LexDigital

Inspektor ochrony danych - ABI w nowym wydaniu

Jedną z głośniejszych zmian, jakie wprowadzają przepisy RODO) jest zastąpienie dotychczasowych Administratorów Bezpieczeństwa Informacji (ABI) Inspektorami Ochrony Danych (IOD). Jakie konsekwencje wynikają z tego dla administratorów danych osobowych?

Inspektor ochrony danych - ABI w nowym wydaniu

Obowiązek wyznaczenia Inspektora Ochrony Danych

W pierwszej kolejności należy zauważyć, że zgodnie z RODO niektórzy administratorzy (jak również podmioty przetwarzające dane) mają obowiązek wyznaczenia Inspektora Ochrony Danych. Dotyczy to następujących przypadków:

  1. gdy przetwarzania dokonują organ lub podmiot publiczny (przesłanka ta nie dotyczy więc „zwykłych” przedsiębiorców),
  2. gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (dotyczy to więc przykładowo profilowania i oceny osób w ramach szacowania ryzyka, w celu przyznania zniżek składek ubezpieczeniowych),
  3. gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (np. danych ujawniających poglądy polityczne czy też danych dotyczących zdrowia), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (przykładowo chodzi więc o szpitale).

Jeżeli więc określony przedsiębiorca nie spełnia warunków określonych w co najmniej jednym z powyższych punktów, nie jest zobowiązany do wyznaczenia Inspektora Ochrony Danych. Mimo wszystko jednak zalecane jest udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia braku tego obowiązku.

Inspektor Ochrony Danych – wymogi na gruncie RODO

Zgodnie z RODO, osoba pełniąca funkcję Inspektora Ochrony Danych musi spełniać co najmniej minimalne wymagania zapewniające jej rzetelność i profesjonalizm. Inspektor Ochrony Danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań określonych w RODO. Może to być zarówno członek personelu administratora (lub podmiotu przetwarzającego), jak również podmiot zewnętrzny (wykonujący zadania na podstawie umowy o świadczenie usług).

Obowiązki i zadania IOD

RODO zawiera również zakres standardowych zadań Inspektora Ochrony Danych. Przede wszystkim powinien on informować administratora (albo podmiot przetwarzający) jak również pracowników przetwarzających dane, o spoczywających na nich obowiązkach wynikających z przepisów prawa i pełnić w tym zakresie funkcje doradcze. Dodatkowo jest zobowiązany do monitorowania przestrzegania przepisów oraz polityk administratora (lub podmiotu przetwarzającego) w dziedzinie ochrony danych, w tym zapewnienia podziału obowiązków, szkoleń, przeprowadzania audytów itd. IOD musi także (na żądanie) udzielać zaleceń do oceny skutków ochrony danych i monitorować wykonywanie tej oceny, jak również współpracować z organem nadzorczym oraz pełnić funkcję punktu kontaktowego dla tego organu w kwestiach związanych z przetwarzaniem danych.

Poza tym na Inspektora Ochrony Danych mogą zostać nałożone jeszcze inne obowiązki, np. prowadzenie rejestru czynności przetwarzania danych osobowych. Administrator lub podmiot przetwarzający zapewniają przy tym, by takie zadania nie powodowały konfliktu interesów. Wszystkie powierzone mu zadania IOD jest zobowiązany wypełniać z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. Inspektor Ochrony Danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego.

Status Inspektora Ochrony Danych

W celu przestrzegania ustanowionych przepisów, RODO nakłada na administratorów (jak również na podmioty przetwarzające) obowiązek zapewnienia, by Inspektor Ochrony Danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

Dotyczy to więc wszelkiego rodzaju zagadnień związanych z przetwarzaniem danych, czyli np. zawierania umów powierzenia przetwarzania danych z firmami zewnętrznymi. Z kolei słowo „niezwłocznie” należy interpretować jako „najszybciej, jak to możliwe”, a więc np. na etapie negocjacji, a nie już po zawarciu umowy. Administrator powinien wspierać Inspektora w wypełnianiu przez niego zadań, zapewniając mu niezbędne zasoby oraz dostęp do danych osobowych i operacji przetwarzania, a także środki niezbędne do utrzymania jego wiedzy fachowej, np. poprzez kierowanie go na kursy czy szkolenia.

Dodatkowo Inspektorowi nie wolno udzielać instrukcji dotyczących wykonywania powierzonych mu zadań. Za wypełnianie przez niego obowiązków nie można go odwołać ani ukarać. Dotyczy to nie tylko kar przewidzianych zwłaszcza w kodeksie pracy (np. nagany), ale również pomijania przy awansach czy przyznawaniu nagród, odmowie dostępu do benefitów itd. Inspektor Ochrony Danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Prawo do kontaktu

Należy podkreślić, że administrator lub podmiot przetwarzający mają obowiązek opublikować dane kontaktowe Inspektora Ochrony Danych i zawiadomić o nich organ nadzorczy. Dzięki temu osoby, których dane dotyczą, mogą kontaktować się z IOD-em we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem przysługujących praw.

 Kary pieniężne

Przepisami, które najbardziej pobudzają wyobraźnię administratorów oraz inspektorów są te umożliwiające nakładanie wysokich kar pieniężnych. Zgodnie z RODO, każdy indywidualny przypadek naruszenia przepisów powinien być rozpatrywany indywidualnie, a nałożone kary pieniężne mają być skuteczne, proporcjonalne i odstraszające. Przy podejmowaniu decyzji o nałożeniu kary, należy zwrócić uwagę na cały szereg czynników, między innymi zbadać  charakter, wagę i czas trwania naruszenia, liczbę osób poszkodowanych, rozmiar poniesionej przez nie szkody; czy naruszenie było umyślne; jakie działania zostały podjęte w celu zminimalizowania szkody; stopień współpracy z organem nadzorczym; wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Trzeba przy tym zwrócić uwagę na fakt, że kary pieniężne na gruncie RODO są zróżnicowane. W przypadku naruszenia przepisów dotyczących statutu czy zadań inspektora ochrony danych, kara pieniężna nakładana na administratora może wynosić maksymalnie 10 000 000 euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Jeżeli 2% tego obrotu przewyższy kwotę 10 000 000 euro, górną granicę stanowi wyższa z kwot. Jeżeli administrator lub podmiot przetwarzający naruszy umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów RODO, całkowita wysokość administracyjnej kary pieniężnej nie może przekroczyć wysokości kary za najpoważniejsze naruszenie. 

Inspektor Ochrony Danych

Jak więc widać, nowi Inspektorzy Ochrony Danych przejmą co do zasady zadania dotychczasowych administratorów bezpieczeństwa informacji, jednak ich rola, a także odpowiedzialność znacząco wzrosną. Pomimo tego, że RODO nie określa szczegółowo, jakie kwalifikacje zawodowe należy posiadać, by zostać inspektorem, od kandydata wymagane jest posiadanie stosownej wiedzy teoretycznej i praktycznej, a także rzetelność i profesjonalizm. W rezultacie znaczenie Inspektorów Ochrony Danych powinno wzrosnąć w odniesieniu do ABI, co prawdopodobnie znajdzie odzwierciedlenie w podniesieniu jakości ochrony danych w Unii Europejskiej.


Sprawdź również:


Polecane

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.