poniedziałek, 30 listopad -0001 00:00

Inspektor danych osobowych (DPO) – nowy urząd i jego kompetencje

Napisał  Wojciech Ośka

Już od 25 maja niemalże każda placówka przetwarzająca dane osobowe będzie musiała posiadać inspektora danych osobowych. Osobę taką można zatrudnić, jednak ciekawą alternatywą jest także outsourcing tego stanowiska.

<

RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 dotyczące ochrony danych osobowych, które weszło w życie 24 maja 2016 r., a stosowane i egzekwowane będzie od 25 maja tego roku, wprowadza istotne zmiany w sektorze ochrony danych osobowych. Z jednej strony zwiększa prawa osób, których dane są przetwarzane, z drugiej zaś na administratorów tych danych nakłada nowe obowiązki. Jednym z nich jest wprowadzenie funkcji inspektora ochrony danych (DPO - Data protection officer). Jego zadaniem – tak jak obecnie administratorów bezpieczeństwa informacji (ABI) – będzie działanie na rzecz zgodnego z przepisami o ochronie danych przetwarzania danych, zarówno w sferze administracji publicznej, jak i w sektorze prywatnym.

Obowiązek a nie uprawnienie

Jak przypomina Generalny Inspektor Ochrony Danych Osobowych zadania inspektora ochrony danych w ogólnym rozporządzeniu o ochronie danych zostały sformułowane w sposób ogólny, bez wskazania trybu oraz terminów ich realizacji. Jest to istotna różnica w stosunku do tego co obecnie przewiduje ustawa o ochronie danych osobowych i akty do niej wykonawcze w zakresie zadań ABI. Dodatkowo, jak przypomina GIODO, nowe przepisy istotnie wzmacniają rolę i pozycję DPO. Jednym z najważniejszych przejawów tego wzmocnienia jest fakt, że wyznaczenie inspektora ochrony danych stanie się w wielu przypadkach obowiązkiem, a nie – jak dotąd – uprawnieniem administratora danych.

Kto może, a kto musi wyznaczyć inspektora ochrony danych?

Rozporządzenie przewiduje obligatoryjne wyznaczenie inspektora w sytuacji, gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę oraz gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych. W pozostałych przypadkach wyznaczenie inspektora będzie fakultatywne.

Zadania inspektora

Inspektor ochrony danych będzie musiał wykazywać się wiedzą zarówno teoretyczną, jak i praktyczną dotyczącą ogólnego rozporządzenia o ochronie danych oraz przepisów krajowych regulujących przetwarzanie danych. Do jego obowiązków będzie należało m.in. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe o obowiązkach spoczywających na nich na mocy rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie. Inspektor będzie miał także za zadanie monitorowanie przestrzegania rozporządzenia i innych przepisów o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych. To on będzie dokonywał w tym zakresie podziału obowiązków i prowadził szkolenia personelu, a także audyty. DPO będzie także musiał współpracować z organem nadzorczym i pełnić funkcję punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem. Będzie on także pełnił rolę punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy rozporządzenia. Jego zadaniem będzie także prowadzenie rejestru czynności lub rejestru kategorii czynności. Więcej o zadaniach inspektora danych osobowych: abi.giodo.gov.pl

Forma zatrudnienia DPO

Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników danego podmiotów. Możliwe będzie więc nadal pełnienie funkcji inspektora ochrony danych w modelu  outsourcingu, na podstawie umowy o świadczenie usług. Mimo, że również obecnie, funkcję ABI wykonują zarówno osoby będące pracownikami administratorów danych, jak i osoby, które zawarły z administratorem danych umowę cywilnoprawną, ustawa o ochronie danych osobowych nie zawiera przepisu wprost odnoszącego się do tego zagadnienia. Należy jednak pamiętać, że osoba wykonująca funkcję DPO na podstawie umowy o świadczenie usług musi spełniać wszystkie wymogi stawiane przez przepisy RODO, np. wymogi dotyczące unikania konfliktu interesów, gwarancji niezależności, łatwości nawiązania z nim kontaktu, właściwego i terminowego włączania go we wszystkie sprawy dotyczące ochrony danych osobowych. Nowością przewidzianą w rozporządzeniu jest możliwość powołania jednego inspektora ochrony danych dla kilku podmiotów.

Czytany 6244 razy