2017-01-10

ABI w drodze do inspektora

Czas trwania: 1:09
MP4 360p 42 MB pobierz
WEBM 360p 36 MB pobierz
MP4 720p 99 MB pobierz
WEBM 720p 130 MB pobierz
MP4 1080p 147 MB pobierz
WEBM 1080p 79 MB pobierz
MP3 1.5 MB pobierz

Wstaw film

<iframe width="560" height="315" src="https://www.youtube.com/embed/fUS9vAXz9PY?rel=0" frameborder="0" allowfullscreen></iframe>

Pobierz artykuł

.doc - co oznacza proaktywne podejście do ochrony danych dla przedsiębiorców

 

Inspektor ochrony danych na gruncie rozporządzenie będzie pełnił jeszcze ważniejszą rolę w systemie ochrony danych. Przepisy ogólnego rozporządzenia o ochronie danych ani preambuła przedmiotowego rozporządzenia nie przewidują procedury „przejścia” z funkcji ABI w Inspektora ochrony danych (IOD).

Zasadnym byłoby, gdyby polski ustawodawca zobowiązał administratorów danych, w których obecnych jest powołany ABI, aby złożyli ewentualnie oświadczenie w zakreślonym terminie, iż w podmiocie od 25 maja 2018 roku nie będzie IOD, a brak oświadczenia będzie implikował automatyczną zmianę statusu ABI w IOD. Powyższe uchroni Biuro GIODO przed prawdopodobnym paraliżem, który spowodowany byłby napływem tysięcy wniosków dot. powołania IOD po 25 maja 2018 roku.

Inspektor ochrony danych nie tylko będzie musiał cechować się odpowiednią wiedzą ale również wiedzą praktyczną. Jak dotychczas praktyka pokazuje wiedza teoretyczna jest niewystarczająca. Będzie to mogła być osoba z personelu administratora ale również może wykonywać zadania na podstawie umowy o świadczenie usług (outsourcing). W szczególności małe i średnie podmioty powinny rozważyć outsourcing takiej funkcji. Już dawno temu Henry Ford stwierdził: „Jeśli jest coś, czego nie potrafimy zrobić wydajniej, taniej i lepiej niż konkurenci, nie ma sensu, żebyśmy to robili i powinniśmy zatrudnić do wykonania tej pracy kogoś, kto zrobi to lepiej niż my”. Z roku na rok coraz więcej firm przekazuje część procesów biznesowych zewnętrznym partnerom. Korzystanie z wyspecjalizowanego podmiotu świadczącego tego typu usługi to pewność profesjonalnego wsparcia z zakresu ochrony danych osobowych i wdrożenia odpowiedniego systemu ochrony danych.

Inspektor ochrony danych, tak jak dotychczas ABI, podlegać będzie bezpośrednio najwyższemu kierownictwu administratora oraz za prawidłowe wypełnianie swoich zadań inspektor nie będzie mógł być przez administratora karany ani odwołany. Co ważne, administrator zobowiązany będzie do terminowego i właściwego angażowania inspektora we wszystkie sprawy dotyczące ochrony danych osobowych.

    Inspektor zobowiązany będzie m.in. do:
  • informowanie administratora oraz pracowników o obowiązkach spoczywających na nich na mocy Rozporządzenia oraz innych przepisów;
  • monitorowanie przestrzegania Rozporządzenia oraz innych przepisów Unii i państw członkowskich oraz polityk administratora lub procesora;
  • szkolenie personelu uczestniczącego w operacjach przetwarzania;
  • przeprowadzania systematycznych audytów w organizacji, w której został powołany;
  • udzielania wskazówek administratorowi w przedmiocie wdrożenia odpowiednich i skutecznych środków technicznych jak również organizacyjnych mających zabezpieczyć dane osobowe oraz jak wykazać przestrzeganie prawa przez administratora lub podmiotu przetwarzającego dane w szczególności jeżeli chodzi o identyfikowanie ryzyka związanego z przetwarzaniem, o jego ocenę pod katem źródła, charakteru, prawdopodobieństwa i wagi zagrożenia oraz o najlepsze praktyki pozwalające zminimalizować to ryzyko;
  • udzielania na żądanie zaleceń co do oceny skutków oraz monitorowanie ich wykonania w przypadku, gdy administrator danych przed rozpoczęciem przetwarzania zobowiązany jest do przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych.

Nowością przewidzianą w rozporządzeniu jest możliwość wyznaczenia jednego inspektora danych przez grupę grupa przedsiębiorców oraz przez organy lub podmioty publiczne. Jednakże należy ostrożnie podchodzić do wyznaczenia jednego inspektora ochrony danych w szczególności dla kilku podmiotów publicznych, gdyż może to powodować fikcyjny nadzór nad systemem ochrony danych w tych podmiotach.

Inspektor będzie również punktem kontaktowym dla osoby, których dane przetwarza administrator jak i dla organu nadzorczego czyli GIODO i będzie zobowiązany z nim współpracować.

    Rozporządzenie przewiduje obligatoryjne wyznaczenie inspektora w sytuacji gdy:
  • przetwarzania dokonują organ lub podmiot publiczny;
  • główna działalność administratora lub procesora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres, lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę;
  • główna działalność administratora lub procesora polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii (np. o stanie zdrowia) oraz danych o wyrokach skazujących za przestępstwa. Należy zaznaczyć, iż przetwarzanie danych osobowych nie powinno być uznane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.

Państwo członkowskie może przewidzieć inne sytuacje, w których będzie powołany obligatoryjnie inspektor. Na chwilę obecną nie wiadomo czy Polska skorzysta z takiej możliwości.