Już nie ABI, a inspektor ochrony danych osobowych

Kategoria: Ochrona danych osobowych
Data: 24-06-2016 r.

W ogólnym rozporządzeniu o ochronie danych osobowych próżno szukać określenia „administrator bezpieczeństwa informacji”. Zamiast tego w systemie ochrony danych osobowych pojawi się tzw. inspektor ochrony danych. Przejmie on prawa i obowiązki ABI.

Jak wynika z preambuły rozporządzenia, w sektorze prywatnym przetwarzanie danych osobowych należy do administratora danych osobowych. Wykonuje swoje obowiązki z pomocą inspektora ochrony danych. Bez względu na to, czy jest on pracownikiem administratora, czy też nie – powinien być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny od tego administratora.

Administrator danych osobowych ma obowiązek wyznaczyć inspektora ochrony danych, gdy:

  • przetwarzanie prowadzi organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,

  • główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,

  • główna działalność administratora polega na przetwarzaniu na dużą skalę danych osobowych wrażliwych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Będzie można powołać jednego wspólnego inspektora ochrony danych dla:

  • grupy przedsiębiorstw – jeśli tylko można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej,

  • kilku organów lub podmiotów publicznych – z uwzględnieniem ich struktury organizacyjnej i wielkości,

  • zrzeszeń lub innych podmiotów reprezentujących określone kategorie administratorów.

Wyznaczenie inspektora powinno się odbyć na podstawie kwalifikacji zawodowych. Chodzi tu w szczególności o wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętność wypełnienia zadań inspektora. Inspektor może zarówno być pracownikiem administratora, jak i wykonywać zadania na podstawie umowy o świadczenie usług (np. umowy zlecenia).

O ile dotychczas administrator bezpieczeństwa informacji mógł, ale nie musiał być wyznaczony (a wówczas musiał być zgłoszony do GIODO), o tyle w przypadku nowego inspektora ochrony danych jego istnienie jest obowiązkowe w zasadzie zawsze, gdy wskazuje na to:

  • kategoria przetwarzanych danych,

  • cel przetwarzania danych na dużą skalę albo

  • gdy mówimy o jednostce publicznej.

Na przykład: inspektora ochrony danych będzie musiała mieć każda taka gminna instytucja jak przedszkole czy zakład wodociągowy. W pozostałych przypadkach wyznaczenie inspektora ochrony danych jest fakultatywne. Oczywiście zgłoszenie inspektora danych do organu nadzorczego jest obowiązkowe, więc tutaj zmiany de facto nie ma.

5 zadań inspektora ochrony danych osobowych:

1) informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia oraz innych przepisów o ochronie danych obowiązujących w Unii lub w państwach członkowskich i doradzanie im w tej sprawie,

2) monitorowanie przestrzegania przepisów o ochronie danych oraz polityk administratora, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,

3) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,

4) współpraca z organem nadzorczym (chodzi o Generalnego Inspektora Ochrony Danych Osobowych),

5) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych.

Zadania te powinny być wypełniane z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. Zadania inspektora muszą być także określone w wiążących regułach korporacyjnych, jeżeli w danej organizacji zostaną przyjęte.

A co jeśli nie wyznaczę inspektora

Naruszenie przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego podlega administracyjnej karze pieniężnej w wysokości do 10 mln euro, a w przypadku przedsiębiorstw nawet do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (jeżeli te 2% wynosi mniej niż 10 mln euro, to w dalszym ciągu można nałożyć na przedsiębiorstwo karę do 10 mln euro).

Bez wątpienia jednym z takich penalizowanych obowiązków administratora i podmiotu przetwarzającego jest ustanowienie inspektora ochrony danych.

Marcin Sarna, radca prawny
Zobacz także:

Tagi: firma, ochrona danych osobowych

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Prawo do informacji o przetwarzanych danych osobowych

Prawo do informacji o przetwarzanych danych osobowych »
Odpowiedzialność administratora danych osobowych

Odpowiedzialność administratora danych osobowych »
Prawo do kopii danych osobowych

Prawo do kopii danych osobowych »
Array ( [docId] => 39153 )
Array ( [docId] => 39153 )