Praktycznie we wszystkich jednostkach organizacyjnych dla właściwego ich funkcjonowania muszą być i są przetwarzane dane osobowe. Co oczywiste dane te są przetwarzane w różnym zakresie, różnym dla różnych jednostek organizacyjnych. Trudno wyobrazić sobie dwie jednostki organizacyjne, które będą przetwarzały dokładnie te same dane osobowe. Oczywistym jest, że różne dane będą przetwarzane w różnych uwarunkowaniach organizacyjnych, technicznych, fizycznych czy informatycznych. Te kwestie będą zależały od świadomości najwyższego kierownictwa danej jednostki organizacyjnej, ale również od zasobności portfela i możliwości przeznaczenia określonych środków finansowych na zabezpieczenie danych osobowych. Chcąc właściwie zrozumieć sytuację ochrony danych osobowych w nowych uwarunkowaniach prawnych należy zrozumieć i zaakceptować nowe mechanizmy i najważniejsze zmiany jakie wprowadziło rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, dalej zwane RODO, w stosunku do rozwiązań obowiązujących na gruncie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwanej uodo. Podstawową różnicą między rodo a poprzedzającą je dyrektywą 95/46/WE jest brak potrzeby implementacji nowych przepisów do krajowego porządku prawnego. Nowe przepisy będą obowiązywały wprost. Nie oznacza to oczywiście, że nie będzie czy nie może być krajowych przepisów w zakresie ochrony danych osobowych.
Ustawodawca w rodo zawiera szereg przepisów określających pozycję i zadania inspektora ochrony danych, który ma zastąpić urzędnika do spraw ochrony danych, w polskich przepisach nazywanego administratorem bezpieczeństwa informacji (ABI). Wyznaczenie inspektora będzie obowiązkowe we wskazanych przypadkach. Dotyczy to całego sektora publicznego oraz podmiotów prywatnych, które przetwarzają na dużą skalę dane wrażliwe, bądź ich główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą. Użyte we wskazanym przepisie sformułowania są nieostre i mogą być różnie interpretowane. Przepisy przewidują możliwość powołanie jednego inspektora dla wielu administratorów, Ustawodawca w rodo nakłada na administratora, a także na podmiot przetwarzający dane na zlecenie administratora, obowiązek publikacji danych kontaktowych inspektora ochrony danych i zawiadomienia o nich organu nadzorczego. Inspektor w odróżnieniu od ABI będzie reprezentował administratora w kontaktach zewnętrznych, a nie tylko wewnętrznych jednostki organizacyjnej, będzie podejmował działania mające na celu realizację uprawnień podmiotów danych.
Artur Bogusz