Inspektor ochrony danych
Po co warto powołać inspektora ochrony danych (obecnie ABI)?
Ogólne rozporządzenie nakłada na administratorów danych wiele nowych obowiązków – na czele z zupełnie nowym podejściem do ochrony danych osobowych wyrażonym w zasadzie rozliczalności. Wdrożenie właściwych środków organizacyjnychi technicznych i wykazanie ich zgodności z ogólnym rozporządzeniem jest sporym wyzwaniem. Żeby mu sprostać, warto rozważyć powołanie eksperta, jakim jest inspektor ochrony danych, który będzie wpierał administratora w wykonywaniuzadań związanych z przetwarzaniem danych.
W świetle unijnego ogólnego rozporządzenia o ochronie danych (RODO) inspektor ochrony danych ma kluczowe znaczenie w procesie administrowania danymi, w związku z czym dokładnie określono warunki jego wyznaczania, status oraz katalog zadań.
Inspektor będzie m.in.punktem kontaktowym zarówno dla organu nadzorczego, jak też dla wszystkich osób, których dane dotyczą. Inspektor jest więc bardzo ważnym źródłem informacji o prowadzonych operacjach na danych osobowych.
Kiedy trzeba powołać inspektora ochrony danych?
Ogólne rozporządzenie – inaczej niż jest obecnie – przewiduje sytuacje, gdy wyznaczenie inspektora ochrony danych jest obowiązkowe, np. kiedy administrator danych jest organem lub podmiotem publicznym bądź gdy główna działalność administratora polega na przetwarzaniu na dużą skalę danych wrażliwych.
Warto zatem sprawdzić, czy od 25 maja 2018 r. dany podmiot nie będzie zobowiązany do wyznaczenia inspektora ochrony danych. W tej analizie pomocne będą wskazówki GIODO i Grupy Roboczej Art. 29 zawarte w Wytycznych WP 243 (są tam informacje na temat inspektorów ochrony danych m.in. w zakresie możliwości powołania jednego inspektora ochrony danych dla kilku podmiotów).
Niezależnie od tego, GIODO zachęca do wyznaczenia inspektora ochrony danych, nawet jeżeli dany podmiot nie będzie miał takiego obowiązku.
Jak powołać inspektora ochrony danych?
Rozbudowany katalog zadań inspektora ochrony danych wymaga, aby taka osoba posiadała fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych osobowych.
Należy przy tym odpowiedzialnie wybierać osoby, którym powierzy się zadania inspektora ochrony danych, sprawdzając stopień ich przygotowania do pełnienia tej funkcji, posiadaną wiedzę, praktyczne umiejętności, jak i doświadczenie.
Trzeba również zapewnić takiemu inspektorowi właściwe gwarancje niezależności. Należy więc wprowadzać rozwiązania (najlepiej poprzez odpowiednie postanowienia wewnętrznych regulaminów organizacyjnych lub statutów), które pozwolą na osiągnięcie tego celu, pamiętając przede wszystkim o:
- odpowiednim usytuowaniu inspektora w strukturze organizacyjnej, tak aby byłbezpośrednio podległy najwyższemu kierownictwu,
- zapewnieniu mu niezbędnych zasobów do wykonywania jego zadań,
- włączaniu inspektora we wszystkie procesy, gdzie przetwarzane są dane osobowe,
- nakładaniu na inspektora takich obowiązków, które nie powodują konfliktu interesów (należy zidentyfikować stanowiska niekompatybilne z funkcją inspektora, jak np. członkowie zarządu spółki).
To, co stanie się z obecnymi administratorami bezpieczeństwa informacji (ABI), czy staną się z mocy prawa inspektorami ochrony danych oraz, jakie warunki trzeba będzie spełnić, by tak się stało - będzie uregulowana w nowej ustawie o ochronie danych.
Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.
Podstawa prawna:
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1).
Skomentuj artykuł - Twoje zdanie jest ważne
Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?