fbTrack
REKLAMA
REKLAMA

Kadry

Inspektor ochrony danych założy rejestry

Adobe Stock
Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych ciąży na administratorze. Podmiot przetwarzający odpowiada zaś za prowadzenie rejestru kategorii czynności przetwarzania dokonywanych w imieniu administratora. Inspektor ochrony danych korzysta z tych raportów w pracy, więc trudno uznać, że nie powinien angażować się w ich tworzenie i prowadzenie.

- Dlaczego według Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych osobowych prowadzenie rejestru czynności jest zaliczane do zadań inspektora ochrony danych, skoro z art. 30 RODO wynika, iż jest ono obowiązkiem administratora danych? Przecież IOD ma pełnić rolę doradczą, monitorującą i „łącznikową", a nie wyręczać administratora danych w jego obowiązkach.

Zagadnienie prawidłowego rozdzielenia i określenia ról oraz odpowiedzialności jest niezmiernie ważne, zwłaszcza w jednostkach o rozbudowanej strukturze, z różnorodnym zakresem, podstawą prawną i celem przetwarzania danych. Może więc warto zalecić ADO, w jaki sposób mają wykonywać ciążące na nich obowiązki, kto ma to fizycznie robić, gdyż raczej wątpliwe, aby wykonywali je osobiście, a nie mogą ich przerzucać na inspektora ochrony danych.

Zgodnie z art. 30 ust. 1 i 2 RODO, do administratora należy obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiada, a do podmiotu przetwarzającego – prowadzenie rejestru kategorii czynności przetwarzania dokonywanych w imieniu administratora. To te podmioty są odpowiedzialne za efektywne wykonanie tego obowiązku i pozostawanie w gotowości do wykazania tego na żądanie organów ochrony danych. Tym samym są one zobowiązane samodzielnie określić, kto konkretnie w danej organizacji ma wykonywać określone czynności składające się na spełnienie wymogów określonych w art. 30 RODO, uwzględniając konkretne okoliczności, m.in. takie jak wielkość i struktura organizacyjna danego podmiotu oraz skala przetwarzania danych. Zgodnie z jedną z najważniejszych zasad, na których oparta jest nowa regulacja – zasadą rozliczalności, odpowiedni dobór rozwiązań zapewniających zgodność z przepisami o ochronie danych osobowych należy do administratorów danych i podmiotów przetwarzających.

Ze względu na swoją zawartość i cele, rejestry czynności oraz rejestry kategorii czynności mogą być również przydatnym instrumentem monitorowania zgodności dla inspektorów ochrony danych. Wprawdzie z art. 30 rozporządzenia ogólnego bezsprzecznie wynika, że obowiązek prowadzenia rejestrów należy do administratorów i podmiotów przetwarzających, nie zaś do inspektora ochrony danych, niemniej trudno sobie wyobrazić, że inspektor ochrony danych – jako osoba dysponująca odpowiednią wiedzą i umiejętnościami w dziedzinie ochrony danych osobowych – nie będzie angażowała się w tworzenie i prowadzenie rejestrów, a następnie wykorzystywała ich w swojej pracy.

Inspektor ochrony danych jako fachowiec może wspomagać administratora w tworzeniu i prowadzeniu rejestrów na przykład poprzez zbieranie informacji w celu identyfikacji procesów przetwarzania. Ponadto zgodnie z art. 38 RODO, administrator oraz podmiot przetwarzający zobowiązani są do zapewnienia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Udział w prowadzeniu wskazanego rejestru może w znacznym stopniu przyczyniać się do realizacji ww. obowiązku.

W Wytycznych Grupa Robocza Art. 29 wskazuje, że obowiązki prowadzenia rejestru są obowiązkami administratora i podmiotu przetwarzającego, jednak w praktyce często to inspektor ochrony danych tworzy i prowadzi powyższe rejestry na podstawie danych otrzymanych od pozostałych komórek organizacji. Jak wskazano w Wytycznych: „Taka procedura została ustalona na mocy wielu obowiązujących przepisów państw członkowskich i przepisów o ochronie danych osobowych mających zastosowanie do instytucji i organów UE".

Źródło: uodo.gov.pl

Źródło: rp.pl
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA