nr tel.: 22 390 91 05

Inne marki
Rzetelnej Grupy

Rzetelny Regulamin Rzetelny Prawnik Rzetelna Umowa Prawo Konsumenckie Rzetelny Konkurs

Obowiązek powołania Inspektora Ochrony Danych Osobowych

Autor: Rafał Stępniewski Data: 30 października 2017

Obecne przepisy nie nakładają na przedsiębiorców obowiązku powołania administratora bezpieczeństwa informacji. Wynika to z ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. W myśl obowiązujących przepisów, administrator danych osobowych może, ale nie musi decydować się na to rozwiązanie.

Jednakże w przypadku niepowołania ABI, to przedsiębiorca jest odpowiedzialny za wywiązywanie się z jego ustawowych obowiązków. Ponadto, administratorzy danych, którzy powołali ABI nie muszą samodzielnie zgłaszać zbiorów danych osobowych do GIODO.

Inspektor Ochrony Danych

Inspektor ochrony danych to konstrukcja wprowadzona przez RODO, której założenia zbliżone są do funkcjonującego obecnie na gruncie przepisów UODO - administratora bezpieczeństwa informacji.

3 kategorie podmiotów obowiązanych do ustanowienia IOD

Obowiązek ustanowienia IOD mają:

  • Organy lub podmioty publiczne (z wyjątkiem sądów), RODO wskazuje także, że inspektora ochrony danych powinny powoływać także podmioty prywatne, realizujące zadania publiczne, np. dostarczanie energii, wody itp.

  • Administratorzy, których działalność opiera się na operacjach przetwarzania danych, które z uwagi na swój charakter, cele lub zakres wymagają monitorowania osób, których dotyczą. W tej kategorii znajdą się zarówno podmioty przetwarzające dane, jak i te, których działalność jest nierozerwalnie związana z ich przetwarzaniem.

Dobrym przykładem podmiotu przetwarzającego dane na dużą skalę jest firma hostingowa, która mimo, że jest z reguły procesorem, to przechowuje dane osobowe bardzo dużej ilości osób, których administratorami są firmy, korzystające z usług hostingu.

Kolejnym przykładem jest firma świadcząca usługi call center, która na zlecenie swoich klientów świadczy usługi, przetwarzając duże ilości danych osobowych - mimo, że jest jedynie procesorem.

Firma świadcząca usługi pośrednictwa pracy, najmu pracowników lub prowadząca serwis ogłoszeniowy, który gromadzi CV osób poszukujących pracy, również podlega pod ten przypadek.

  • Administratorzy, których działalność opiera się na operacjach przetwarzania danych osobowych szczególnych kategorii osób, a więc danych wrażliwych. Ta kategoria może odnosić się do danych dotyczących naruszeń prawa lub wyroków skazujących.

Danymi wrażliwymi według RODO są dane określające poglądy polityczne, przekonania religijne, pochodzenie rasowe, orientację seksualną, przynależność do związków zawodowych, także dane zdrowotne, biometryczne lub genetyczne.

Innym przykładem podmiotu przetwarzającego dane jest szpital świadczący usługi opieki medycznej, które wymagają przetwarzania danych Pacjentów. Każda apteka z racji tego, że przetwarza wrażliwe dane osobowe pacjentów realizujących recepty, również podlega pod ten obowiązek. Firma prowadząca randkowy serwis internetowy, gdzie użytkownicy określają swoje preferencje seksualne, nałogi bądź przekonania religijne będzie musiała powołać IOD. Kolejnym przykładem obowiązkowego powołania IDO może być firma prowadząca salon piękności, gdzie część zabiegów wymaga zebrania oświadczeń o stanie zdrowia klientki(a) np. ciąża, choroby wieńcowe, alergie itp.

Czy obowiązek dotyczy tylko ADO?

Obowiązek ustanowienia IOD dotyczy zarówno administratorów, jak i procesorów, a więc podmiotów przetwarzających dane w imieniu administratora.

Skala przetwarzania danych a obowiązek powołania IOD

Prowadzenie działalności polegającej na przetwarzaniu danych nie oznacza od razu, że należy powołać inspektora ochrony danych. Powinien zostać spełniony jeszcze jeden warunek, mianowicie do przetwarzania danych musi dochodzić na dużą skalę. RODO nie wskazuje dokładnie, jak należy definiować to pojęcie. Każdy przypadek musi zostać zweryfikowany na podstawie kilku kryteriów:

  • liczby osób;

  • zakresu przetwarzanych danych;

  • okresu w jakim dane są przetwarzane;

  • zakresu geograficznego przetwarzania danych.

(Nie)Powołanie IOD - obowiązki ADO z tym związane

W przypadku niepowołania IOD przez administratora danych, nie jest on zwolniony z ustawowych obowiązków, które inspektora ochrony danych dotyczą. W takich przypadkach musi on wziąć na siebie większość zadań. Głównymi obowiązkami w tym zakresie są:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami RODO;

  • nadzorowanie opracowywanych i aktualizowanych dokumentacji dotyczących ochrony danych osobowych;

  • zapoznawanie osób upoważnionych do przetwarzania danych z właściwymi przepisami tj. pracowników i współpracowników.

W dużym skrócie można powiedzieć, że ADO powinien przeprowadzać wewnętrzne kontrole, prowadzić nadzór nad dokumentacją oraz przeprowadzać szkolenia. Przepisy nie warunkują jednak w jaki sposób ADO powinien wywiązywać się z wyżej wymienionych obowiązków.

Co więcej, ADO nie musi realizować zadań ABI samodzielnie. Pomimo niepowołania ABI, administrator może powierzyć wykonanie zadań innej osobie, a nawet całemu zespołowi. W takich przypadkach należy pamiętać o tym, że odpowiedzialność za wywiązanie się z przepisów ustawy nadal ciąży na administratorze danych osobowych.

 

Jeżeli ar­ty­kuł przydał Ci się, udostępnij go in­nym. Pomóż nam dzielić się wiedzą. Dzięki po­niż­szym przy­ci­skom zaj­mie ci to chwilę.


Podziel się na Facebook Podziel się na Twitter Podziel się na LinkedIn