Jak działają ABI w innych państwach Unii Europejskiej

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, wprowadzając instytucję Administratora Bezpieczeństwa Informacji (ABI), kierowała się treścią art. 18 ust. 2 dyrektywy 95/46/WE, poświęconego instytucji urzędnika ds. ochrony danych osobowych (ang. personal data protection official). Uregulowania samej dyrektywy miały z kolei swoje źródło w doświadczeniach tych krajów Europy Zachodniej, które jako pierwsze wprowadziły u siebie akty prawne dotyczące ochrony danych osobowych. W rezultacie każdy z krajów członkowskich nieco inaczej reguluje takie kwestie, jak obowiązek (lub jego brak) powoływania urzędników ds. ochrony danych osobowych, zakres ich obowiązków czy stopień podległości administratorowi danych.

Niniejszy artykuł prezentuje rozwiązania prawne dotyczące odpowiedników ABI w wybranych państwach Unii Europejskiej. W pierwszej kolejności zacząć jednak należy od przybliżenia historii samej instytucji.

Pierwszym na świecie aktem prawnym, który poświęcony był zagadnieniom związanym z ochroną danych osobowych, była szwedzka ustawa o danych (szw. Datalag) z 11 maja 1973 r. Dopiero jednak Republika Federalna Niemiec wprowadziła do swego ustawodawstwa stanowisko inspektora ochrony danych (niem. Beauftragten für den Datenschutz). Zgodnie z §28-29 federalnej ustawy o ochronie danych (niem. Bundesdatenschutzgesetz, BDSG) z dnia 27 stycznia 1977 r., na inspektora mogła być powołana osoba legitymująca się wiedzą specjalistyczną i wiarygodnością. Do obowiązków osoby piastującej to stanowisko należało wdrażanie przepisów BDSG w instytucji go zatrudniającej, co w szczególności oznaczało:

• nadzór nad wykorzystaniem programów automatycznie przetwarzających dane osobowe oraz
• zapoznawanie osób przetwarzających dane osobowe z przepisami ich dotyczącymi.

Inspektor musiał być obowiązkowo powołany w ciągu jednego miesiąca od rozpoczęcia działalności danego podmiotu:

• w instytucji, zatrudniającej ponad 5 pracowników i przetwarzającej dane osobowe w sposób zautomatyzowany,
• w instytucji, zatrudniającej ponad 20 pracowników i przetwarzającej dane osobowe w sposób inny niż zautomatyzowany.

Francja

Piąta Republika jako trzecie państwo w Europie i na świecie uchwaliła akt prawny dotyczący ochrony danych osobowych (ustawę nr 78-17 z 6 stycznia 1978 r. w sprawie systemów przetwarzania danych, systemów ewidencjonowania danych oraz swobód, fr. Loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés), który wiele osób uznaje za bezpośrednią inspirację dla późniejszej o 17 lat dyrektywy 95/46/WE. Musiało minąć jednak 26 lat, zanim nowelizacja z 6 sierpnia 2004 r. oraz dekret nr 2005-1309 z 20 października 2005 r. przewidziały możliwość wyznaczania inspektora ochrony danych (fr. Correspondant à la protection des données personnelles), określanego również mianem Correspondant Informatique et Libertés (CIL).

Inspektor jest odpowiedzialny za zapewnienie zgodności działań podmiotu, w ramach którego funkcjonuje, z przepisami ustawy 78-17. Do jego obowiązków należy ponadto przekazywanie osobie, której dane dotyczą, informacji o sposobie przetwarzania jej danych osobowych.

Powołanie CIL nie jest wymagane, ale zwalnia instytucję z części obowiązków, jakie należy zrealizować przed rozpoczęciem przetwarzania danych osobowych. O fakcie wyznaczenia inspektora należy poinformować CNIL (fr. Commission Nationale de l’Informatique et des Libertés – francuski odpowiednik GIODO) oraz przedstawicieli pracowników administratora danych.

O tym, kto może być inspektorem danego podmiotu, decyduje liczba osób w nim zatrudnionych:

• administrator danych zatrudniający do 50 osób ma pełną swobodę – może wybrać pracownika lub osobę z zewnątrz,
• administrator danych zatrudniający więcej niż 50 osób może mianować inspektorem jedynie własnego pracownika, pracownika podmiotu kontrolowanego bądź kontrolującego administratora danych, pracownika zgrupowania interesów gospodarczych (specyficzna dla Francji forma działalności gospodarczej) lub osobę będącą CIL samorządu zawodowego, do którego należy administrator danych.

Holandia

Holenderska ustawa o ochronie danych osobowych z 6 lipca 2000 r. (nid. Wet bescherming persoonsgegevens, w skrócie Wbp) dopuszcza możliwość powołania inspektora ochrony danych (nid. functionaris voor de gegevensbescherming, w skrócie FG), ale nie nakłada na żaden podmiot takiego obowiązku.

Zadania, jakie Wbp stawia przed inspektorami, są następujące:

• nadzorowanie przetwarzania danych osobowych w ramach podmiotu, w którym FG wykonuje swoje obowiązki,
• składanie do administratora danych wniosków w przedmiocie poprawy stanu ochrony danych osobowych,
• prowadzenie rejestru uwzględniającego procesy przetwarzania danych osobowych w ramach danej instytucji,
• sporządzanie raportów z działań podjętych w danym roku.

FG nie może wykonywać swoich obowiązków, dopóki administrator danych nie zgłosi go do Rady Ochrony Danych Osobowych (nid. College bescherming persoonsgegevens). Wbp podkreśla, że inspektor, realizując swoje zadania, nie może napotykać żadnych przeszkód ze strony zatrudniającego go podmiotu.

Niemcy

Współcześnie kwestie związane z ochroną danych osobowych w dalszym ciągu reguluje federalna ustawa o ochronie danych, kilkukrotnie nowelizowana (po raz ostatni 1 stycznia 2016 r.). Uregulowania dotyczące inspektora ochrony danych znajdują się w § 4f-4g BDSG. Zgodnie z nimi podstawowym zadaniem osoby na tym stanowisku jest zapewnienie zgodności działań instytucji, w której pełni swoje obowiązki, z przepisami BDSG.

Inspektora należy obowiązkowo wyznaczyć w ciągu 30 dni od rozpoczęcia działalności danego podmiotu:

• w instytucji, zatrudniającej ponad 9 pracowników i przetwarzającej dane osobowe w sposób zautomatyzowany,
• w instytucji, zatrudniającej ponad 20 pracowników i przetwarzającej dane osobowe w sposób inny niż zautomatyzowany.

Niewyznaczenie inspektora w sytuacjach prawem wymaganych może się wiązać z nałożeniem na instytucję grzywny w wysokości do €50.000,00.

Podkreślić należy, że na gruncie prawa niemieckiego inspektor ochrony danych nie musi być obywatelem Niemiec! BDSG wymaga od osoby zatrudnionej na tym stanowisku jedynie wiedzy specjalistycznej (w zakresie uzależnionym od rodzaju podmiotu, w którym wykonuje swoje zadania) oraz wiarygodności. Inspektor nie musi być ponadto pracownikiem administratora danych – ten ostatni może wyznaczyć na to stanowisko osobę z zewnątrz.

Węgry

Początki węgierskiego ustawodawstwa z zakresu ochrony danych osobowych sięgają 1992 r., kiedy to weszła w życie ustawa nr LXIII z 1992 r. o ochronie danych osobowych i dostępie do danych o znaczeniu ogólnym – pierwszy taki akt w Europie Środkowo-Wschodniej. Została ona kilkukrotnie znowelizowana, a 1 stycznia 2012 r. – zastąpiona przez ustawę nr CXII z 2011 r. w sprawie samostanowienia w dziedzinie informacji i wolności informacji (węg. 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról). Ustawa nr CXII z 2011 r. ustanawia szczególne wymogi wobec wewnętrznych inspektorów ochrony danych (węg. belső adatvédelmi felelős) – każdy z nich powinien legitymować się wykształceniem prawniczym, administracyjnym, ekonomicznym, informatycznym lub innym ekwiwalentnym.

Powołanie inspektora jest obowiązkiem następujących kategorii podmiotów:

• urzędy publiczne, w szczególności przetwarzające dane dotyczące zatrudnienia lub skazań,
• instytucje finansowe,
• dostawcy usług telekomunikacyjnych lub usług użyteczności publicznej.

Pozostałe instytucje mają w tym zakresie wolną rękę. Niepowołanie inspektora przez podmiot, który jest do tego zobowiązany, może wiązać się z ryzykiem nałożenia przez Krajowy Urząd Ochrony Danych i Wolności Informacji grzywny (jej maksymalna wysokość może wynosić 10 milionów forintów – ok. €32.000,00).

Inspektorzy zobowiązani są w szczególności do:

• sprawowania nadzoru nad działalnością podmiotu, w którym działają, celem zapewnienia zgodności z przepisami oraz zagwarantowania praw przysługujących osobom, których dane dotyczą,
• przyjmowania i rozpatrywania skarg związanych z naruszeniem przepisów o ochronie danych osobowych,
• prowadzenia szkoleń z zakresu ochrony danych osobowych dla pracowników instytucji, w której działają.

Oryginalną instytucją wprowadzoną ustawą nr CXII z 2011 r. są coroczne konferencje, organizowane przez przewodniczącego Krajowego Urząd Ochrony Danych i Wolności Informacji dla inspektorów celem omówienia kwestii tyczących się ochrony danych osobowych.

Wielka Brytania

Dyrektywa 95/46/WE została wdrożona przez Zjednoczone Królestwo w 1998 r. poprzez przyjęcie ustawy o ochronie danych (ang. Data Protection Act 1998), nie zdecydowano się jednak na oficjalne wprowadzenie instytucji inspektora ochrony danych (ang. data protection oficer, w skrócie DPO). Komisarz ds. Informacji (brytyjski organ ochrony danych osobowych) w swoich wystąpieniach podkreśla, że z jego punktu widzenia kluczowe jest przestrzeganie przez instytucje do tego zobowiązane przepisów o ochronie danych – sposób wypełniania tego obowiązku ma znaczenie drugorzędne.

Pomimo wskazanego braku wiele podmiotów decyduje się na zatrudnianie DPO w celu zapewnienia zgodności działalności danej instytucji z przepisami o ochronie danych. Podkreślić jednak należy, że w świetle obowiązującego prawa podmiotem praw i obowiązków pozostaje administrator danych i na nim ostatecznie spoczywa odpowiedzialność.

Autor: Adam Klimowski