fbTrack
REKLAMA
REKLAMA

Dane osobowe

Inspektor ochrony danych obowiązkowy we wszystkich podmiotach publicznych od 25 maja 2018 r.

123RF
Od 25 maja 2018 r. wszystkie podmioty sektora publicznego będą musiały wyznaczyć inspektora ochrony danych i udzielić mu wsparcia przy wykonywaniu jego zadań. W pewnym zakresie dotyczy to także sądów.

O nowych obowiązkach przypomina Generalny Inspektor Ochrony Danych Osobowych.

Wyznaczenie inspektora ochrony danych przez każdy organ lub podmiot publiczny przewiduje rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (ogólne rozporządzenie o ochronie danych - RODO) . Tylko sądy są z tego obowiązku zwolnione w zakresie sprawowania przez nie wymiaru sprawiedliwości (art. 37 ust. 1 pkt a RODO).

- RODO wprowadziło istotną zmianę. Wyznaczenie inspektora ochrony danych (obecnego ABI) w podmiotach sektora publicznego nie będzie, jak dotąd (na mocy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych) uprawnieniem, lecz stanie się obowiązkiem wszystkich organów i podmiotów publicznych - wskazuje GIODO.

Sądy też muszą wyznaczyć człowieka od danych

Które dokładnie organy i podmioty publiczne zobowiązane będą do wyznaczenia inspektora ochrony danych? Projekt nowej ustawy o ochronie danych osobowych w wersji z 3 marca 2018 r. przewiduje, że  chodzi o organy oraz podmioty publiczne wskazane w art. 9 ustawy z  27 sierpnia 2009 r. o finansach publicznych oraz instytuty badawcze w rozumieniu ustawy z   30 kwietnia 2010 r. o instytutach badawczych. Jeśli przepis w takim brzmieniu zostanie uchwalony, to obowiązek wyznaczenia inspektora ochrony danych, będą miały, m.in:

- organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały,

- jednostki samorządu terytorialnego oraz ich związki,

- samodzielne publiczne zakłady opieki zdrowotnej,

- uczelnie publiczne,

- inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego,

- instytuty badawcze w rozumieniu ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych.

- Przepis taki wyraźnie przesądzałby o obowiązku wyznaczenia inspektora ochrony danych również przez sądy i trybunały, przy czym w ich przypadku - ze względu na ochronę niezawisłości sędziowskiej - z zakresu kompetencji inspektora będą wyłączone operacje przetwarzania danych mieszczące się w czynnościach orzeczniczych tj. sprawowania wymiaru sprawiedliwości - informuje GIODO.

Wesprzeć inspektora

Obowiązkiem kierownictwa podmiotu publicznego jest zapewnienie odpowiedniego wsparcia inspektorowi ochrony danych. Zgodnie z art. 38 ust. 2 RODO, administrator wspiera inspektora ochrony danych w wypełnianiu przez niego zadań, zapewniając mu niezbędne do tego zasoby oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej. Ponadto do  obowiązków administratorów danych należy zapewnienie, aby inspektor ochrony danych:

- podlegał bezpośrednio najwyższemu kierownictwu podmiotu publicznego (art. 38 ust. 3 RODO),

- miał zapewniony udział we wszystkich zagadnieniach związanych z ochroną danych osobowych (art. 38 ust. 1 RODO),

- nie otrzymywał instrukcji dotyczących wykonywania zadań (art. 38 ust. 3 RODO),

- nie został odwołany lub ukarany za wypełnianie przez niego jego zadań (art. 38 ust. 3 RODO),

- nie otrzymywał innych zadań i obowiązków, jeśli mogłyby one spowodować konflikt interesów (art. 38 ust. 6 RODO).

Administrator lub podmiot przetwarzający powinni zatem wprowadzić wewnętrzne regulacje gwarantujące inspektorowi ochrony danych niezależność i skuteczność w wykonywaniu przez niego obowiązków i zadań. To ważne wyzwanie zwłaszcza dla podmiotów publicznych czy też podmiotów o złożonych strukturach, które będą musiały dostosować swoje regulaminy organizacyjne oraz statuty tak, aby ten cel osiągnąć.

GIODO podkreśla, że w ustawie o ochronie danych osobowych przyjęte zbliżone rozwiązanie ws.  nakładania na inspektora dodatkowych zadań, mogących spowodować konflikt interesów.

- Zgodnie z art. 36a ust. 4 u.o.d.o., administrator danych może powierzyć ABI inne zadania jedynie wówczas, gdy nie naruszy to prawidłowego wykonywania zadań ABI. Wymóg ten zobowiązuje administratora w każdej konkretnej sytuacji do starannego przeanalizowania, czy jakiekolwiek inne zadania funkcje, jakimi zamierzałby obarczyć ABI, nie utrudniłyby mu właściwego wykonywania jego ustawowych obowiązków. W tym zakresie brane muszą być pod uwagę rozmaite i liczne czynniki, np. ilość czasu potrzebnego na wykonywanie poszczególnych obowiązków, stopień skomplikowania i ważności zadań, rezerwa czasowa na nieplanowane zadania, ilość i rodzaj danych osobowych oraz procesów i systemów informatycznych służących do ich przetwarzania - wskazuje GIODO.

Zasadniczą rolą inspektorów ochrony danych będzie doradzanie i weryfikacja prawidłowości wykonywania obowiązków wynikających z przepisów prawa dotyczących przetwarzania danych osobowych.

- Rola ta nie oznacza przeniesienia na inspektora ochrony danych odpowiedzialności za zgodne z prawem przetwarzanie danych osobowych, ponieważ nadal to administrator danych będzie ponosił pełną odpowiedzialność za zgodne z prawem przetwarzanie danych osobowych. Dlatego w interesie kierownictwa każdego podmiotu publicznego jest mieć niezależnego, właściwie usytuowanego w strukturze organizacyjnej, inspektora ochrony danych, który będzie mógł efektywnie realizować swoje obowiązki - podkreśla GIODO.

Źródło: rp.pl
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA