Inspektor Ochrony Danych i jego rola

Inspektor Ochrony Danych i jego rola

Administrator Bezpieczeństwa Informacji był/jest podmiotem powoływanym przez administratora danych w celu nadzorowania zgodności przetwarzania danych osobowych z wymaganiami Ustawy. Bardzo często jednak jego rola koncentrowała się w znaczniej mierze na wypełnianiu szeregu czynności administracyjnych. ABI prowadził wymagane ewidencje, przeprowadzał szkolenia nowych pracowników, rejestrował zbiory danych w GIODO. Rzeczywisty wpływ na to jakie mechanizmy kontrolne chroniły przetwarzane informacje zależał jednak często od charyzmy i wiedzy Administratora. Ubiegłoroczna nowelizacja UoDO była krokiem w kierunku nadania tej roli rzeczywistych uprawnień i odpowiedzialności w zakresie zabezpieczania danych osobowych.
Przyjęte w maju Rozporządzenie Parlamentu Europejskiego i Rady UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych ma na celu m.in. zapewnienie, że nowa rola - Inspektora Ochrony Danych będzie na bieżąco angażowana merytorycznie we wszystkie obecne i planowane czynności przetwarzania.
Przede wszystkim Inspektor będzie wyznaczany zawsze, gdy przetwarzanie danych osobowych będzie dokonywane przez podmiot publiczny (za wyjątkiem sądów), gdy przetwarzanie polega w znacznej mierze na regularnym i systematycznym monitorowaniu osób na dużą skalę oraz gdy główna działalność administratora polegać będzie na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (dawniej - wrażliwych danych osobowych). W innych przypadkach powołanie Inspektora Ochrony Danych nie będzie obowiązkowe, jednak zakres wymagań, jakie nowe prawo stawia przedsiębiorcom powoduje, że wszystkie przedsiębiorstwa, których charakter prowadzonej działalności wymaga gromadzenia danych osobowych powinny poważnie rozważyć powołanie, zatrudnienie lub wynajęcie takiej osoby. Warto zauważyć, że dotyczy to również przedsiębiorstw koncentrujących się na rozmaitym profilowaniu i gromadzeniu informacji, które wcale niekoniecznie wprost gromadzą podstawowe dane osobowe, ale posiadają na tyle dużo informacji o poszczególnych osobach, że możliwa jest ich identyfikacja. Dodatkowo trzeba podkreślić, że nowe obowiązki będą niezależne do kraju, w którym przedsiębiorca ma siedzibę lub gdzie w rzeczywistości przetwarzane są dane obywateli UE.
Dopuszczalne jest by Inspektor Ochrony Danych nie był członkiem personelu administratora, lecz wykonywał zadania na podstawie umowy o świadczenie usług. Zwraca się, bardzo rozsądnie moim zdaniem, uwagę, że grupa przedsiębiorstw może wyznaczyć jednego - wspólnego Inspektora. Jak najbardziej dopuszczalne jest również by jedna osoba pełniła tę funkcję dla kilku podmiotów. W obu przypadkach niezbędne jest jednak zapewnienie by Inspektor był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Oznacza to wprost, że IOD powinien mieć bieżącą - operacyjną wiedzę o wszystkich istniejących, jak i planowanych inicjatywach w ramach organizacji, które koncentrują się prze przetwarzaniu danych osobowych. W ramach każdej z tych inicjatyw Inspektor powinien zapewnić, po przeprowadzonej analizie, że dane są chronione w sposób należyty. Rozporządzenie gwarantuje mu również niezależność opinii
W świetle nowych uregulowań Inspektor Ochrony Danych powinien być wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia spoczywających na nim zadań. Wśród zadań, które zobowiązany będzie wypełniać Inspektor znajdzie się między innymi:
  • bieżące informowanie administratora i pracowników o obowiązkach spoczywających na nich na mocy rozporządzenia;
  • monitorowanie przestrzegania rozporządzenia i innych przepisów o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
  • udzielanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
  • współpraca z organem nadzorczym, w tym pełnienie punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych;

Szczególnie podkreślane jest, że Inspektor powinien wypełniać swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania danych, mając na uwadze charakter, zakres, kontekst i cele ich przetwarzania. Oznacza to, że będzie on musiał merytorycznie zagłębiać się we wszystkie procesy przetwarzania danych osobowych, będzie musiał rozumieć ich kontekst biznesowy, potencjalne skutki naruszenia bezpieczeństwa danych a także skuteczność obecnie wdrożonych mechanizmów kontrolnych. W przypadku wykrycia niespójności praktyk podmiotu i przepisów prawa oraz mechanizmów kontrolnych lub przy pojawieniu się nadmiernego ryzyka niekompensowanego odpowiednimi - skutecznymi zabezpieczeniami, Inspektor będzie musiał przekazać zalecenia, które powinny być uwzględnione w działaniach podmiotu przetwarzającego dane. 
Next PostNowszy post Previous PostStarszy post Strona główna
Prześlij komentarz