Pisałem jakiś czas temu o tym, kiedy RODO wymagało będzie powołania Inspektora Ochrony Danych, a kiedy korzystanie z jego pomocy będzie dobrowolne. Należy pamiętać, że obecnie w Polsce funkcjonuje instytucja Administratora Bezpieczeństwa Informacji (ABI). To takie osoby, które odpowiadają w organizacjach właśnie za przestrzeganie przepisów dotyczących ochrony danych osobowych i ich kompetencje są zbliżone do kompetencji, które będą mieli Inspektorzy Ochrony Danych.
Dlatego wszystkie podmioty, które mają obecnie Administratora Bezpieczeństwa Informacji są zainteresowane tym, co stanie się z ABI po 25 maja 2018 r. – czyli po dacie od której będą stosowane przepisy RODO. Czy Administrator Bezpieczeństwa Informacji po prostu przekształci się w Inspektora Ochrony Danych? Czy może jednak konieczne będzie powołanie IODa na nowo?
Nowy projekt ustawy dotyczącej przepisów wprowadzających ustawę o ochronie danych osobowych (który pojawił się w zeszłym tygodniu i o którym pisałem w związku ze zmianami w Kodeksie pracy) wskazuje na rozwiązanie pośrednie.
Obecni Administratorzy Bezpieczeństwa Informacji (a dokładnie – ci, którzy będą nimi 24 maja 2018 r.) staną się automatycznie Inspektorami Ochrony Danych, ale swoją funkcję będą pełnić jedynie do 1 września 2018 r.
Projekt ustawy wymaga, aby organizacje zgłosiły, czy obecni Administratorzy Bezpieczeństwa Informacji mają pozostać Inspektorami Ochrony Danych również po 1 września 2018 r. Co ciekawe, projekt zakłada, że powiadomienie wymagane będzie również w sytuacji, że ABI nie pełni funkcji Inspektora Ochrony Danych.
Tym samym projekt wymaga dwóch informacji – zarówno pozytywnej (że ABI będzie pełnił funkcję Inspektora Ochrony Danych) jak i negatywnej (że tej funkcji pełnił nie będzie). Należy zadać pytanie, co z tymi Administratorami Bezpieczeństwa Informacji, którzy z jakichś powodów nie będą mogli pełnić funkcji IOD już od 25 maja 2018 r. Wydaje się, że powinni albo zrezygnować z funkcji jeszcze przed 25 maja 2018 r. albo zrobić to już po rozpoczęciu stosowania RODO, co wymagało będzie osobnego zgłoszenia do nowego organu państwowego dot. ochrony danych osobowych, na podstawie innych przepisów nowej ustawy o ochronie danych osobowych.
Oczywiście trzeba się też zastanowić co z tymi organizacjami, które nie zgłoszą do nowego Prezesa Urzędu Ochrony Danych Osobowych jakiejkolwiek informacji. W takim wypadku nie ma jakichkolwiek podstaw aby twierdzić, że Inspektor Ochrony Danych (powstały z przekształcenia ABI) pełni swoją funkcję również po 1 września 2018 r. Oznacza to jednak niepełne wykonanie obowiązku wynikającego z nowej ustawy. Brak jednak informacji o jakichkolwiek konsekwencjach. Być może zasadne będzie dopracowanie wskazanego przepisu, który znalazł się w projekcie ustawy.
Z uwagi na to, iż trwają obecnie konsultacje projektów, jest to dobry czas, aby przemyśleć tę kwestię.
