Wydarzenia

„Dziennik Gazeta Prawna”: Jak będzie działać zarządzanie danymi według RODO?


Polskie firmy przygotowują się na wprowadzenie wymagań nowych unijnych przepisów o ochronie danych osobowych, które zaczną być stosowane 25 maja 2018 roku (w skrócie RODO). „Dziennik Gazeta Prawna” przypomina, że nowe przepisy zakładają m.in. zastąpienie dzisiejszych administratorów bezpieczeństwa informacji (ABI) inspektorami ochrony danych (IOD). Zajmują się oni ochroną danych osobowych. Przygotowują niezbędne dokumenty (np. regulaminy), nadają uprawnienia dostępu do danych czy kontrolują procedury bezpieczeństwa. Mogą być zatrudnieni w ramach firmy, często jednak ich usługi są outsourcowane. W ten sposób jedna osoba może pełnić funkcje ABI dla wielu różnych przedsiębiorstw. „DGP” analizuje, czy taka sytuacja będzie możliwa po wejściu w życie nowych przepisów.

W artykule czytamy, że zgodnie z art. 37 ust. 2 RODO, grupa przedsiębiorstw powiązanych kapitałowo może wyznaczyć jednego IOD, o ile można z nim łatwo nawiązać kontakt z każdej jednostki organizacyjnej. Z kolei ust. 3 tego przepisu reguluje zasady wyznaczania IOD przez kilka podmiotów publicznych (musi się to odbywać z uwzględnieniem ich struktury organizacyjnej i wielkości).

Prawnicy różnie interpretują ten problem. – Wykładnia językowa i systemowa wskazuje jednoznacznie, że tylko w tych dwóch sytuacjach jest możliwe powoływanie tego samego IOD przez różne podmioty. A contrario przedsiębiorcy, którzy nie są powiązani w ramach jednej grupy kapitałowej, nie mogą tego robić – zauważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński i ekspert Instytutu Allerhanda. Są też inne opinie. – Gdyby prawodawca unijny chciał wprowadzić taki zakaz, to zrobiłby to wprost przez odpowiednią regulację zabraniającą powoływania jednego IOD przez różne podmioty. Skoro tego nie zrobił, to zarówno przedsiębiorcy, jak i podmioty publiczne mają do tego prawo, oczywiście przy założeniu, że taki IOD będzie w stanie wykonywać prawidłowo swoje obowiązki dla wielu z nich – przekonuje doktor Grzegorz Sibiga z Instytutu Nauk Prawnych PAN.

Dziennik wskazuje, że na razie nie wiadomo, czy polskie przepisy wdrażające unijne rozporządzenie w jakikolwiek sposób odniosą się do możliwości obsługi wielu podmiotów przez jednego IOD. W Ministerstwie Cyfryzacji trwają prace nad projektem nowej ustawy, który w najbliższym czasie powinien ujrzeć światło dzienne.

Dziennik Gazeta Prawna s. B4