Atmosfera niepewności wobec tego, jak stosowane będą przepisy RODO (obowiązujące od maja 2018 r.) jest na tyle duża, że śmiało można ją porównać do obaw dotyczących tego, który bohater pożegna się z życiem w najbliższym odcinku „Gry o tron”. O ile jednak na kolejne informacje o tym, kto pożegna się z życiem w tym serialu musimy poczekać do 2019 roku, to okres stosowania RODO zbliża się wielkimi krokami - a wątpliwości nadal jest wiele. Nawet od wielu prawników można usłyszeć, że „w sumie nie wiadomo jak to się będzie stosowało”.
Sytuacji niestety nie ułatwiają różne sprzeczne informacje, które pojawiają się w mediach, w szczególności w prasie. Dotyczą one na przykład obowiązku powołania Inspektora Ochrony Danych (IOD). Kilkukrotnie spotkałem się ze stwierdzeniem, że powołanie takiego Inspektora będzie obowiązkowe dla wszystkich podmiotów, które są administratorami danych osobowych.
Co to by oznaczało? Że każdy, nawet jednoosobowy przedsiębiorca, posiadający bazę klientów zapisaną na dysku twardym swojego komputera, musiałby powołać Inspektora Ochrony Danych.
Brzmi to jak scenariusz naprawdę tandetnego horroru, co wskazywałoby na to, że to nie może być prawda. Ale z drugiej strony – RODO nakłada sporo różnych naprawdę uciążliwych obowiązków, które (niestety) są jak najbardziej prawdziwe. Spróbujmy więc (razem) dojść do jedynej słusznej prawdy i oddzielić fakty od mitów.
Inspektor Ochrony Danych to taki odpowiednik współczesnego Administratora Bezpieczeństwa Informacji – czyli osoba zajmująca się bezpieczeństwem danych osobowych w organizacji (spółce, gminie, szpitalu itp.) IOD musi posiadać odpowiednie kwalifikacje oraz być wyposażony w możliwości wpływania na podejmowane przez przedsiębiorcę decyzje, aby realnie zapewnić przestrzeganie przepisów RODO.
Kto będzie w rzeczywistości musiał powołać IODa?
Każdy (ale uwaga dalej!) organ albo podmiot publiczny, za wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (czyli przykładowo: Gmina, Komendant Wojewódzki Policji, szkoła podstawowa, Minister)
Podmiot, którego główna działalność polega na operacjach przetwarzania, wymagających regularnego i systematycznego monitorowania na dużą skalę osób, których dane dotyczą.
Podmiot, który przetwarza na dużą skalę szczególne kategorie danych osobowych (tzw. danych wrażliwych, np. dotyczących stanu zdrowia, wyznania, poglądów politycznych) oraz dane osobowe dotyczące wyroków skazujących i naruszeń prawa.
Wszystkie inne podmioty będą mogły oczywiście również powołać Inspektora Ochrony Danych, co powinno przyczynić się do zapewnienia jak najwyższego poziomu ochrony danych osobowych. Jeżeli jednak nie będą widziały takiej potrzeby, nie będą do tego zmuszone, nie zostaną na nie nałożone żadne kary i nie spotkają ich za to jakiekolwiek negatywne konsekwencje.
Nie takie więc RODO straszne, jak je malują.
