LexDigital

Inspektor ochrony danych przejmuje rolę ABI

Unijne rozporządzenie o ochronie danych osobowych wprowadzi wiele zmian w podejściu do całego systemu ochrony danych. Jedną z większych będzie zastąpienie obecnego administratora bezpieczeństwa informacji (ABI) inspektorem ochrony danych (IOD). Zmieni się nie tylko nazwa, ale również prawa i obowiązki strażnika danych.

Inspektor ochrony danych przejmuje rolę ABI

Inspektor ochrony danych zamiast ABI

W obowiązującym stanie prawnym (ustawa o ochronie danych osobowych) istnieje konieczność zgłaszania do GIODO informacji o powołaniu lub odwołaniu administratora bezpieczeństwa informacji (w terminie 30 dni od powołania/ odwołania). RODO nie stawia przed administratorem danych takich obowiązków. 

Przepisy rozporządzenia nie wspominają również o możliwości automatycznego przejścia z funkcji ABI na inspektora ochrony danych. Najprawdopodobniej nowa ustawa o ochronie danych osobowych będzie określała, jak ma wyglądać ta nietypowa metamorfoza. 

Zarówno dla administratorów danych osobowych jak i dla GIODO sporym ułatwieniem byłoby wykluczenie konieczności ponownego zgłaszania tych samych osób. Najlepszym rozwiązaniem, jakie polski ustawodawca mógłby przyjąć, to zobligowanie administratorów danych do złożenia stosownego oświadczenia w przypadku chęci rezygnacji z powołania na inspektora ochrony danych osoby wcześniej pełniącej funkcję ABI.

Inspektor ochrony danych według RODO

Rozporządzenie o ochronie danych osobowych będzie miało zastosowanie już od 25 maja. Czasu coraz mniej, a Polska, podobnie jak inne kraje członkowskie, będzie musiała wdrożyć wszystkie przepisy RODO. Zapotrzebowanie na specjalistów potrafiących sprostać nowym wymaganiom jest ogromne. 

Dodatkowe trudności wprowadza samo RODO, które dokładnie precyzuje, jakie cechy musi posiadać osoba pełniąca funkcję IOD. Wiedza merytoryczna i znajomość przepisów prawa nie będzie wystarczająca. „Nowy ABI” będzie musiał posiadać także doświadczenie z zakresu ochrony danych osobowych, czyli praktyczną umiejętność realizacji zadań (np. prowadzenia kontroli i szkoleń, umiejętności oceny zabezpieczeń oraz redagowania procedur) i znać branżę, z którą pracuje. Niezbędna będzie także znajomość technologii oraz stosowanych przez organizację rozwiązań informatycznych.

RODO wyznacza podmioty, które muszą mieć IOD

Rozporządzenie o ochronie danych osobowych podaje konkretne sytuacje, w których inspektor ochrony danych musi zostać powołany (art. 37 RODO):

  1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
  2. główna działalność administratora lub podmiotu przetwarzającego (procesora) polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  3. główna działalność administratora lub podmiotu przetwarzającego (procesora) polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Należy dodać, że ustawodawca może wskazać sytuacje, kiedy będzie istniała konieczność powołania inspektora ochrony danych osobowych. Nowa ustawa o ochronie danych osobowych jest w trakcie przygotowania, dlatego wytyczne krajowe nie są jeszcze znane.

Jeden inspektor ochrony danych dla kilku podmiotów

RODO daje możliwość wyznaczenia jednego IOD dla kilku podmiotów, np. dla grupy przedsiębiorców oraz organów lub podmiotów publicznych. Inspektor ochrony danych może pełnić swoje obowiązki dla kilku przedsiębiorców, jeśli w każdej jednostce organizacyjnej będzie możliwość szybkiego z nim kontaktu. GIODO lub inny wyznaczony przez polskiego ustawodawcę organ nadzorczy będzie sprawdzał, czy „nowy ABI” jest dyspozycyjny dla wszystkich podmiotów.

Stanowisko inspektora może objąć pracownik administratora lub podmiotu przetwarzającego dane, ale również można wyznaczyć osobę z zewnątrz organizacji, która będzie pełniła funkcję IOD na podstawie umowy o świadczenie usług.

Nie wyznaczenie inspektora tam, gdzie jest taka konieczność, stanowi naruszenie przepisów, co po 25 maja 2018 roku będzie podlegać administracyjnym karom pieniężnym w wysokości do 10 mln euro, a w przypadku przedsiębiorstw nawet do 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (jeżeli te 2% wynosi mniej niż 10 mln euro, to w dalszym ciągu można nałożyć na przedsiębiorstwo karę do 10 mln euro).

RODO wzmacnia pozycję IOD

Inspektor ochrony danych będzie pełnił funkcje obecnego ABI, ale rozporządzenie o ochronie danych osobowych jasno wskazuje, jakie warunki musi spełniać osoba powołana na to stanowisko (art. 38 RODO):

  1. inspektor musi podlegać bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego,
  2. administrator oraz podmiot przetwarzający zapewniają, by inspektor był właściwie i niezwłocznie włączony we wszystkie sprawy dotyczące ochrony danych osobowych,
  3. administrator oraz podmiot przetwarzający zapewniają, by IOD nie otrzymywał instrukcji dotyczących wykonywania swoich zadań,
  4. inspektor nie może być karany ani odwołany przez administratora lub przetwarzającego dane za wypełnianie swoich zadań,
  5. inspektor jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywanych swoich zadań,
  6. inspektor może wykonywać inne zadania i obowiązki, pod warunkiem, że nie powodują one konfliktu interesów.

Inspektor ochrony danych i jego zadania

Rozporządzenie o ochronie danych osobowych mówi, jakie konkretne zadania musi wykonywać IOD (art. 39 RODO):

  1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia oraz innych przepisów obowiązujących w Unii lub w państwach członkowskich o ochronie danych, a także doradzanie im w tej sprawie.
  2. dawanie wskazówek administratorowi w przedmiocie wdrożenia odpowiednich i skutecznych środków technicznych a także organizacyjnych mających zabezpieczyć dane osobowe. Ponadto wykazanie przestrzeganie prawa przez administratora lub podmiotu przetwarzającego dane zwłaszcza w kwestiach związanych z identyfikowaniem ryzyka dotyczącego ochrony danych, jego ocenę oraz wyznaczenie praktyk pozwalających zminimalizować to ryzyko.
  3. monitorowanie przestrzegania rozporządzenia oraz innych przepisów obowiązujących w Unii lub państwach członkowskich o ochronie danych, polityk administratora, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty.
  4. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania.
  5. współpraca z organem nadzorczym oraz pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem oraz w stosownych przypadkach prowadzenie konsultacji we wszystkich innych sprawach.
  6. inspektor ochrony danych ma stać się nie tylko punktem kontaktowym dla GIODO, ale również dla osób, których dane dotyczą, we wszystkich kwestiach związanych z przetwarzaniem ich danych osobowych oraz sprawach dotyczących przysługujących im uprawnieniom.

Dobry inspektor ochrony danych gwarantuje zabezpieczenie danych

Inspektor ochrony danych będzie miał dużo więcej obowiązków niż dotychczasowy ABI, ale również więcej praw. Należy jednak pamiętać, że to administrator danych osobowych będzie ponosił największą odpowiedzialność za przestrzeganie przepisów RODO. Dlatego tak ważne jest wybranie odpowiedniego inspektora i stworzenie mu jak najlepszych warunków do wykonywania powierzonych zadań.


Sprawdź również:

Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.