Pierwsze doświadczenia w wykonywaniu funkcji IODy

Transkrypt

1 Pierwsze doświadczenia w wykonywaniu funkcji IODy Pierwsze doświadczenia w wykonywaniu funkcji IODy Maciej Byczkowski SABI - Stowarzyszenie Inspektorów Ochrony Danych IOD - wymagania przepisów Zapisy dotyczące inspektora ochrony danych w RODO: Art. 37 Wyznaczenie Inspektora Art. 38 Status Inspektora Art. 39 Zadania Inspektora Wymogi dotyczące podawania informacji na temat inspektora (13, 14, 30, 33, 34, 36, 47) Zapisy dotyczące inspektora ochrony danych w Ustawie z 10 maja 2018 r. o ochronie danych osobowych (UODO): Rozdział 2 Wyznaczanie IOD

2 IOD a funkcja czy stanowisko? IOD może być zarówno funkcją jak i stanowiskiem - zależy to od ADO IOD a funkcja czy stanowisko? Przepisy szczególne mogą wprowadzać stanowisko IOD np.: RozporządzenieMinistra Sprawiedliwości w sprawie stanowisk i szczegółowych zasad wynagradzania urzędników i innych pracowników sądów i prokuratury oraz odbywania staz u urze dniczego (Dz. U. 2018, poz. 1001) Wprowadzenie stanowiska inspektora ochrony danych w sądachpowszechnych i wojskowych

3 IOD a w klasyfikacji zawodów i specjalności Rozporządzenia Ministra Pracy i Polityki Społecznej z dnia 7 sierpnia 2014 r. w sprawie klasyfikacji zawodów i specjalności na potrzeby rynku pracy oraz zakresu jej stosowania (t.j. Dz. U r., poz. 227). W pozycji nr Specjaliści ds. zarządzania i organizacji pod numerem jest wymieniony: Administrator bezpieczeństwa informacji (Inspektor ochrony danych) W pozycji nr 2422 Specjaliści ds. administracji i rozwoju pod numerem jest wymieniony: Inspektor ochrony danych osobowych Miejsce IODy w strukturze organizacji Samodzielne stanowisko Stanowisko zapewnianiające wykonywanie zadań nadzoru nad przetwarzaniem danych w sposób niezależny Unikanie konfliktu interesów przy łączeniu stanowisk lub funkcji Zespół IOD y w dużych strukturach Pełnomocnik ds. ochrony danych Outsourcing funkcji IOD y

4 Wymagane kwalifikacje IOD y Art. 37 ust. 5 RODO Inspektor jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności: wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych umiejętności wypełniania zadań, o których mowa w art. 39 RODO. Motyw 97 RODO: Niezbędny poziom wiedzy fachowej należy ustalić w szczególności w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe przetwarzane przez administratora lub podmiot przetwarzający. Inspektor - kompetencje Potrzebne kompetencje: Wiedza dotycząca zasad ochrony danych osobowych określonych w RODO i UODO Wiedza dotycząca podstaw prawnych oraz procesów przetwarzania danych osobowych przez konkretnego ADO Umiejętności z zakresu prowadzenia audytu wewnętrznego Wiedza dotycząca funkcjonowania systemu IT Umiejętności z zakresu szacowania ryzyka dla przetwarzania danych, w tym oceny skutków dla ochrony danych Umiejętności związane z opracowywaniem dokumentacji dotyczącej ochrony danych Umiejętności związane z prowadzeniem szkoleń Umiejętności dotyczące pełnienia punktu kontaktowego dla osób, których dane dotyczą

5 Zakres potrzebnych uprawnień do wykonywania zadań IOD y Możliwość wykonywania monitorowania ochrony danych oraz audytów zgodności w komórkach organizacyjnych ADO Prawo żądania wglądu w dokumentację dotyczącą przetwarzania danych Prawo wglądu do systemu informatycznego przetwarzającego dane Prawo wykonywania audytów w podmiotach przetwarzających Pełnomocnictwo do zgłaszania naruszeń ochrony danych w imieniu ADO Wyznaczenie inspektora Kogo stać na funkcjonowanie bez IODy?

6 Wyznaczenie inspektora - obowiązek Art. 37 ust. 1 RODO Obowiązek wyznaczenia inspektora: podmioty lub organy publiczne, z wyłączeniem sądów w ramach prowadzonych przez nie postępowań Podmioty, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę. Podmioty, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danychosobowych. Wyznaczenie inspektora - możliwość Art. 37 ust. 4 RODO: W przypadkach innych niż te, o których mowa w ust. 1, ADO, procesor, zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub procesorów mogą wyznaczyć inspektora

7 Wyznaczenie inspektora Art. 37 ust. 2 i 3 RODO - Możliwość wyznaczenia jednego Inspektora dla kilku podmiotów: Grupa przedsiębiorców (np. Grupa Kapitałowa) Kilka organów lub podmiotów publicznych Warunek przy wyznaczeniu jednego Inspektora: możliwość łatwego nawiązania kontaktu z IOD z każdej z jednostki organizacyjnej uwzględnienie wielkość i struktury organizacyjnej podmiotów lub organów Problemy dotyczące ustalenie zasad współpracy pomiędzy różnymi IOD w Grupie kapitałowej Zawiadamianie organu o wyznaczeniu inspektora ochrony danych Art. 10 UODO: Zawiadamianie Prezesa UODO wyznaczeniu IOD, w terminie 14 dni od dnia jego wyznaczenia zakres danych: imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora Informacje o ADO: nazwa, adres, REGON

8 Zawiadamianie organu o wyznaczeniu inspektora ochrony danych Zawiadomienie może zostać dokonane przez pełnomocnika. ZawiadamianiePrezesa UODO o każdej zmianie danych lub odwołaniu inspektora w terminie 14 dni od zaistnienia zmiany lub odwołania. Zawiadamianie w przypadku wyznaczenia jednego inspektora przez organy lub podmioty publiczne albo przez grupę przedsiębiorstw -przez każdy z tych podmiotów. Zawiadamianie tylkow postaci elektronicznej podpisywanie kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym epuap. Publikowanie informacji o wyznaczonym inspektorze Art. 11 UODO: Podmiot, który wyznaczył inspektora udostępnia dane inspektora, o których mowa w art. 10 ust. 1 UODO (imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora) niezwłocznie po jego wyznaczeniu na swojej stronie internetowej, a w przypadku jej braku w sposób ogólnie dostępny w miejscu prowadzenia działalności.

9 Zapewnianie statusu inspektora Art. 38 ust. 1 i 2 RODO: ADO oraz procesor muszą zapewnić aby Inspektor był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. ADO oraz procesor muszą wspierać Inspektora w wypełnianiu przez niego zadań, o których mowa w art. 39 RODO, zapewniając mu zasoby niezbędne do ich realizacji oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej. Zapewnianie statusu inspektora Art. 38 ust. 3 RODO zapewnienie niezależności inspektora: ADO oraz procesor mają zapewnić aby Inspektor nie otrzymywał instrukcji dotyczących wykonywania swoich zadań Inspektor nie będzie mógł być odwoływany ani karany za wypełnianie swoich zadań Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu ADO lub procesora

10 Zapewnianie statusu inspektora Art. 38 ust. 4 6 RODO: Osoby, których dane dotyczą, mogą kontaktować się z Inspektorem we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO. Inspektor jest zobowiązany do zachowania tajemnicy lub poufności, co do wykonywania swoich zadań zgodnie z prawem UE lub prawem państwa członkowskiego. Inspektor może wykonywać inne zadania i obowiązki. ADO lub procesor zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów. Podawanie informacji o inspektorze Obowiązki informacyjne przy zbieraniu danych (art. 13 ust. 1 lit. b oraz art. 14 ust. 1 lit. b RODO): Podawanie danych kontaktowych do inspektora w klauzulach informacyjnych Rejestrowanieczynnościprzetwarzania danych (art. 30 ust. 1 lit. a oraz ust. 2 lit. a RODO): Podawanie imienia i nazwiska oraz danych kontaktowych do inspektora w rejestrach Zgłaszanienaruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 ust. 3 lit. b RODO): Podawanie imienia i nazwiska oraz danych kontaktowych do inspektora w zgłoszeniu

11 Podawanie informacji o inspektorze Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych (art. 34 ust. 2 RODO): Podawanieimieniai nazwiska oraz danych kontaktowych do inspektoraw zawiadomieniu Uprzednie konsultacjez organem nadzorczym (art. 36 ust. 3 lit. d RODO): Podawaniedanych kontaktowych do inspektorawe wniosku o konsultacje Wiążące reguły korporacyjne (art. 47 ust. 2 lit. h RODO): Określenie w regułach zadań inspektora dotyczących monitorowania przestrzegania wiążących reguł korporacyjnych w ramach grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą oraz monitorowania szkoleń i rozpatrywania skarg Główne zadanie inspektora Monitorowanie wewnętrznego przestrzegania wymogów RODO

12 Określanie zakresu zadań IODy Zadania główne IODy wynikające z art. 39 ust. 1 lit. a i b RODO: Informowanie na temat obowiązków ochrony danych wynikających z RODO Doradzanie w zakresie wypełniania obowiązków wynikających z RODO Monitorowanie przestrzegania przepisów RODO Określanie zakresu zadań IODy Pozostałe zadania IODy wynikające z Art. 39 ust. 1 lit. c e RODO: Udzielanie zaleceń dotyczących konieczności dokonywania oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO Współpraca z organem nadzorczym Pełnienie punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych, w tym: Sytuacje naruszenia ochrony danych (art. 33, 34) Uprzednie konsultacje (art. 36)

13 IOD a jako punkt kontaktowy dla podmiotów danych Realizacja uprawnienia osoby wynikającego z art. 38 ust. 4 nie wchodzi w zakres zadań IOD y określonych w art. 39 RODO Udział inspektora w realizacji praw osób, których dane dotyczą zapewnienie publikowania i podawania kontaktu do IODy Instrukcja rozpatrywania żądań podmiotów danych: Określenie roli IOD y Rodzaje uprawnień Współpraca IOD y z innymi komórkami organizacyjnymi ADO lub przetwarzającego Dodatkowe zadania IOD y Zgodnie z art. 38 ust. 6 RODO inspektor może wykonywać inne zadania i obowiązki. Zadania związane z ochroną danych osobowych Zadania niezwiązane z ochroną danych Dodatkowe zadania i obowiązki IODy nie mogą powodować konfliktu interesów w wykonywaniu jego funkcji. Przykłady możliwych do wykonywania zadań przez inspektora w odniesieniu do ochrony danych: Prowadzenie rejestrów czynności przetwarzania danych Prowadzenie dokumentacji Polityki ochrony danych Prowadzenie ewidencji naruszeń ochrony danych

14 Wykonywanie zadań IOD y z uwzględnianiem ryzyka Wymóg wykonywania zadań przez inspektora z uwzględnianiem ryzyka związanego z operacjami przetwarzania danych (art. 39 ust. 2 RODO) Udział IODy w procesie szacowania ryzyka wynikającego z art. 24, 25, 32, 35 RODO Monitorowanie ochrony danych w odniesieniu do ryzyka związanego z przetwarzaniem danych: Weryfikacja przez Inspektora realizacji planu postępowania z ryzykiem będącego wynikiem procesu szacowania ryzyka Procedury związane z funkcjonowaniem IOD y Informowanie o obowiązkach RODO i UODO Doradzanie -udział we wszystkich sprawach dotyczących przetwarzania i ochrony danych Monitorowanie bieżące oraz realizacja doraźnych i okresowych audytów zgodności z RODO i przyjętą przez ADO Polityką ochrony danych Kontaktowanie się z osobą, której dane dotyczą Kontaktowanie się z organem nadzorczym Udział w procesie zgłoszenia naruszenia ochrony danych osobowych Udział w ocenie skutków dla ochrony danych oraz uprzednich konsultacjach

15 Regulamin funkcji IOD y Cel wprowadzenia regulaminu inspektora: Dokładne określenie wykonywania obowiązków IOD y oraz jego odpowiedzialności Określenie sposobów unikania konfliktu interesów Zakres regulaminu: sposób wyznaczenia inspektora organizacja funkcji inspektora zasady publikacji informacji o inspektorze zapewnianie właściwego statusu inspektora szczegółowy zakres zadań inspektora uprawnienia inspektora służące do wykonywania jego zadań Utworzenie Zespołu IOD y Wytyczne Grupy Roboczej Art. 29 dotyczące funkcji inspektora ochrony danych (WP 243 rev. 1) wskazują możliwość utworzenia Zespołu IOD y: Pkt 2.3. Wyznaczenie jednego DPO dla wielu podmiotów Pkt 3.2. Niezbędne zasoby Kto powinien wejść do Zespołu IOD y?

16 Pierwsze doświadczenia w wykonywaniu funkcji IODy Projekt zmiany przepisów UODO w zakresie wyznaczenia zastępcy IODy Wyznaczenie zastępcy IOD y Brak konieczności lub możliwości wyznaczenia zastępców IOD y w RODO Projekt przepisów zmieniających UODO Art. 167 ust. 3 projektu przepisów o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO Propozycja dodania w UODO Art. 11a dotyczącego możliwość wyznaczenia osoby zastępującej inspektora w czasie jego nieobecności

17 Wyznaczenie zastępcy IODy projekt zmiany UODO Dodanie w UODO art. 11a 1: Podmiot, który wyznaczył inspektora, może wyznaczyć osobę zastępującą inspektora w czasie jego nieobecności, z uwzględnieniem kryteriów, o których mowa w art. 37 ust. 5 i 6 RODO. Wyznaczenie zastępcy IODy projekt zmiany UODO Dodanie w UODO art. 11a 2: W związku z wykonywaniem obowiązków inspektora w czasie jego nieobecności do osoby go zastępującej stosuje się odpowiednio przepisy dotyczące inspektora (art RODO)

18 Pierwsze doświadczenia w wykonywaniu funkcji IODy Wyznaczenie zastępcy IODy projekt zmiany UODO Dodanie w UODO art. 11a 3: Podmiot, który wyznaczył osobę zastępującą inspektora, zawiadamia Prezesa Urzędu o jego wyznaczeniu w trybie określonym w art. 10 oraz udostępnia jego dane zgodnie z art. 11 UODO. Dziękuję za uwagę!