Obowiązek powołania Inspektora Ochrony Danych Osobowych

Obecne przepisy nie nakładają na przedsiębiorców obowiązku powołania administratora bezpieczeństwa informacji. Wynika to z ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. W myśl obowiązujących przepisów, administrator danych osobowych może, ale nie musi decydować się na to rozwiązanie.

  • Rafał Stępniewski
  • /
  • 30 października 2017

Jednakże w przypadku niepowołania ABI, to przedsiębiorca jest odpowiedzialny za wywiązywanie się z jego ustawowych obowiązków. Ponadto, administratorzy danych, którzy powołali ABI nie muszą samodzielnie zgłaszać zbiorów danych osobowych do GIODO.

Inspektor Ochrony Danych

Inspektor ochrony danych to konstrukcja wprowadzona przez RODO, której założenia zbliżone są do funkcjonującego obecnie na gruncie przepisów UODO — administratora bezpieczeństwa informacji.

3 kategorie podmiotów obowiązanych do ustanowienia IOD

Obowiązek ustanowienia IOD mają:

  • Organy lub podmioty publiczne (z wyjątkiem sądów), RODO wskazuje także, że inspektora ochrony danych powinny powoływać także podmioty prywatne, realizujące zadania publiczne, np. dostarczanie energii, wody itp.

  • Administratorzy, których działalność opiera się na operacjach przetwarzania danych, które z uwagi na swój charakter, cele lub zakres wymagają monitorowania osób, których dotyczą. W tej kategorii znajdą się zarówno podmioty przetwarzające dane, jak i te, których działalność jest nierozerwalnie związana z ich przetwarzaniem.

Dobrym przykładem podmiotu przetwarzającego dane na dużą skalę jest firma hostingowa, która mimo, że jest z reguły procesorem, to przechowuje dane osobowe bardzo dużej ilości osób, których administratorami są firmy, korzystające z usług hostingu.

Kolejnym przykładem jest firma świadcząca usługi call center, która na zlecenie swoich klientów świadczy usługi, przetwarzając duże ilości danych osobowych — mimo, że jest jedynie procesorem.

Firma świadcząca usługi pośrednictwa pracy, najmu pracowników lub prowadząca serwis ogłoszeniowy, który gromadzi CV osób poszukujących pracy, również podlega pod ten przypadek.

  • Administratorzy, których działalność opiera się na operacjach przetwarzania danych osobowych szczególnych kategorii osób, a więc danych wrażliwych. Ta kategoria może odnosić się do danych dotyczących naruszeń prawa lub wyroków skazujących.

Danymi wrażliwymi według RODO są dane określające poglądy polityczne, przekonania religijne, pochodzenie rasowe, orientację seksualną, przynależność do związków zawodowych, także dane zdrowotne, biometryczne lub genetyczne.

Innym przykładem podmiotu przetwarzającego dane jest szpital świadczący usługi opieki medycznej, które wymagają przetwarzania danych Pacjentów. Każda apteka z racji tego, że przetwarza wrażliwe dane osobowe pacjentów realizujących recepty, również podlega pod ten obowiązek. Firma prowadząca randkowy serwis internetowy, gdzie użytkownicy określają swoje preferencje seksualne, nałogi bądź przekonania religijne będzie musiała powołać IOD. Kolejnym przykładem obowiązkowego powołania IDO może być firma prowadząca salon piękności, gdzie część zabiegów wymaga zebrania oświadczeń o stanie zdrowia klientki(a) np. ciąża, choroby wieńcowe, alergie itp.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Czy obowiązek dotyczy tylko ADO?

Obowiązek ustanowienia IOD dotyczy zarówno administratorów, jak i procesorów, a więc podmiotów przetwarzających dane w imieniu administratora.

Skala przetwarzania danych a obowiązek powołania IOD

Prowadzenie działalności polegającej na przetwarzaniu danych nie oznacza od razu, że należy powołać inspektora ochrony danych. Powinien zostać spełniony jeszcze jeden warunek, mianowicie do przetwarzania danych musi dochodzić na dużą skalę. RODO nie wskazuje dokładnie, jak należy definiować to pojęcie. Każdy przypadek musi zostać zweryfikowany na podstawie kilku kryteriów:

  • liczby osób;

  • zakresu przetwarzanych danych;

  • okresu w jakim dane są przetwarzane;

  • zakresu geograficznego przetwarzania danych.

(Nie)Powołanie IOD — obowiązki ADO z tym związane

W przypadku niepowołania IOD przez administratora danych, nie jest on zwolniony z ustawowych obowiązków, które inspektora ochrony danych dotyczą. W takich przypadkach musi on wziąć na siebie większość zadań. Głównymi obowiązkami w tym zakresie są:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami RODO;

  • nadzorowanie opracowywanych i aktualizowanych dokumentacji dotyczących ochrony danych osobowych;

  • zapoznawanie osób upoważnionych do przetwarzania danych z właściwymi przepisami tj. pracowników i współpracowników.

W dużym skrócie można powiedzieć, że ADO powinien przeprowadzać wewnętrzne kontrole, prowadzić nadzór nad dokumentacją oraz przeprowadzać szkolenia. Przepisy nie warunkują jednak w jaki sposób ADO powinien wywiązywać się z wyżej wymienionych obowiązków.

Co więcej, ADO nie musi realizować zadań ABI samodzielnie. Pomimo niepowołania ABI, administrator może powierzyć wykonanie zadań innej osobie, a nawet całemu zespołowi. W takich przypadkach należy pamiętać o tym, że odpowiedzialność za wywiązanie się z przepisów ustawy nadal ciąży na administratorze danych osobowych.

 

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

O autorze

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu
Tagi: RODO w firmie UODO RODO hosting call center
Powiązane posty
Popularne Tagi

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!