „ABI Expert”. – Oczywiste jest, że IOD, jako osoba fizyczna, może chcieć wziąć urlop wypoczynkowy, ewentualnie może zachorować lub przeprowadzać np. audyt bądź szkolenie. Siłą rzeczy powinien mieć zapewnione zastępstwo przy wykonywaniu swoich obowiązków. Mam jednak wątpliwości, czy potrzebna jest do tego podstawa ustawowa – mówi dr Sakowska-Baryła. Zdaniem ekspertki propozycja wprowadzenia takiej regulacji jest objawem przeregulowania reformy ochrony danych osobowych.
– To także zwiększenie biurokracji. Wszak zastępca będzie musiał być zgłoszony zarówno przy powołaniu, jak i odwołaniu do prezesa UODO – mówi Izabela Kowalczuk-Pakuła, partner w polskim biurze Bird & Bird kierująca praktyką ochrony prywatności i danych osobowych.

To już było

Jak zauważa mec. Andrzej Lewiński, wprowadzenie funkcji zastępcy IOD może kojarzyć się jeszcze z poprzednim stanem prawnym. Nieobowiązująca już ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.) przewidywała bowiem powołanie zastępców funkcjonujących wówczas administratorów bezpieczeństwa informacji (ABI), tj. odpowiedników IOD. Zastępców mogło być nawet kilku i osoby te, podobnie jak ABI, musiały spełniać kryteria określone w art. 36a ust. 5 ówcześnie obowiązującej ustawy, np. posiadać odpowiednie kompetencję, nie być karanym za przestępstwo, mieć pełną zdolność do czynności prawnych oraz możliwość korzystania z pełni praw publicznych. Zastępcy ABI mieli go zastępować w przypadku jego nieobecności, przejmując jego funkcje nadzorcze i szkoleniowe oraz prowadząc rejestry zbiorów danych osobowych. Faktu powołania zastępców ABI nie trzeba było jednak zgłaszać o organu nadzorczego, czyli generalnego inspektora ochrony danych osobowych. Zastępcami mogli być odpowiednio przeszkoleni pracownicy, którzy na co dzień byli zatrudnieni na innym stanowisku. Niestety, jak przypomina mecenas Andrzej Lewiński, wielu ABI wyznaczając sobie zespół zastępców, w praktyce często nie sprawowało realnej pieczy nad przetwarzaniem danych osobowych w firmie. Ekspert obawia się, że wprowadzenie funkcji zastępcy IOD spowoduje podobny efekt – zmniejszenia faktycznej kontroli inspektorów nad operacjami prowadzonymi na danych osobowych w przedsiębiorstwie. To zaś może narazić administratorów na kary od organu nadzorczego.

Może warto powtórzyć?

A jeśli już zaproponowane rozwiązanie miałoby zostać utrzymane, to – zdaniem ekspertów – na pewno trzeba będzie wyjaśnić wiele istotnych kwestii. I tak zwracają oni uwagę, że projekt nie precyzuje, co należy rozumieć przez pojęcie nieobecności IOD. Czy np. chodzi o urlop wypoczynkowy, czy zwykłe, nawet krótkie zwolnienie lekarskie?
Poza tym pojawia się pytanie, czy zastępca IOD może być osobą zatrudnioną u administratora i wykonującą na co dzień inne obowiązki? I wreszcie, czy zastępca IOD musi otrzymywać wynagrodzenie za samą gotowość do zastąpienia wyznaczonego IOD?
– To bardzo ważne, ponieważ zgodnie z art. 38 ust. 6 RODO inspektor nie może wykonywać takich zadań, które powodują konflikt interesów – przypomina dr Marlena Sakowska-Baryła.
Ekspertka uważa, że ustawodawca chcąc brnąć w stronę umożliwienia powoływania zastępcy IOD, powinien zainspirować się niektórymi rozwiązaniami z poprzedniej ustawy, które dotyczyły zastępców ABI.
– Warto byłoby sięgnąć po konstrukcję, gdzie zastępca zastępuje IOD przy wykonywaniu określonych powierzonych mu (zapewne przez IOD) czynnościach. Skoro nie wiadomo, czy będzie on mógł pełnić inne obowiązki niż te zastępcy IOD, to można zrozumieć, iż nie będzie on mógł podczas obecności wyznaczonego IOD wykonywać żadnych czynności z zakresu obowiązków inspektora. To mało praktyczne i odrealnione – ocenia prawniczka. I dodaje, że to blokowałoby np. możliwość prowadzenia szkoleń przez zastępcę w momencie, gdy IOD przeprowadza czynności audytowe.
Eksperci zastanawiają się też, czy nieobecność powołanych IOD i zastępców będzie narażała administratora na sankcje za naruszenia przepisów związanych z brakiem dostępności IOD.
– W celu zapewnienia pewności wykładni dla przedsiębiorców ta kwestia powinna być wyjaśniona w uzasadnieniu. Nie znajdujemy tam jednak odpowiedzi na nasze pytania – wskazuje mec. Izabela Kowalczuk-Pakuła.©℗

opinia

Standardy wyznaczy UODO

Rozwiązanie zostało wprowadzone do projektu na etapie prac rządowych wskutek uwzględnienia jednej ze zgłoszonych uwag. Jak rozumiem, ma ono na celu ułatwienie podejmowania funkcji IOD w dużych organizacjach, gdzie dzisiaj pod nieobecność IOD ad hoc trzeba w każdym przypadku ustanawiać osobę zastępującą.
To przyczynia się do rotacji, trudno jest bowiem od osoby formalnie niebędącej zastępcą IOD wymagać obecności zawsze podczas nieobecności IOD. Przepisy nie będą regulowały takich kwestii jak to, czy zastępcą IOD będzie mógł być np. pracownik firmy wykonujący w niej na co dzień inne obowiązki, albo czy ma to być osoba zatrudniona w pogotowiu lub pracownik wykonujący na co dzień pracę niepowodującą konfliktu interesów z obowiązkami IOD. Jak rozumiem, standardy wyznaczał będzie tutaj Urząd Ochrony Danych Osobowych, traktując jako punkt odniesienia inspektorów ochrony danych i wymogi im stawiane. Jeśli natomiast chodzi o pojęcie nieobecności, to zawsze powinna być ona rozumiana jako faktyczna niemożność podejmowania działań przez IOD i to niezależnie od okoliczności będących przyczyną takiej niemożności.