Przyjęcie wytycznych w kluczowych obszarach Rozporządzenia ogólnego o ochronie danych osobowych (RODO)

Wejście w życie ogólnego rozporządzenie o ochronie danych osobowych (RODO) coraz bliżej. W związku z tym na posiedzeniu Grupy Roboczej Artykułu 29 ds. Ochrony Danych, które odbyło się w w Brukseli, przyjęto m. in. wytyczne w obszarach prawa do przenoszenia danych, inspektorów ochrony danych oraz wiodącego organu nadzorczego. Zgodnie z opublikowanymi na stronie internetowej GIODO dokumentami rola inspektora ochrony danych (aktualnie Administratora Bezpieczeństwa Informacji) nabierze jeszcze większego znaczenia.

Kiedy trzeba powołać inspektora ochrony danych?

Zgodnie z zapisami RODO wyznaczenie inspektora ochrony danych jest obowiązkowe zawsze gdy:

  1. Przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. Główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
  3. Główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

W przypadku pozostałych organizacji mimo, że takiego nakazu nie ma, należy rozważyć czy specyfika i rozmiar podmiotu nie przemawiają za jego powołaniem. Na administratorze danych w dalszym ciągu ciąży bowiem obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu właściwego zabezpieczenia przetwarzanych danych, w tym polityk, procedur i środków nadzoru.

Wracając jednak do administratorów, dla których powołanie inspektora jest obligatoryjne, warto zwrócić uwagę na rozwinięcie w wytycznych ppkt a). Wskazuje on bowiem, że oprócz organów lub podmiotów publicznych, zadania publiczne mogą być również realizowane przez inne jednostki zajmujące się m. in.  świadczeniem lub zapewnieniem wykonania usług na rzecz mieszkańców i innych podmiotów. Przykładem takiego działania jest dostarczanie mediów (prąd, woda, ogrzewanie), odbiór i utylizacja śmieci, organizacja komunikacji zbiorowej, budowa i utrzymanie dróg, oświetlenie, usługi opiekuńcze, edukacja, budowa mieszkań socjalnych itd. W przypadku tych podmiotów powołanie inspektora jest zalecane.

Dyskusyjny pozostaje ppkt b), a konkretnie zdefiniowanie pojęcia ‘przetwarzania na dużą skalę’. Wytyczne nie określają wprost jak należy je interpretować, wskazują jednak przykłady przetwarzania danych na dużą skalę:

  • przetwarzanie danych pacjentów przez szpitale,
  • przetwarzanie danych indywidualnych użytkowników systemu komunikacji miejskiej (np. poprzez śledzenie lokalizacji kart miejskich),
  • przetwarzanie dla celów statystycznych danych geolokalizacyjnych klientów międzynarodowej sieci restauracji przez procesora wyspecjalizowanego w dostarczaniu tego typu usług,
  • przetwarzanie danych klientów przez banki i towarzystwa ubezpieczeniowe,
  • przetwarzanie danych dla celów reklamy behawioralnej,
  • przetwarzanie danych gromadzonych przez urządzenia mobilne (lokalizacja, treści, ruch) i dostawców usług internetowych.

Jakie zadania ma realizować inspektor ochrony danych?

W odróżnieniu od aktualnie obowiązujących przepisów krajowych, RODO wskazuje wprost, że inspektor ochrony danych powinien być aktywnym uczestnikiem wszystkich procesów zachodzących w organizacji, w ramach których dochodzi do przetwarzania danych osobowych. Jednocześnie będzie również punktem kontaktowym dla wszystkich osób, których dane są przez administratora przetwarzane (dane kontaktowe inspektora ochrony danych powinny być ogólnodostępne). Jako osoba odpowiedzialna za bezpieczeństwo danych osobowych realizuje następujące zadania:

Informowanie administratora, podmiotu przetwarzającego oraz pracowników o obowiązkach spoczywających na nich na mocy przepisów prawa o ochronie danych i doradzanie im w tej sprawie,

Monitorowanie przetwarzania danych przez organizację w zgodzie z RODO i innymi regulacjami w obszarze ochrony danych osobowych,

Ocena skutków planowanych operacji przetwarzania dla ochrony danych osobowych (data protection impact assessment),

Pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, współpraca z organem nadzorczym.

Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

Kto może zostać inspektorem ochrony danych?

Inspektor ochrony danych może być pracownikiem administratora lub wykonywać zadania na podstawie umowy o świadczeniu usług. Powinna być to osoba o odpowiednich kwalifikacjach, doświadczeniu, znająca specyfikę organizacji i zachodzących w niej procesów. RODO nie wskazuje na konieczność posiadania specjalistycznego wykształcenia, należy jednak pamiętać, że właściwa weryfikacja i ocena posiadanych kompetencji leży w interesie administratora danych, na którym spoczywa obowiązek odpowiedniego zabezpieczenia przetwarzanych danych osobowych.

Zainteresowaliśmy Cię? Napisz do nas i porozmawiajmy o Twoim projekcie

O Autorze

PBSG
Od 2006 roku pomagamy polskim przedsiębiorcom i organizacjom administracji publicznej w zarządzaniu bezpieczeństwem danych i systemów teleinformatycznych. Przez kilkanaście lat działalności zdobyliśmy niezbędne doświadczenie, dzięki któremu wypracowaliśmy pozycję lidera w obszarze systemowego zarządzania organizacją. Dzisiaj zatrudniamy ponad 180 ekspertów biznesowych i technicznych w ramach grupy kapitałowej. Ponadto współpracujemy z kilkudziesięcioma specjalistami z różnych dziedzin w zakresie zarządzania i wymagań branżowych, aby jak najbardziej dopasować ofertę do realiów i potrzeb polskich firm.