Jeden administrator, ponad stu klientów. Co na to RODO?

Przedsiębiorcy intensywnie przygotowują się, aby sprostać wymaganiom nowych unijnych przepisów o ochronie danych osobowych, które zaczną być stosowane 25 maja 2018 r. Jedną ze zmian będzie zastąpienie dzisiejszych administratorów bezpieczeństwa informacji (ABI) inspektorami ochrony danych (IOD). To specjaliści, którzy zajmują się ochroną danych osobowych. Przygotowują niezbędne dokumenty (np. regulaminy), nadają uprawnienia dostępu do danych czy kontrolują procedury bezpieczeństwa. Mogą być zatrudnieni w ramach firmy, często jednak ich usługi są outsourcowane. W ten sposób jedna osoba może pełnić funkcje ABI dla wielu różnych przedsiębiorstw.

Rekordzista został powołany na ABI już przez 140 różnych podmiotów.

– Formalnie to rzeczywiście ja jestem ABI, ale faktycznie te obowiązki wykonuje zespół kilkunastu ekspertów pracujących w naszej kancelarii. Podobnie działających jak ja firm jest więcej. Moim zdaniem ten model najlepiej się sprawdza. Dzięki temu, że skupiamy się wyłącznie na ochronie danych osobowych, możemy świadczyć profesjonalne usługi dla wielu podmiotów, w tym także małych i średnich firm, których nie stać na zatrudnianie indywidualnych ABI – przekonuje Przemysław Zegarek, współwłaściciel firmy Lex Artis.

– Powiem więcej, uważam ten model za najbardziej przejrzysty. Unikam bowiem konfliktu interesów związanego z tym, że eksperci pracujący w naszej kancelarii byliby odpowiedzialni zarówno przede mną, jak i przed naszymi klientami. Warto też pamiętać, że ABI działa na rzecz prawa do prywatności wszystkich osób, których dane są przetwarzane – dodaje.

Zarówno on sam, jak i jego klienci byli monitorowani przez generalnego inspektora ochrony danych osobowych i w żadnej z tych kontroli nie pojawił się zarzut braku możliwości obsługi tak wielu różnych podmiotów.

Niejasne przepisy

Nie ma wątpliwości, że obowiązujące przepisy ustawy o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.) pozwalają, by jeden ABI pracował dla wielu zleceniodawców. Poniekąd taki był zamysł ustawodawcy, aby możliwy był outsourcing tego typu usług i nie było konieczności zatrudniania ABI na etat. Wspomniane kontrole GIODO potwierdzają dopuszczalność prawną takiego modelu działalności.

A jak będzie pod rządami przepisów nowego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO)? Jego art. 37 ust. 2 wspomina jedynie, że grupa przedsiębiorstw powiązanych kapitałowo może wyznaczyć jednego IOD, o ile można z nim łatwo nawiązać kontakt z każdej jednostki organizacyjnej. Z kolei ust. 3 tego przepisu reguluje zasady wyznaczania IOD przez kilka podmiotów publicznych (musi się to odbywać z uwzględnieniem ich struktury organizacyjnej i wielkości).

– Wykładnia językowa i systemowa wskazuje jednoznacznie, że tylko w tych dwóch sytuacjach jest możliwe powoływanie tego samego IOD przez różne podmioty. A contrario przedsiębiorcy, którzy nie są powiązani w ramach jednej grupy kapitałowej, nie mogą tego robić – zauważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński i ekspert Instytutu Allerhanda.

– Nie wiem, czy rzeczywiście taki był cel unijnego ustawodawcy, tym bardziej że praca jednego ABI dla różnych firm nie jest specyfiką wyłącznie polską i można się z nią spotkać w wielu krajach, chociażby w Holandii. Niemniej jednak trudno mi inaczej odczytać przepisy unijnego rozporządzenia – dopowiada.

Przyjęcie takiej interpretacji oznaczałoby, że poza przedsiębiorstwami należącymi do tej samej grupy kapitałowej nie ma możliwości powołania tego samego, zewnętrznego IOD. To zaś oznaczałoby, że kancelarie świadczące tego typu usługi straciłyby możliwość dalszej pracy w obecnym modelu biznesowym.

Doktor Grzegorz Sibiga z Instytutu Nauk Prawnych PAN, nie zgadza się jednak z tak restrykcyjną interpretacją.

– Gdyby prawodawca unijny chciał wprowadzić taki zakaz, to zrobiłby to wprost przez odpowiednią regulację zabraniającą powoływania jednego IOD przez różne podmioty. Skoro tego nie zrobił, to zarówno przedsiębiorcy, jak i podmioty publiczne mają do tego prawo, oczywiście przy założeniu, że taki IOD będzie w stanie wykonywać prawidłowo swoje obowiązki dla wielu z nich – przekonuje ekspert.

– Przepisy dotyczące grupy kapitałowej czy też grupy podmiotów publicznych narzucają jedynie pewne dodatkowe warunki w określonych sytuacjach, ale nie wprowadzają generalnego zakazu indywidualnego powoływania tego samego IOD przez kilka różnych podmiotów – dodaje.

Będzie autoregulacja

Firmy zajmujące się zewnętrzną obsługą przetwarzania danych osobowych zapewniają, że zdają sobie sprawę z ciążącej na nich odpowiedzialności. Trwają właśnie prace nad utworzeniem skupiającej je organizacji pod roboczą nazwą Związek Firm Ochrony Danych Osobowych. Jednym z jej celów będzie próba autoregulacji branży przez stworzenie standardu usług.

Dyskusja nad tym, jaką liczbę podmiotów jest w stanie obsłużyć jedna firma, jest w rzeczywistości wtórna, bo czasem jeden klient może generować tyle pracy, że wystarczy jej na kilku ekspertów, a czasem kilkudziesięciu wymaga stosunkowo niewielkiej pomocy, sprowadzającej się do sprawdzenia raz na pewien czas dokumentów regulujących przetwarzanie danych osobowych. Eksperci zewnętrzni zapewniają, że zdają sobie z tego sprawę i dlatego w odpowiedzialny sposób dobierają klientów. Jeśli dochodzą do wniosku, że wymagają oni pełnoetatowej obsługi, doradzają zatrudnienie ABI na etat, w ramach struktury wewnętrznej przedsiębiorcy.

Nowe regulacje unijne mogą jednak wymusić dalsze zmiany.

– Choć przepisy nie zabraniają tego, by jeden IOD obsługiwał wiele podmiotów, to zgodnie z wytycznymi Grupy Roboczej art. 29 musi spełnić wymogi kwalifikacyjne, które w sposób oczywisty ograniczają tę możliwość. Wytyczne te mówią m.in. o konieczności znajomości określonego sektora biznesowego i organizacji. Poza ogólnymi przepisami dotyczącymi ochrony danych IOD musi też znać specyfikę technologii przetwarzania informacji w danej branży, przykładowo służby zdrowia. Siłą rzeczy jedna osoba nie może być specjalistą w wielu różnych branżach, co powinno ograniczać możliwość pracy dla wielu różnych podmiotów – zwraca uwagę dr Grzegorz Sibiga.

Na razie nie wiadomo, czy polskie przepisy wdrażające unijne rozporządzenie w jakikolwiek sposób odniosą się do możliwości obsługi wielu podmiotów przez jednego IOD. W Ministerstwie Cyfryzacji trwają prace nad projektem nowej ustawy, który w najbliższym czasie powinien ujrzeć światło dzienne.

Więcej informacji

Podział prawa ze względu na metodę regulacji:
1) Prawo wewnętrzne: Prawo konstytucyjne, Prawo cywilne – reguluje relacje między podmiotami prawa w relacji poziomej, czyli żaden z podmiotów pozostających w stosunku prawnym nie jest władny narzucić swojej woli drugiej stronie (cywilnoprawna metoda regulacji).
Prawo pracy – reguluje stosunki między pracodawcą a pracownikiem, a także organizacjami pracowników (związki zawodowe) metodą w zasadzie cywilnoprawną, jednak z dużym zakresem norm semiimperatywnych służących wyznaczeniu minimalnego poziomu ochrony pracownika.
Prawo karne – jest zbiorem norm mających na celu eliminację zachowań aspołecznych najcięższej wagi poprzez zastosowanie sankcji kary. (karnoprawna metoda regulacji).
Prawo administracyjne – reguluje relacje między podmiotami w stosunku pionowym, tj. wówczas gdy jeden z podmiotów może władczo kształtować sytuację prawną drugiego podmiotu. (administracyjnoprawna metoda regulacji).
Prawo rodzinne i opiekuńcze
Prawo finansowe
2) Prawo międzynarodowe

Podział prawa ze względu na przedmiot regulacji:
prawo autorskie, prawo bankowe, prawo budowlane, prawo celne, prawo człowieka, prawo dziecka, prawo energetyczne, prawo kanoniczne, prawo konstytucyjne, prawo konfliktów zbrojnych, prawo lotnicze, prawo medyczne, prawo międzynarodowe, prawo naukowe, prawo o ruchu drogowym, prawo o szkolnictwie wyższym, prawo ochrony środowiska, prawo podatkowe, prawo prasowe, prawo rolne, prawo upadłościowe, prawo wyznaniowe.

Prawo jest wyrazem konieczności uporządkowania życia społecznego i poddania go pewnym regułom, by umożliwiało istnienie i możliwie należyte funkcjonowanie społeczności państwowej, bardzo zróżnicowanej, której członkowie mają odmienne potrze-by i aspiracje, w których dochodzi do rozmaitych konfliktów i zagrożeń, zarówno biologicznej jak i społecznej egzystencji grupy. Różne systemy norm prawnych wprowadzają element ładu we wzajemnych stosunkach między ludźmi. Normy prawne, podobnie jak powszechnie uznawane i akceptowane normy moralne, normy religijne czy nor-my obyczajowe nie mają jednak wyłączności na regulowanie ludzkich zachowań. Nie-mniej jednak prawo normuje dziś niemal wszystkie dziedziny życia społecznego.

Wrocław w maju 2026 – najważniejsze wiadomości, inwestycje i wydarzenia miesiąca

Festiwal w Opolu to legenda. Tak wyglądały kiedyś opolskie festiwale

Góry, które urzekają. Bieszczady to fantastyczne wędrówki, piękne widoki i cudowny czas

Bieszczadzki worek. Tych wsi nie ma już ponad 70 lat. Pozostały okruchy historii

Tak dzisiaj mieszka Zenek i Danuta Martyniuk. Jest czego zazdrościć? Potężna chałupa, król disco polo wie jak urządzić dom

Przedwojenni celebryci upodobali sobie Juratę. Stare kadry z nadmorskich kurortów

Gazeta Wrocław – informacje lokalne

Prawo

Dodaj komentarz Anuluj pisanie odpowiedzi