Inspektor Ochrony Danych i jego rola
Administrator Bezpieczeństwa Informacji był/jest podmiotem
powoływanym przez administratora danych w celu nadzorowania zgodności
przetwarzania danych osobowych z wymaganiami Ustawy. Bardzo często jednak jego
rola koncentrowała się w znaczniej mierze na wypełnianiu szeregu czynności
administracyjnych. ABI prowadził wymagane ewidencje, przeprowadzał szkolenia
nowych pracowników, rejestrował zbiory danych w GIODO. Rzeczywisty wpływ na to
jakie mechanizmy kontrolne chroniły przetwarzane informacje zależał jednak
często od charyzmy i wiedzy Administratora. Ubiegłoroczna nowelizacja UoDO była
krokiem w kierunku nadania tej roli rzeczywistych uprawnień i odpowiedzialności
w zakresie zabezpieczania danych osobowych.
Przyjęte w maju Rozporządzenie Parlamentu Europejskiego i Rady UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych ma na celu m.in. zapewnienie, że nowa rola - Inspektora Ochrony Danych będzie na bieżąco angażowana merytorycznie we wszystkie obecne i planowane czynności przetwarzania.
Przyjęte w maju Rozporządzenie Parlamentu Europejskiego i Rady UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych ma na celu m.in. zapewnienie, że nowa rola - Inspektora Ochrony Danych będzie na bieżąco angażowana merytorycznie we wszystkie obecne i planowane czynności przetwarzania.
Przede wszystkim Inspektor będzie wyznaczany zawsze, gdy
przetwarzanie danych osobowych będzie dokonywane przez podmiot publiczny (za
wyjątkiem sądów), gdy przetwarzanie polega w znacznej mierze na regularnym i systematycznym monitorowaniu
osób na dużą skalę oraz gdy główna działalność administratora polegać
będzie na przetwarzaniu na dużą skalę
szczególnych kategorii danych osobowych (dawniej - wrażliwych danych
osobowych). W innych przypadkach powołanie Inspektora Ochrony Danych nie będzie
obowiązkowe, jednak zakres wymagań, jakie nowe prawo stawia przedsiębiorcom powoduje,
że wszystkie przedsiębiorstwa, których charakter prowadzonej działalności wymaga
gromadzenia danych osobowych powinny poważnie rozważyć powołanie, zatrudnienie
lub wynajęcie takiej osoby. Warto zauważyć, że dotyczy to również
przedsiębiorstw koncentrujących się na rozmaitym profilowaniu i gromadzeniu
informacji, które wcale niekoniecznie wprost gromadzą podstawowe dane osobowe,
ale posiadają na tyle dużo informacji o poszczególnych osobach, że możliwa jest
ich identyfikacja. Dodatkowo trzeba podkreślić, że nowe obowiązki będą
niezależne do kraju, w którym przedsiębiorca ma siedzibę lub gdzie w
rzeczywistości przetwarzane są dane obywateli UE.
Dopuszczalne jest by Inspektor Ochrony Danych nie był
członkiem personelu administratora, lecz wykonywał zadania na podstawie umowy o
świadczenie usług. Zwraca się, bardzo rozsądnie moim zdaniem, uwagę, że grupa
przedsiębiorstw może wyznaczyć jednego - wspólnego Inspektora. Jak najbardziej
dopuszczalne jest również by jedna osoba pełniła tę funkcję dla kilku podmiotów.
W obu przypadkach niezbędne jest jednak zapewnienie by Inspektor był właściwie
i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.
Oznacza to wprost, że IOD powinien mieć bieżącą - operacyjną wiedzę o
wszystkich istniejących, jak i planowanych inicjatywach w ramach organizacji,
które koncentrują się prze przetwarzaniu danych osobowych. W ramach każdej z
tych inicjatyw Inspektor powinien zapewnić, po przeprowadzonej analizie, że
dane są chronione w sposób należyty. Rozporządzenie gwarantuje mu również
niezależność opinii
W świetle nowych uregulowań Inspektor Ochrony Danych powinien
być wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy
fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności
wypełnienia spoczywających na nim zadań. Wśród zadań, które zobowiązany będzie
wypełniać Inspektor znajdzie się między innymi:
- bieżące informowanie administratora i pracowników o obowiązkach spoczywających na nich na mocy rozporządzenia;
- monitorowanie przestrzegania rozporządzenia i innych przepisów o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
- udzielanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
- współpraca z organem nadzorczym, w tym pełnienie punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych;
Szczególnie podkreślane jest, że Inspektor powinien wypełniać
swoje zadania z należytym uwzględnieniem
ryzyka związanego z operacjami przetwarzania danych, mając na uwadze
charakter, zakres, kontekst i cele ich przetwarzania. Oznacza to, że będzie on
musiał merytorycznie zagłębiać się we wszystkie procesy przetwarzania danych
osobowych, będzie musiał rozumieć ich kontekst biznesowy, potencjalne skutki
naruszenia bezpieczeństwa danych a także skuteczność obecnie wdrożonych
mechanizmów kontrolnych. W przypadku wykrycia niespójności praktyk podmiotu i
przepisów prawa oraz mechanizmów kontrolnych lub przy pojawieniu się nadmiernego
ryzyka niekompensowanego odpowiednimi - skutecznymi zabezpieczeniami, Inspektor
będzie musiał przekazać zalecenia, które powinny być uwzględnione w działaniach
podmiotu przetwarzającego dane.
Brak komentarzy:
Prześlij komentarz
Dzień dobry. Komentarze na tym forum są moderowane