Przyjęcie wytycznych w kluczowych obszarach Rozporządzenia ogólnego o ochronie danych osobowych (RODO)
2017-01-20
Wejście w życie ogólnego rozporządzenie o ochronie danych osobowych (RODO) coraz bliżej. W związku z tym na posiedzeniu Grupy Roboczej Artykułu 29 ds. Ochrony Danych, które odbyło się w w Brukseli, przyjęto m. in. wytyczne w obszarach prawa do przenoszenia danych, inspektorów ochrony danych oraz wiodącego organu nadzorczego. Zgodnie z opublikowanymi na stronie internetowej GIODO dokumentami rola inspektora ochrony danych (aktualnie Administratora Bezpieczeństwa Informacji) nabierze jeszcze większego znaczenia.
Kiedy trzeba powołać inspektora ochrony danych?
Zgodnie z zapisami RODO wyznaczenie inspektora ochrony danych jest obowiązkowe zawsze gdy:
przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
W przypadku pozostałych organizacji mimo, że takiego nakazu nie ma, należy rozważyć czy specyfika i rozmiar podmiotu nie przemawiają za jego powołaniem. Na administratorze danych w dalszym ciągu ciąży bowiem obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu właściwego zabezpieczenia przetwarzanych danych, w tym polityk, procedur i środków nadzoru.
Wracając jednak do administratorów, dla których powołanie inspektora jest obligatoryjne, warto zwrócić uwagę na rozwinięcie w wytycznych ppkt a). Wskazuje on bowiem, że oprócz organów lub podmiotów publicznych, zadania publiczne mogą być również realizowane przez inne jednostki zajmujące się m. in. świadczeniem lub zapewnieniem wykonania usług na rzecz mieszkańców i innych podmiotów. Przykładem takiego działania jest dostarczanie mediów (prąd, woda, ogrzewanie), odbiór i utylizacja śmieci, organizacja komunikacji zbiorowej, budowa i utrzymanie dróg, oświetlenie, usługi opiekuńcze, edukacja, budowa mieszkań socjalnych itd. W przypadku tych podmiotów powołanie inspektora jest zalecane.
Dyskusyjny pozostaje ppkt b), a konkretnie zdefiniowanie pojęcia ‘przetwarzania na dużą skalę’. Wytyczne nie określają wprost jak należy je interpretować, wskazują jednak przykłady przetwarzania danych na dużą skalę:
przetwarzanie danych pacjentów przez szpitale,
przetwarzanie danych indywidualnych użytkowników systemu komunikacji miejskiej (np. poprzez śledzenie lokalizacji kart miejskich),
przetwarzanie dla celów statystycznych danych geolokalizacyjnych klientów międzynarodowej sieci restauracji przez procesora wyspecjalizowanego w dostarczaniu tego typu usług,
przetwarzanie danych klientów przez banki i towarzystwa ubezpieczeniowe,
przetwarzanie danych dla celów reklamy behawioralnej,
przetwarzanie danych gromadzonych przez urządzenia mobilne (lokalizacja, treści, ruch) i dostawców usług internetowych.
Jakie zadania ma realizować inspektor ochrony danych?
W odróżnieniu od aktualnie obowiązujących przepisów krajowych, RODO wskazuje wprost, że inspektor ochrony danych powinien być aktywnym uczestnikiem wszystkich procesów zachodzących w organizacji, w ramach których dochodzi do przetwarzania danych osobowych. Jednocześnie będzie również punktem kontaktowym dla wszystkich osób, których dane są przez administratora przetwarzane (dane kontaktowe inspektora ochrony danych powinny być ogólnodostępne). Jako osoba odpowiedzialna za bezpieczeństwo danych osobowych realizuje następujące zadania:
informowanie administratora, podmiotu przetwarzającego oraz pracowników o obowiązkach spoczywających na nich na mocy przepisów prawa o ochronie danych i doradzanie im w tej sprawie,
monitorowanie przetwarzania danych przez organizację w zgodzie z RODO i innymi regulacjami w obszarze ochrony danych osobowych,
ocena skutków planowanych operacji przetwarzania dla ochrony danych osobowych (data protection impact assessment),
pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, współpraca z organem nadzorczym.
Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
Kto może zostać inspektorem ochrony danych?
Inspektor ochrony danych może być pracownikiem administratora lub wykonywać zadania na podstawie umowy o świadczeniu usług. Powinna być to osoba o odpowiednich kwalifikacjach, doświadczeniu, znająca specyfikę organizacji i zachodzących w niej procesów. RODO nie wskazuje na konieczność posiadania specjalistycznego wykształcenia, należy jednak pamiętać, że właściwa weryfikacja i ocena posiadanych kompetencji leży w interesie administratora danych, na którym spoczywa obowiązek odpowiedniego zabezpieczenia przetwarzanych danych osobowych.
Jeśli potrzebujecie Państwo pomocy we wdrożeniu/optymalizacji rozwiązań organizacyjnych i technicznych zgodnych z nowymi przepisami zapraszamy do zapoznania się z naszą ofertą poprzez bezpośredni kontakt >>
Ta strona używa pliki cookies, dzięki którym serwis może działać poprawnie. Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki. AkceptujęCzytaj więcej
Privacy & Cookies Policy
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
