LexDigital

Inspektor ochrony danych - ABI w nowym wydaniu

Jedną z głośniejszych zmian, jakie wprowadzają przepisy RODO) jest zastąpienie dotychczasowych Administratorów Bezpieczeństwa Informacji (ABI) Inspektorami Ochrony Danych (IOD). Jakie konsekwencje wynikają z tego dla administratorów danych osobowych?

Inspektor ochrony danych - ABI w nowym wydaniu

Obowiązek wyznaczenia Inspektora Ochrony Danych

W pierwszej kolejności należy zauważyć, że zgodnie z RODO niektórzy administratorzy (jak również podmioty przetwarzające dane) mają obowiązek wyznaczenia Inspektora Ochrony Danych. Dotyczy to następujących przypadków:

  1. gdy przetwarzania dokonują organ lub podmiot publiczny (przesłanka ta nie dotyczy więc „zwykłych” przedsiębiorców),
  2. gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (dotyczy to więc przykładowo profilowania i oceny osób w ramach szacowania ryzyka, w celu przyznania zniżek składek ubezpieczeniowych),
  3. gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (np. danych ujawniających poglądy polityczne czy też danych dotyczących zdrowia), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (przykładowo chodzi więc o szpitale).

Jeżeli więc określony przedsiębiorca nie spełnia warunków określonych w co najmniej jednym z powyższych punktów, nie jest zobowiązany do wyznaczenia Inspektora Ochrony Danych. Mimo wszystko jednak zalecane jest udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia braku tego obowiązku.

Inspektor Ochrony Danych – wymogi na gruncie RODO

Zgodnie z RODO, osoba pełniąca funkcję Inspektora Ochrony Danych musi spełniać co najmniej minimalne wymagania zapewniające jej rzetelność i profesjonalizm. Inspektor Ochrony Danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań określonych w RODO. Może to być zarówno członek personelu administratora (lub podmiotu przetwarzającego), jak również podmiot zewnętrzny (wykonujący zadania na podstawie umowy o świadczenie usług).

Obowiązki i zadania IOD

RODO zawiera również zakres standardowych zadań Inspektora Ochrony Danych. Przede wszystkim powinien on informować administratora (albo podmiot przetwarzający) jak również pracowników przetwarzających dane, o spoczywających na nich obowiązkach wynikających z przepisów prawa i pełnić w tym zakresie funkcje doradcze. Dodatkowo jest zobowiązany do monitorowania przestrzegania przepisów oraz polityk administratora (lub podmiotu przetwarzającego) w dziedzinie ochrony danych, w tym zapewnienia podziału obowiązków, szkoleń, przeprowadzania audytów itd. IOD musi także (na żądanie) udzielać zaleceń do oceny skutków ochrony danych i monitorować wykonywanie tej oceny, jak również współpracować z organem nadzorczym oraz pełnić funkcję punktu kontaktowego dla tego organu w kwestiach związanych z przetwarzaniem danych.

Poza tym na Inspektora Ochrony Danych mogą zostać nałożone jeszcze inne obowiązki, np. prowadzenie rejestru czynności przetwarzania danych osobowych. Administrator lub podmiot przetwarzający zapewniają przy tym, by takie zadania nie powodowały konfliktu interesów. Wszystkie powierzone mu zadania IOD jest zobowiązany wypełniać z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. Inspektor Ochrony Danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego.

Status Inspektora Ochrony Danych

W celu przestrzegania ustanowionych przepisów, RODO nakłada na administratorów (jak również na podmioty przetwarzające) obowiązek zapewnienia, by Inspektor Ochrony Danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

Dotyczy to więc wszelkiego rodzaju zagadnień związanych z przetwarzaniem danych, czyli np. zawierania umów powierzenia przetwarzania danych z firmami zewnętrznymi. Z kolei słowo „niezwłocznie” należy interpretować jako „najszybciej, jak to możliwe”, a więc np. na etapie negocjacji, a nie już po zawarciu umowy. Administrator powinien wspierać Inspektora w wypełnianiu przez niego zadań, zapewniając mu niezbędne zasoby oraz dostęp do danych osobowych i operacji przetwarzania, a także środki niezbędne do utrzymania jego wiedzy fachowej, np. poprzez kierowanie go na kursy czy szkolenia.

Dodatkowo Inspektorowi nie wolno udzielać instrukcji dotyczących wykonywania powierzonych mu zadań. Za wypełnianie przez niego obowiązków nie można go odwołać ani ukarać. Dotyczy to nie tylko kar przewidzianych zwłaszcza w kodeksie pracy (np. nagany), ale również pomijania przy awansach czy przyznawaniu nagród, odmowie dostępu do benefitów itd. Inspektor Ochrony Danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Prawo do kontaktu

Należy podkreślić, że administrator lub podmiot przetwarzający mają obowiązek opublikować dane kontaktowe Inspektora Ochrony Danych i zawiadomić o nich organ nadzorczy. Dzięki temu osoby, których dane dotyczą, mogą kontaktować się z IOD-em we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem przysługujących praw.

 Kary pieniężne

Przepisami, które najbardziej pobudzają wyobraźnię administratorów oraz inspektorów są te umożliwiające nakładanie wysokich kar pieniężnych. Zgodnie z RODO, każdy indywidualny przypadek naruszenia przepisów powinien być rozpatrywany indywidualnie, a nałożone kary pieniężne mają być skuteczne, proporcjonalne i odstraszające. Przy podejmowaniu decyzji o nałożeniu kary, należy zwrócić uwagę na cały szereg czynników, między innymi zbadać  charakter, wagę i czas trwania naruszenia, liczbę osób poszkodowanych, rozmiar poniesionej przez nie szkody; czy naruszenie było umyślne; jakie działania zostały podjęte w celu zminimalizowania szkody; stopień współpracy z organem nadzorczym; wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Trzeba przy tym zwrócić uwagę na fakt, że kary pieniężne na gruncie RODO są zróżnicowane. W przypadku naruszenia przepisów dotyczących statutu czy zadań inspektora ochrony danych, kara pieniężna nakładana na administratora może wynosić maksymalnie 10 000 000 euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Jeżeli 2% tego obrotu przewyższy kwotę 10 000 000 euro, górną granicę stanowi wyższa z kwot. Jeżeli administrator lub podmiot przetwarzający naruszy umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów RODO, całkowita wysokość administracyjnej kary pieniężnej nie może przekroczyć wysokości kary za najpoważniejsze naruszenie. 

Inspektor Ochrony Danych

Jak więc widać, nowi Inspektorzy Ochrony Danych przejmą co do zasady zadania dotychczasowych administratorów bezpieczeństwa informacji, jednak ich rola, a także odpowiedzialność znacząco wzrosną. Pomimo tego, że RODO nie określa szczegółowo, jakie kwalifikacje zawodowe należy posiadać, by zostać inspektorem, od kandydata wymagane jest posiadanie stosownej wiedzy teoretycznej i praktycznej, a także rzetelność i profesjonalizm. W rezultacie znaczenie Inspektorów Ochrony Danych powinno wzrosnąć w odniesieniu do ABI, co prawdopodobnie znajdzie odzwierciedlenie w podniesieniu jakości ochrony danych w Unii Europejskiej.


Sprawdź również:


Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.