Co w Prawie Piszczy | Inspektor ochrony danych – prawo czy nowy obowiązek?
7461
post-template-default,single,single-post,postid-7461,single-format-standard,ajax_fade,page_not_loaded,,wpb-js-composer js-comp-ver-5.4.4,vc_responsive

Inspektor ochrony danych – prawo czy nowy obowiązek?

Po wejściu w życie RODO (25 maja 2018) dotychczasowa funkcja Administratora Bezpieczeństwa Informacji (ABI) zastąpiona zostanie przez funkcję Inspektora Ochrony Danych. Inspektorzy mają odegrać kluczową rolę w zapewnieniu, że operacje przetwarzania danych będą zgodne z nowymi regulacjami, aktywnie uczestnicząc w tworzeniu nowego skutecznego systemu ochrony danych osobowych. Ich powołanie, w przeciwieństwie do dotychczasowych ABI, będzie w wielu przypadkach obowiązkowe.

Kim w zasadzie będą inspektorzy?

Inspektorzy to niezależni eksperci funkcjonujący w ramach organizacji, specjalizujący się w ochronie danych osobowych i podlegający bezpośrednio najwyższemu kierownictwu. W praktyce, oznacza to, że Inspektorzy podlegać będą bezpośrednio takim osobom jak członkowie zarządu, czy dyrektor placówki oświatowej.

RODO gwarantuje Inspektorom niezależność w wykonywaniu ich obowiązków, bez względu na podstawę ich zatrudnienia. Administratorzy i podmioty przetwarzające mają obowiązek zapewnić, że Inspektorzy nie będą otrzymywać instrukcji dotyczących wykonywania ich zadań. Jednocześnie, wykonywanie innych, niezwiązanych z ochroną danych obowiązków będzie możliwe jedynie pod warunkiem, że nie spowoduje to konfliktu interesów.

Podstawowe zadania

Inspektor powinien uczestniczyć i doradzać we wszystkich sprawach dotyczących ochrony danych osobowych. Do podstawowych zadań Inspektora należeć będzie m.in.:

  • informowanie personelu o obowiązkach wynikających z przepisów o ochronie danych,
  • monitorowanie przestrzegania przepisów i wewnętrznych regulacji administratora / podmiotu przetwarzającego dotyczących danych osobowych oraz wykonania oceny skutków przetwarzania dla ochrony danych (DPIA),
  • zwiększanie świadomości personelu w zakresie ochrony danych, w tym prowadzenie szkoleń, udzielanie zaleceń, podział obowiązków i prowadzenie audytów,
  • współpraca z organem nadzorczym (w Polsce – Prezes Urzędu Ochrony Danych Osobowych),
  • pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą oraz dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych.

 

Kiedy istnieje obowiązek wyznaczenia

Powołanie Inspektora Ochrony Danych jest więc rozwiązaniem korzystnym z perspektywy realizacji ciążącego na administratorze i podmiocie przetwarzającym obowiązku zapewnienia zgodności z przepisami RODO – pozwala uprościć wykonywanie obowiązków ciążących na ww. podmiotach. W niektórych sytuacjach jego powołanie będzie jednak nie tylko prawem, ale też obowiązkiem. Dotyczy to przypadków, w których główna działalność administratora lub podmiotu przetwarzającego polega na:

  • operacjach wymagających regularnego i systematycznego monitorowania na dużą skalę osób fizycznych (w praktyce chodzi np. o świadczenie usług telekomunikacyjnych, marketing na dużą skalę oparty na przetwarzaniu danych osobowych, programy lojalnościowe, reklamę behawioralną, profilowanie dla oceny ryzyka itp.),
  • przetwarzaniu na dużą skalę danych dotyczących wyroków skazujących, naruszeń prawa lub szczególnych kategorii danych osobowych (np. danych o pochodzeniu rasowym, poglądach politycznych, przekonaniach religijnych, czy stanie zdrowia).

 

Powołanie Inspektora Ochrony Danych będzie obowiązkowe również, gdy administrator lub podmiot przetwarzający jest organem bądź podmiotem publicznym (np. domem pomocy społecznej, publicznym zakładem opieki zdrowotnej, placówką oświatową, czy instytucją kultury). Planowane jest, aby szczegółowy wykaz podmiotów objętych tą kategorią znalazł się w przepisach krajowych. Projektowane ustawy prawdopodobnie nie wejdą jednak w życie przed 25 maja 2018 r., dlatego kwestia ta jest wyzwaniem również dla podmiotów publicznych.

Inspektor nie zwalnia z odpowiedzialności

Warto pamiętać, że powołanie Inspektora, zarówno obligatoryjne jak i dobrowolne, nie zwalnia administratora ani podmiotu przetwarzającego z odpowiedzialności za ewentualny brak zgodności z przepisami RODO. Rolą Inspektorów jest szeroko rozumiane wsparcie we wdrożeniu skutecznego systemu ochrony danych w ramach organizacji, jednak w dalszym ciągu to na administratorach i podmiotach przetwarzających ciążyć będzie obowiązek zapewnienia i wykazania, że przetwarzanie danych jest zgodne z przepisami prawa.

Autor: Marta Maliszewska

KONSULTANT/ PRAWNIK

T: (+48) 22 123 52 39
E: marta.maliszewska@olesinski.com

Zaproponuj znajomym
Brak komentarzy.

skomentuj