fbTrack
REKLAMA
REKLAMA

Zadania

RODO: podmioty publiczne muszą wyznaczyć inspektora ochrony danych

123RF
Jeśli w danej jednostce był powołany administrator bezpieczeństwa informacji przed 25 maja, to pełni on automatycznie funkcję inspektora ochrony danych do 1 września 2018 r.

Jedna z istotnych zmian, które obowiązują od 25 maja tego roku dotyczy nałożenia na podmioty publiczne przetwarzające dane osobowe (m.in. samorządy) obowiązku wyznaczenia inspektora ochrony danych (IOD). Nowe przepisy przedłużyły wykonywanie obowiązków przez dotychczasowego administratora bezpieczeństwa informacji (ABI), który z mocy prawa stał się IOD, do 1 września. Można jednak wyznaczyć nowego inspektora ochrony danych, także przed tą datą.

Zmiany wynikają z:

- rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; Dz.Urz. UE L 119 z 04.05.2016, str. 1) oraz

- ustawy z 10 maja 2018 r. o ochronie danych osobowych (DzU z 2018 r. poz. 1000).

Ogólne rozporządzenie o ochronie danych (RODO) ma zastosowanie od 25 maja 2018 r. Z tym dniem weszła także w życie nowa ustawa o ochronie danych. RODO obowiązuje w polskim porządku prawnym bezpośrednio, a nowa ustawa o ochronie danych służy stosowaniu tego rozporządzenia.

Kiedy powstaje obowiązek

Z rozporządzenia RODO wynika m.in. obowiązek wyznaczenia inspektora ochrony danych zawsze, gdy przetwarzania danych dokonują organ lub podmiot publiczny (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości). Zgodnie z nową ustawą o ochronie danych, przez organy i podmioty publiczne mające obowiązek wyznaczenia inspektora rozumie się m.in. jednostki sektora finansów publicznych, czyli także jednostki samorządu terytorialnego i ich związki.

Jest to rozwiązanie inne niż wynikające z ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Dotychczas administrator danych, także z sektora finansów publicznych, mógł, ale nie musiał, powołać administratora bezpieczeństwa informacji. Administrator danych zgłaszał Generalnemu Inspektorowi Ochrony Danych Osobowych (z dniem 25 maja GIODO stał się prezesem Urzędu Ochrony Danych Osobowych) do rejestracji powołanie i  odwołanie administratora bezpieczeństwa informacji w terminie 30 dni.

Po zmianie przepisów, wyznaczenie inspektora ochrony danych w podmiotach publicznych przetwarzających dane nie jest uprawnieniem, a obowiązkiem. W przepisach przejściowych przewidziano, że w razie powołania ABI na podstawie dotychczasowych regulacji, od 25 maja 2018 r. taka osoba stała się automatycznie inspektorem ochrony danych (por. art. 158 nowej ustawy o ochronie danych).

W razie braku działań ze ze strony podmiotu publicznego, wskazana wyżej osoba będzie pełnić funkcję inspektora do 1 września 2018 r. Można jednak wcześniej wyznaczyć innego inspektora. Powinno to nastąpić zgodnie z art. 10 ust. 1 nowej ustawy o ochronie danych. Zgodnie z tym przepisem podmiot, który wyznaczył inspektora, zawiadamia o tym Prezesa Urzędu Ochrony Danych Osobowych w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora. Podmiot, który wyznaczył inspektora, musi udostępnić dane inspektora, niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej. W nowych przepisach przewidziano także, że dla kilku podmiotów publicznych można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora. W takim przypadku każdy z tych podmiotów ma obowiązek zawiadomić Prezesa Urzędu o wyznaczeniu inspektora. W sytuacji, gdy ABI nie był powołany, a zgodnie z nowymi przepisami trzeba wyznaczyć inspektora ochrony danych, należy zrobić to i zawiadomić Prezesa Urzędu o wyznaczeniu inspektora do 31 lipca 2018 r.

Status inspektora

Inspektor powinien być wyznaczany na podstawie kwalifikacji zawodowych, w tym m.in. wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych. Inspektor może być członkiem personelu podmiotu, który go wyznaczył, bądź wykonywać zadania na podstawie umowy o świadczenie usług. Podkreśla się, że wyznaczenie inspektora powinno być dokonane z zachowaniem należytej staranności, z uwzględnieniem charakteru przetwarzania danych w ramach danego podmiotu. Podmiot, który wyznaczył inspektora, ma obowiązek:

- zadbać o to, aby inspektor był właściwie i  niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych,

- zapewnić inspektorowi zasoby niezbędne do wykonania jego zadań, dostęp do danych osobowych i operacji przetwarzania oraz zasoby niezbędne do utrzymania wiedzy fachowej,

- zapewnić, aby inspektor nie otrzymywał instrukcji dotyczących wykonywania jego zadań (inspektor podlega bezpośrednio najwyższemu kierownictwu podmiotu, który go wyznaczył i nie może być odwołany ani ukarany za wypełnianie swoich zadań).

Inspektor ochrony danych może wykonywać także inne zadania i obowiązki. Trzeba jednak zadbać o to, aby takie zadania i obowiązki nie powodowały konfliktu interesów. Jak zwrócił uwagę GIODO, podmioty publiczne powinny zatroszczyć się o dostosowanie swoich regulaminów organizacyjnych i statutów w taki sposób, aby zagwarantować inspektorowi niezależność i skuteczność w wykonywaniu obowiązków.

Gmina może korzystać z monitoringu

Przepisy dopuszczają możliwość stosowania monitoringu w gminie. Czy precyzują, gdzie monitoring nie może być wykorzystany?

Tak. W art. 114 nowej ustawy o ochronie danych osobowych, wprowadzającym zmiany w ustawie o samorządzie gminnym, przewidziano m.in., że gmina – w celu zapewnienia porządku publicznego i bezpieczeństwa obywateli oraz ochrony przeciwpożarowej i przeciwpowodziowej – może stosować środki techniczne umożliwiające rejestrację obrazu (monitoring). Można korzystać z niego:

- w obszarze przestrzeni publicznej, za zgodą zarządzającego tym obszarem lub podmiotu posiadającego tytuł prawny do tego obszaru lub

- na terenie nieruchomości i w obiektach budowlanych stanowiących mienie gminy lub jednostek organizacyjnych gminy, a także na terenie wokół takich nieruchomości i obiektów budowlanych.

Nieruchomości i obiekty budowlane objęte monitoringiem uszą być oznaczone. Zastrzeżono także, że monitoring nie może obejmować pomieszczeń sanitarnych, szatni, stołówek, palarni i obiektów socjalnych. Zasadą jest, że nagrania z monitoringu mogą być przechowywane przez okres nieprzekraczający 3 miesięcy. Warto przy tym zwrócić uwagę, że zasady korzystania z monitoringu w szkołach określa art. 154 nowej ustawy o ochronie danych, wprowadzający zmiany w ustawie – Prawo oświatowe. Przewidziano w nim m.in., że w sytuacji, gdy jest to niezbędne do zapewnienia bezpieczeństwa uczniów i pracowników lub ochrony mienia dyrektor szkoły lub placówki:

- w uzgodnieniu z organem prowadzącym szkołę lub placówkę oraz

- po przeprowadzeniu konsultacji z radą pedagogiczną, radą rodziców i samorządem uczniowskim,

może wprowadzić monitoring pomieszczeń szkoły lub placówki lub terenu wokół szkoły lub placówki. Zasadą jest, że monitoring nie może obejmować m.in. pomieszczeń, w których odbywają się zajęcia dydaktyczne, wychowawcze i opiekuńcze, pomieszczeń sanitarnohigienicznych, szatni czy przebieralni. Stosowanie monitoringu w tych pomieszczeniach może nastąpić tylko, gdy jest niezbędne i nie naruszy godności oraz innych dóbr osobistych uczniów, pracowników i innych osób, a w szczególności zostaną zastosowane techniki uniemożliwiające rozpoznanie osób przebywających w tych pomieszczeniach.

Inspektor musi wykonywać swoje zadania w niezależny sposób

Inspektor ochrony danych zatrudniony w urzędzie gminy inaczej interpretuje przepisy z zakresu ochrony danych osobowych niż wójt. Czy wójt może nakazać mu przyjęcie określonego stanowiska w tej sprawie?

Nie. W rozporządzeniu 2016/679 przyjęto, że podmiot, który wyznaczył inspektora (np. gmina), powinien zapewnić, aby inspektor nie otrzymywał instrukcji dotyczących wykonywania swoich zadań. Do zadań inspektora należy m.in. monitorowanie przestrzegania przepisów o ochronie danych. W wytycznych Grupy Roboczej ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych (por. https://uodo.gov.pl) zwrócono uwagę, że w związku z wypełnianiem swoich zadań inspektor nie może otrzymywać np. instrukcji dotyczących sposobu rozpoznania danej sprawy, środków jakie trzeba podjąć, czy celu jaki powinien zostać osiągnięty. Nie można także nakazać mu przyjęcia określonego stanowiska w sprawie z zakresu ochrony danych, np. określonej wykładni przepisów. Inspektor powinien mieć możliwość przedstawienia swojej odrębnej opinii. Nie można także ukarać go ani odwołać za wypełnianie swoich zadań. Jak podkreślono we wskazanych wyżej wytycznych, kary mogą przybrać wiele form i mogą być bezpośrednie albo pośrednie. Mogą polegać np. na braku albo opóźnieniu awansu, utrudnieniu rozwoju zawodowego czy ograniczeniu dostępu do korzyści oferowanych pozostałym pracownikom. Są one jednak niedozwolone tylko w razie nałożenia ich w związku z wypełnianiem obowiązków przez inspektora. Nie można np. ukarać lub odwołać inspektora za udzielenie zalecenia, z którym nie zgadza się wójt. Natomiast, zgodnie z właściwymi przepisami, inspektor może zostać ukarany lub odwołany z innych przyczyn.

O zmianie inspektora trzeba zawiadomić prezesa urzędu

Gmina chciałaby przyjąć rozwiązanie polegające na tym, że w razie dłuższej przeszkody w wykonywaniu obowiązków przez inspektora ochrony danych (np. choroba powyżej 30 dni), jego obowiązki przejmowałby zastępca. Czy nowe przepisy regulują ustanowienie zastępcy dla inspektora?

Nie. W art. 8 nowej ustawy o ochronie danych przyjęto, że inspektora wyznacza się w przypadkach i na zasadach określonych w art. 37 rozporządzenia 2016/679. W uzasadnieniu nowej ustawy o ochronie danych zwrócono uwagę, że ustawodawca unijny przewidział możliwość wyznaczenia jednego inspektora dla kilku podmiotów, ale nie przewidział możliwości wyznaczenia kilku inspektorów czy zastępcy inspektora w jednym podmiocie. Zgodnie z art. 37 rozporządzenia 2016/679 do zadań inspektora należy m.in. współpraca z organem nadzorczym (czyli Prezesem Urzędu Ochrony Danych Osobowych) i pełnienie funkcji punktu kontaktowego dla tego organu. W myśl art. 10 ust. 1 nowej ustawy o ochronie danych podmiot, który wyznaczył inspektora, zawiadamia o tym Prezesa Urzędu. Prezesa Urzędu trzeba zawiadomić także o zmianie danych inspektora oraz o odwołaniu inspektora, w terminie 14 dni od zaistnienia zmiany lub odwołania (art. 10 ust. 4 nowej ustawy o ochronie danych). W uzasadnieniu tej ustawy przyjęto zatem, że w sytuacji, gdy podmiot, który wyznaczył inspektora, poweźmie wiadomość o jego długiej nieobecności, powinien wyznaczyć nową osobę do pełnienia tej funkcji oraz zawiadomić o tym Prezesa Urzędu. Stwierdzono także, że w razie krótszej, okresowej nieobecności podmiot, który wyznaczył inspektora, powinien upoważnić innego pracownika do podejmowania działań inspektora.

Definicje

W rozporządzeniu 2016/679 (RODO) przyjęto, że: ? dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, ? możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających tożsamość fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną,  przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie bądź niszczenie.

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA
REKLAMA
REKLAMA: automatycznie wyświetlimy artykuł za 15 sekund.
REKLAMA
REKLAMA