LexDigital

Inspektor ochrony danych – ABI w nowym wydaniu

Jedną z głośniejszych zmian, jakie wprowadzają przepisy RODO) jest zastąpienie dotychczasowych Administratorów Bezpieczeństwa Informacji (ABI) Inspektorami Ochrony Danych (IOD). Jakie konsekwencje wynikają z tego dla administratorów danych osobowych?

Inspektor ochrony danych – ABI w nowym wydaniu

Obowiązek wyznaczenia Inspektora Ochrony Danych

W pierwszej kolejności należy zauważyć, że zgodnie z RODO niektórzy administratorzy (jak również podmioty przetwarzające dane) mają obowiązek wyznaczenia Inspektora Ochrony Danych. Dotyczy to następujących przypadków:

  1. gdy przetwarzania dokonują organ lub podmiot publiczny (przesłanka ta nie dotyczy więc „zwykłych” przedsiębiorców),
  2. gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (dotyczy to więc przykładowo profilowania i oceny osób w ramach szacowania ryzyka, w celu przyznania zniżek składek ubezpieczeniowych),
  3. gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (np. danych ujawniających poglądy polityczne czy też danych dotyczących zdrowia), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (przykładowo chodzi więc o szpitale).

Jeżeli więc określony przedsiębiorca nie spełnia warunków określonych w co najmniej jednym z powyższych punktów, nie jest zobowiązany do wyznaczenia Inspektora Ochrony Danych. Mimo wszystko jednak zalecane jest udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia braku tego obowiązku.

inspektor danych osobowych, RODO, administrator bezpieczeństwa informacji

Inspektor Ochrony Danych – wymogi na gruncie RODO

Zgodnie z RODO, osoba pełniąca funkcję Inspektora Ochrony Danych musi spełniać co najmniej minimalne wymagania zapewniające jej rzetelność i profesjonalizm. Inspektor Ochrony Danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań określonych w RODO. Może to być zarówno członek personelu administratora (lub podmiotu przetwarzającego), jak również podmiot zewnętrzny (wykonujący zadania na podstawie umowy o świadczenie usług).

Obowiązki i zadania IOD

RODO zawiera również zakres standardowych zadań Inspektora Ochrony Danych. Przede wszystkim powinien on informować administratora (albo podmiot przetwarzający) jak również pracowników przetwarzających dane, o spoczywających na nich obowiązkach wynikających z przepisów prawa i pełnić w tym zakresie funkcje doradcze. Dodatkowo jest zobowiązany do monitorowania przestrzegania przepisów oraz polityk administratora (lub podmiotu przetwarzającego) w dziedzinie ochrony danych, w tym zapewnienia podziału obowiązków, szkoleń, przeprowadzania audytów itd. IOD musi także (na żądanie) udzielać zaleceń do oceny skutków ochrony danych i monitorować wykonywanie tej oceny, jak również współpracować z organem nadzorczym oraz pełnić funkcję punktu kontaktowego dla tego organu w kwestiach związanych z przetwarzaniem danych.

Poza tym na Inspektora Ochrony Danych mogą zostać nałożone jeszcze inne obowiązki, np. prowadzenie rejestru czynności przetwarzania danych osobowych. Administrator lub podmiot przetwarzający zapewniają przy tym, by takie zadania nie powodowały konfliktu interesów. Wszystkie powierzone mu zadania IOD jest zobowiązany wypełniać z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. Inspektor Ochrony Danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego.

Status Inspektora Ochrony Danych

W celu przestrzegania ustanowionych przepisów, RODO nakłada na administratorów (jak również na podmioty przetwarzające) obowiązek zapewnienia, by Inspektor Ochrony Danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

Dotyczy to więc wszelkiego rodzaju zagadnień związanych z przetwarzaniem danych, czyli np. zawierania umów powierzenia przetwarzania danych z firmami zewnętrznymi. Z kolei słowo „niezwłocznie” należy interpretować jako „najszybciej, jak to możliwe”, a więc np. na etapie negocjacji, a nie już po zawarciu umowy. Administrator powinien wspierać Inspektora w wypełnianiu przez niego zadań, zapewniając mu niezbędne zasoby oraz dostęp do danych osobowych i operacji przetwarzania, a także środki niezbędne do utrzymania jego wiedzy fachowej, np. poprzez kierowanie go na kursy czy szkolenia.

Dodatkowo Inspektorowi nie wolno udzielać instrukcji dotyczących wykonywania powierzonych mu zadań. Za wypełnianie przez niego obowiązków nie można go odwołać ani ukarać. Dotyczy to nie tylko kar przewidzianych zwłaszcza w kodeksie pracy (np. nagany), ale również pomijania przy awansach czy przyznawaniu nagród, odmowie dostępu do benefitów itd. Inspektor Ochrony Danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Prawo do kontaktu

Należy podkreślić, że administrator lub podmiot przetwarzający mają obowiązek opublikować dane kontaktowe Inspektora Ochrony Danych i zawiadomić o nich organ nadzorczy. Dzięki temu osoby, których dane dotyczą, mogą kontaktować się z IOD-em we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem przysługujących praw.

 Kary pieniężne

Przepisami, które najbardziej pobudzają wyobraźnię administratorów oraz inspektorów są te umożliwiające nakładanie wysokich kar pieniężnych. Zgodnie z RODO, każdy indywidualny przypadek naruszenia przepisów powinien być rozpatrywany indywidualnie, a nałożone kary pieniężne mają być skuteczne, proporcjonalne i odstraszające. Przy podejmowaniu decyzji o nałożeniu kary, należy zwrócić uwagę na cały szereg czynników, między innymi zbadać  charakter, wagę i czas trwania naruszenia, liczbę osób poszkodowanych, rozmiar poniesionej przez nie szkody; czy naruszenie było umyślne; jakie działania zostały podjęte w celu zminimalizowania szkody; stopień współpracy z organem nadzorczym; wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Trzeba przy tym zwrócić uwagę na fakt, że kary pieniężne na gruncie RODO są zróżnicowane. W przypadku naruszenia przepisów dotyczących statutu czy zadań inspektora ochrony danych, kara pieniężna nakładana na administratora może wynosić maksymalnie 10 000 000 euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Jeżeli 2% tego obrotu przewyższy kwotę 10 000 000 euro, górną granicę stanowi wyższa z kwot. Jeżeli administrator lub podmiot przetwarzający naruszy umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów RODO, całkowita wysokość administracyjnej kary pieniężnej nie może przekroczyć wysokości kary za najpoważniejsze naruszenie. 

Inspektor Ochrony Danych

Jak więc widać, nowi Inspektorzy Ochrony Danych przejmą co do zasady zadania dotychczasowych administratorów bezpieczeństwa informacji, jednak ich rola, a także odpowiedzialność znacząco wzrosną. Pomimo tego, że RODO nie określa szczegółowo, jakie kwalifikacje zawodowe należy posiadać, by zostać inspektorem, od kandydata wymagane jest posiadanie stosownej wiedzy teoretycznej i praktycznej, a także rzetelność i profesjonalizm. W rezultacie znaczenie Inspektorów Ochrony Danych powinno wzrosnąć w odniesieniu do ABI, co prawdopodobnie znajdzie odzwierciedlenie w podniesieniu jakości ochrony danych w Unii Europejskiej.


Sprawdź również:


Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk