Administrator Bezpieczeństwa Informacji ( aktualny stan prawny oraz propozycje przyszłych rozwiązań )



Podobne dokumenty
Administrator bezpieczeństwa informacji, urzędnik do spraw ochrony danych osobowych, inspektor ochrony danych analiza porównawcza. dr Grzegorz Sibiga

IDEA URZĘDNIKA OCHRONY DANYCH NA TLE HISTORYCZNYM

Planowany zakres nowelizacji ustawy o ochronie danych osobowych w 2012r. Maciej Byczkowski, Andrzej Rutkowski, Stefan Szyszko

Rola administratora bezpieczeństwa informacji w dyrektywie 95/46 oraz w prawodawstwie państw członkowskich UE. adw. dr Paweł Litwiński

Administrator Bezpieczeństwa informacji

Inspektor ds. ochrony danych osobowych na gruncie Rozporządzenia Parlamentu i Rady model docelowy. Agnieszka Ferens-Sosnowska

OD ADMINISTRATORA DO INSPEKTORA DEBATA NA TEMAT

20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

Data ProtectionOfficer(DPO) i administrator bezpieczeństwa informacji. Porównanie instytucji

Od 1 stycznia 2015 r. zaczęły obowiązywać znowelizowane przepisy ustawy o ochronie danych osobowych

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

Sz. P. Mariusz Haładyj Podsekretarz Stanu Ministerstwo Gospodarki

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

Radom, 13 kwietnia 2018r.

Ochrona danych osobowych w 2014/2015 Jak przygotować się na nowe przepisy?

KONFLIKT INTERESÓW PRZY POWIERZENIU DPO INNYCH ZADAŃ A NAKAZ WYKONYWANIA OBOWIĄZKÓW W SPOSÓB NIEZALEŻNY

WSPÓŁTWORZENIE NOWEGO SYSTEMU MONITOROWANIA PRZESTRZEGANIA PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH. Monika Młotkiewicz

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Przykład klauzul umownych dotyczących powierzenia przetwarzania

II Lubelski Konwent Informatyków i Administracji r.

Projektowane zmiany prawne statusu Administratora Bezpieczeństwa Informacji (ABI) dr Grzegorz Sibiga

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

Program szkolenia - Rejestracja i bezpieczeństwo danych osobowych

Instytucja administratora bezpieczeństwa informacji przy obecnie obowiązujących przepisach prawa Pytania, odpowiedzi, fakty i mity

Obowiązek powoływania Administratora Bezpieczeństwa Informacji

Magdalena Jacolik Mgr Prawa Europejskiego Aliant Krzyżowska Międzynarodowa Kancelaria Prawna

OCHRONA DANYCH OSOBOWYCH W PLACÓWKACH OŚWIATOWYCH. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z dnia 1 stycznia 2015 r.

Praktyczny kurs dla Administratora Bezpieczeństwa Informacji

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

Sz. P. Michał Serzycki Generalny Inspektor Ochrony Danych Osobowych.

Warszawa, 19 października 2016 Agnieszka Szydlik, adwokat, Wardyński & Wspólnicy Sylwia Paszek, radca prawny, Wardyński & Wspólnicy

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

Profesjonalny Administrator Bezpieczeństwa Informacji

Propozycje SABI w zakresie doprecyzowania statusu ABI

Pierwsze doświadczenia w wykonywaniu funkcji IODy

Umowa powierzenia przetwarzania danych osobowych do Umowy... zawarta w dniu... w..., pomiędzy:

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

NOWE ZASADY I OBOWIĄZKI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

Spis treści. Wykaz skrótów... Wprowadzenie...

Ochrona danych osobowych

MEMORANDUM INFORMACYJNE

NOWE ZASADY I OBOWIĄZKI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH OMÓWIENIE UNIJNEGO ROZPORZĄDZENIA (GDPR)

Ochrona danych osobowych w biurach rachunkowych

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

WARSZTATY PRZYGOTOWUJĄCE DO OBJĘCIA FUNKCJI ABI I ASI. NOWE ZADANIA - SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH.

Nowe przepisy i zasady ochrony danych osobowych

ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski

Sprawdzenie systemu ochrony danych

UNIJNA REFORMA OCHRONY DANYCH OSOBOWYCH (GDPR) I JEJ WPŁYW NA PRZETWARZANIE DANYCH W SEKTORZE PUBLICZNYM

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

PRELEGENT Przemek Frańczak Członek SIODO

Ochrona danych osobowych - przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami, przygotowanie się do zmian.

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Status prawny i obowiązki adwokata związane z przetwarzaniem danych osobowych w świetle ogólnego rozporządzenia o ochronie danych (RODO)

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

RODO, czyli co się zmieni oraz do czego (i jak) trzeba się przygotować.

Szkolenie. Funkcja Administratora Bezpieczeństwa Informacji po deregulacji. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

Załącznik Nr 4b Umowa powierzenia przetwarzania danych osobowych stanowiąca uzupełnienie Umowy Nr..

Polityka Ochrony Danych Osobowych. Magdalena Młynarczyk Lege Artis Biuro Obrotu Nieruchomościami

zwany w dalszej części umowy Podmiotem przetwarzającym lub Procesorem

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

NOWE OBOWIĄZKI DYREKTORA JAKO ADMINISTRATORA DANYCH OSOBOWYCH

Pozycja i zadania ABI w świetle reformy ochrony danych osobowych

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI. zadania: przepisami; Nowe kompetencje GIODO: Administratora danych; Przekazywanie danych do państw trzecich:

SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH NOWE ZADANIA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI ORAZ OMÓWIENIE

Lp. Zgłoszona uwaga do paragrafu rozporządzenia Zgłaszający Stanowisko. Ad. 3. ust. 2 pkt. 1 i 2

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Art. 36a - Ustawa o ochronie danych osobowych (Dz. U r. poz. 922 z późn. zm.)

Czas trwania szkolenia- 1 DZIEŃ

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

NOWE UJĘCIE OCHRONY DANYCH OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

Uchwała wchodzi w życie z dniem uchwalenia.

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

Ochrona danych osobowych w służbie zdrowia

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta. Koszt szkolenia: 1790.

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

RODO w firmie transportowej RADCA PRAWNY PAWEŁ JUDEK

OCHRONA DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH W PLACÓWKACH OŚWIATOWYCH praktyczny poradnik wzory dokumentów. (z suplementem elektronicznym)

Umowa powierzenia danych

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

Nowe wyzwania dla systemów IT, w kontekście planowanych zmian w ustawodawstwie

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu... pomiędzy zwana dalej Przetwarzającym

Załącznik Nr 4 do Umowy nr.

KRAJOWA KONFERENCJA OCHRONY DANYCH OSOBOWYCH

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

wraz z wzorami wymaganej prawem dokumentacją

Ustawa o ochronie danych osobowych po zmianach

OCHRONA DANYCH OSOBOWYCH W ORGANIZACJI POZARZĄDOWEJ

Transkrypt:

Administrator Bezpieczeństwa Informacji ( aktualny stan prawny oraz propozycje przyszłych rozwiązań ) Administrator bezpieczeństwa informacji ( w skrócie zwany ABI ) jest instytucją wywodzącą się bezpośrednio z Dyrektywy 95/46WE z dnia 24 października 1995 roku w sprawie ochrony danych osobowych i swobodnego przepływu tych danych. Czy implementowany przepis z Dyrektywy stanowiący zapis w art. 36 ust. 3 ustawy o ochronie danych osobowych stanowi konstrukcję tej instytucji? Odpowiedz jest jednoznaczna nie. Konstrukcja zapisana w Dyrektywie wykazuje istotny związek powołania tej instytucji z obowiązkiem rejestracji zbiorów danych osobowych w organie nadzorczym. Państwa członkowskie UE mogą wprowadzić uproszczony sposób rejestracji zbiorów danych osobowych lub ustanowić zwolnienie z obowiązku zgłoszenia zbioru danych do rejestracji, jeżeli administrator danych powoła urzędnika do spraw ochrony danych osobowych, odpowiedzialnego między innymi za zapewnienie w niezależny sposób stosowania w podmiocie danego administratora przepisów ochrony danych osobowych. Urzędnik ten jest również odpowiedzialny za prowadzenie rejestru operacji przetwarzania danych. Zapis znajdujący się w motywie 49 preambuły Dyrektywy 95/46/WE brzmi następującą : w celu uniknięcia zbędnych formalności Państwa Członkowskie mogą wprowadzić zwolnienia z obowiązku zawiadamiania oraz uproszczenia procedury w przypadkach gdy mało prawdopodobne jest, aby przetwarzanie danych mogło niekorzystnie wpłynąć na prawa i wolności osób których dane dotyczą, jeżeli jest to zgodne ze środkiem podjętym przez Państwa Członkowskie określającym jego zakres. Państwa Członkowskie mogą również wprowadzić zwolnienia i uproszczenia w przypadku gdy osoba wyznaczona przez administratora zapewni, że przetwarzanie danych nie wpłynie niekorzystnie na prawa i wolności osób których dane dotyczą. Urzędnik odpowiedzialny za ochronę danych będący lub nie będący pracownikiem administratora danych, musi mieć możliwość wykonywania swoich czynności w sposób całkowicie niezależny. Powyżej przedstawione intencje znajdują swój wyraz w zapisach art. 18 Dyrektywy. Przyjęta w Dyrektywie konstrukcja urzędnika ochrony danych została wprowadzona w większości porządków prawnych Państw 1

Członkowskich UE. Rozwiązaniem modelowym może być przyjęta konstrukcja tego urzędnika w ustawodawstwie w Holandii. Według tego rozwiązania urzędnikiem ochrony danych może być osoba legitymująca się odpowiednią wiedzą i dająca rękojmie należytego wykonania tego zadania. Jednym z podstawowych nakazów wynikającym z tej ustawy jest zapewnienie powołanemu przez Administratora Danych Osobowych ( ADO ) urzędnikowi, odpowiedniej niezależnej pozycji. Ponadto powołany urzędnik do spraw ochrony danych nie może być, przy wykonywaniu swych funkcji, narażony na negatywne konsekwencje swoich działań. Godnym naśladowania jest niemieckie rozwiązanie pozycji urzędnika do spraw ochrony danych zawarte w ich ustawodawstwie ( Bundesdatenschutzgesetz ). Przepisami ustawy nałożony został na niektóre podmioty obowiązek ustanowienia urzędnika ochrony danych. Obowiązek ten dotyczy podmiotów które zbierają, przetwarzają lub wykorzystują dane osobowe w sposób zautomatyzowany. W przepisach ustawy niemieckiej dokonany został podział na podmioty prywatne i publiczne. Obowiązek ustanowienia urzędnika do spraw ochrony danych istnieje nawet wtedy, gdy podmiot ten przetwarza dane przy użyciu tradycyjnych metod w przypadku przetwarzania danych z udziałem więcej niż 20 osób. Pierwszoplanowym zadaniem urzędnika w niemieckim systemie prawnym jest podejmowanie działań zapewniających przestrzeganie przepisów o ochronie danych osobowych w działalności danego podmiotu. Kierując się zapisami Dyrektywy ustanowienie tego urzędnika skutkuje zwolnieniem ADO z obowiązku rejestracji zbiorów danych osobowych zawierających dane zwykłe. Przy przetwarzaniu danych zawierających dane wrażliwe ADO zwolniony został z obowiązku wypełnienia przed zarejestrowaniem zbioru dokonania tzw. uprzedniej kontroli. W rozwiązaniach niemieckich dopuszczono również niespotykany wśród Państw UE sposób korzystania z zewnętrznych usług urzędnika do spraw ochrony danych osobowych tzw. outsourcing. Podmioty publiczne jeżeli zamierzają korzystać z firm zewnętrznych przy powierzeniu wykonywania funkcji ochrony danych, muszą uzyskać zgodę organu ochrony danych. W polskiej ustawie ochrony danych stanowiącej implementację Dyrektywy umożliwiono powołanie funkcji administratora Bezpieczeństwa Informacji. We wręcz lakonicznych zapisach art. 36 2

ust. 3 zapisano : Administrator danych wyznacza administratora bezpieczeństwa informacji nadzorującego przestrzeganie zasad ochrony, o którym mowa w art.1, chyba że sam wykonuje te czynności. Ten zapis odnosi się do zapisu ust.1 tegoż artykułu w którym wymienione są obowiązki administratora danych osobowych w zakresie zapewnienia bezpieczeństwa ochrony przetwarzanym danym osobowym. Zamieszczenie regulacji w zakresie powołania przedmiotowego urzędnika w Rozdziale 5 Ustawy, dotyczącym zabezpieczenia danych osobowych, daję podstawę sądzić iż nie jest to konstrukcja tożsama z jej wzorem z Dyrektywy 95/46WE. W Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca1998 roku w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny opowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych w 3 uprawniono administratora danych do wyznaczenia osoby, zwaną administratorem bezpieczeństwa informacji która jest odpowiedzialna za bezpieczeństwo danych osobowych w systemie informatycznym. W szczególności osoba ta jest odpowiedzialna za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń. Zapisy te w wyraźny sposób ustalają że administratorem bezpieczeństwa informacji może być osoba fizyczna wyznaczona przez administratora danych. Jej zakres uprawnień też jest wskazany precyzyjnie a odnosi się tylko do zapewnienia bezpieczeństwa przetwarzanych danych w systemie informatycznym. Zapisy tych uprawnień nie są tożsame w żaden sposób z zapisami uprawnień urzędnika do spraw ochrony danych zawarte w art. 18 Dyrektywy 95/46WE. Według Dyrektywy podstawowym obowiązkiem tego urzędnika jest zapewnienie w niezależny sposób wewnętrznego stosowania przepisów prawa krajowego przyjętych na podstawie implementacji niniejszej Dyrektywy. W art. 14 tegoż Rozporządzenia wskazano również iż ABI jest odpowiedzialny za właściwy nadzór nad systemem informatycznym przetwarzającym dane osobowe. W doktrynie pojawiły się uwagi krytyczne do utworzenia takiej funkcji w przepisach rozporządzenia a nie aktu ustawowego. Między innymi z takiego powodu w nowelizacji ustawy o ochronie danych osobowych 3

dokonanej w 2004 roku wprowadzono w art. 36 w ustępie 3, dający możliwość wyznaczenia administratora bezpieczeństwa informacji, który będzie w jego imieniu wykonywał obowiązki zawarte w art. 36 ust. 1 tego przepisu. Dosyć nieczytelnym jest zapis w przedmiotowym przepisie który mówi iż ADO wyznacza administratora bezpieczeństwa informacji, chyba że sam wykonuje te czynności. Wydaje się być trafna teza podejmowana w doktrynie iż jeżeli nie nastąpiło przez ADO wyznaczenie ABI-ego i jeżeli nie ma oświadczenia ADO o jego wypełnianiu przepisami ustawy wyznaczonych obowiązków, to w tej sytuacji powinno nastąpić zakazanie przetwarzania danych osobowych. W orzecznictwie przypadek taki nie miał jeszcze zdarzenia ( zakazanie przetwarzania danych ). W stosowanej praktyce wyznaczania administratora bezpieczeństwa informacji nasuwa się wiele pytań i wątpliwości. Samo określenie wyznacza może budzić szereg niejasności. Interpretacja tej czynności w świetle jej roli jaką ma pełnić w podmiocie przetwarzającym dane sugeruje iż powinien to być ktoś z podległych ADO pracowników zatrudnionych na podstawie umowy o pracę czy na podstawie innego stosunku cywilno prawnego np. umowy zlecenia czy umowy o dzieło.w każdym przypadku winna to być osoba fizyczna. Nasuwa się, z tak pojętego interpretowania tego określenia wyznaczanie, wątpliwość, czy dosyć często w praktyce stosowany tzw. outsourcing jest w świetle prawa zasadny. Według autorów Komentarza P. Barta i P. Litwińskiego ( a także oficjalnej interpretacji GIODO ) nie ma przeszkód aby w praktyce stosować w tej formie wyznaczanie osoby sprawującej funkcje ABI ego. W praktyce dotyczy to osób prowadzących jednoosobową działalność gospodarczą. Według autorów wspomnianego Komentarza umowa wyznaczająca ABI-ego winna wskazywać imię i nazwisko osoby, która będzie wykonywała obowiązki administratora bezpieczeństwa informacji.jednak samo wyznaczenie nie stanowi podstawy prawnej nawiązania stosunku z danym podmiotem gospodarczym. Czyli winna być uprzednio zawarta umowa cywilno - prawna pomiędzy takimi stronami. Konstrukcja ta budzi szereg uzasadnionych wątpliwości. Wątpliwości te pogłębia jeszcze fakt gdyż przepisy ustawy tej sprawy nie regulują. Innym trudnym do wyjaśnienia problemem jest sytuacja gdy wielodziałowy światowy koncern nie 4

powołał administratora bezpieczeństwa informacji w swoim oddziale w Polsce. Spór ten pomiędzy GIODO a podmiotem prowadzącym swoją działalność w Polsce zawisł w sądzie administracyjnym. Świadczy to o niewątpliwie nieprecyzyjnym zapisie w przepisach art. 36 ust. 3 ustawy o ochronie danych osobowych dotyczącym wyznaczenia praz ADO, administratora bezpieczeństwa informacji. Należy również zwrócić uwagę iż w ustawie o działalności Centralnego Biura Antykorupcyjnego powołano urzędnika do spraw ochrony danych osobowych. Został nim pracownik Biura którego można odwołać tylko za zgodą Premiera. Szef CBA składa raz w roku sprawozdanie ze stanu ochrony danych osobowych dla Premiera RP, Generalnego Inspektora Ochrony Danych i Komisji Sejmowej. W ramach inicjatywy deregulacyjnej Minister Gospodarki z inicjatywy środowisk zrzeszających administratorów bezpieczeństwa informacji oraz w konsultacji z GIODO, podjął działania na rzecz nowelizacji ustawy o ochronie danych osobowych. Nowe propozycje zmierzają do takiej konstrukcji administratora bezpieczeństwa informacji aby wypełniała ona zapisy Dyrektywy 95/46WE. W proponowanych zapisach nowelizacji proponuje się możliwość powołania przez administratora danych osobowych administratora bezpieczeństwa informacji. Do nowych zadań administratora bezpieczeństwa informacji należy zapewnienie przestrzegania przepisów o ochronie danych osobowych oraz prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez danego administratora. Administrator bezpieczeństwa informacji musi między innymi posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych. Podlega on bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych osobowych. ADO jest zwolniony z rejestracji danych zwykłych w przypadku powołania ABI. Przepisy te stanowią prawidłową implementacje przepisów Dyrektywy 46/95 w ustawie ochrony danych osobowych. Prace legislacyjne przy tej nowelizacji mogą zakończyć się w niedługim okresie przed uchwaleniem przez Parlament Europejski i Radę Rozporządzenia regulującego ochronę danych osobowych jednolicie w całej Unii Europejskiej. 5

Jesteśmy w trakcie konsultacji projektu Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Nowe europejskie przepisy wprowadzają jednolite prawo w tym przedmiocie we wszystkich Państwach Członkowskich UE. Już w Preambule Rozporządzenia, w motywie 75 jest zawarta główna myśl i zasady powołania przez administratora danych, urzędnika do spraw ochrony danych osobowych. Zapis ten brzmi : Jeśli przetwarzanie odbywa się w sektorze publicznym lub jeśli przetwarzanie w sektorze gospodarczym prowadzi duże przedsiębiorstwo, lub jeśli główna działalność przedsiębiorstwa, niezależnie od jego wielkości, obejmuje operacje przetwarzania, które wymagają regularnego i systematycznego monitorowania, osoba trzecia powinna wspomagać administratora lub podmiot przetwarzający w monitorowaniu zgodności na poziomie wewnętrznym z niniejszym rozporządzeniem. Taki inspektor ochrony danych, który może być pracownikiem administratora danych, powinien być stanie niezależnie wykonywać swoje obowiązki i zadania. W przepisach rozporządzenia sekcja 4 jest poświęcona inspektorowi ochrony danych. W art. 35 nakreślono zasady wyznaczania urzędnika ochrony danych. Wyznaczony urzędnik ( inspektor) ochrony danych musi posiadać odpowiednie kwalifikacje zawodowe oraz wiedzę specjalistyczną z zakresu ochrony danych, praktykę i zdolności do wykonywania prawem mu przepisanych zadań. Inspektor musi mieć gwarancję, by inne jego obowiązki zawodowe były zgodne z zadaniami i obowiązkami wykonywania przez niego funkcji ochrony danych osobowych, a w szczególności by nie skutkowały one konfliktem interesów. W przepisach określono iż inspektor ochrony danych powinien być wyznaczany na co najmniej 2 lata z możliwością wyznaczenia go na kolejne kadencje. Zawarte są w tym przepisie ograniczenia w jego odwołaniu. Inspektora można odwołać w czasie trwania kadencji jedynie wtedy, gdy przestał spełniać warunki niezbędne do pełnienia przez niego obowiązków. Przepis również stwierdza iż inspektor ochrony danych może być zatrudniony przez administratora danych lub podmiot przetwarzający lub wykonywać swoje zadania na podstawie umowy o świadczenie usług. Nasuwa się, podobnie do sytuacji w aktualnym stanie prawa, pytanie czy musi to być osoba fizyczna. W sytuacji osoby 6

zatrudnionej u ADO to nie ma wątpliwości, a jeżeli to podmiot gospodarczy wykonujący tę usługę na podstawie umowy cywilnoprawnej? Czy zawsze będzie w Polsce obowiązywało rozwiązanie polegające na prowadzeniu działalności gospodarczej przez osobę fizyczną? Przymus że musi to być osoba fizyczna uzasadnia ponoszenie odpowiedzialności karnej za naruszenie przepisów ustawowych. A jeżeli odpowiedzialność karna będzie zastąpiona przez sankcje administracyjne to wymóg wyznaczenia do wypełniania tej funkcji tylko i wyłącznie przez osobę fizyczną nie wydaje się konieczny. Przepis ustępu 2 art.35 rozporządzenia w sposób jednoznaczny rozstrzyga ten spór gdyż narzuca obowiązek aby administrator lub podmiot przetwarzający informują organ nadzorczy oraz opinie publiczną o imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych. Można domniemywać iż w projekcie Rozporządzenia przewiduje się iż funkcje inspektora ochrony danych winna spełniać osoba fizyczna związana z administratorem danych umową cywilno - prawną. Dalsze przepisy nakładają na administratora danych obowiązek dopilnowania aby inspektor ochrony danych wykonywał swoje obowiązki i zadania niezależnie i nie otrzymywał żadnych poleceń dotyczących pełnienia swoich funkcji oraz aby podlegał bezpośrednio kierownictwu administratora lub podmiotu przetwarzającego. Podstawowe zadania inspektora ochrony danych przepisy rozporządzenia określają w sposób następujący : - informowanie administratora o jego obowiązkach wynikających z niniejszego rozporządzenia oraz dokumentowanie tej działalności i uzyskiwanych odpowiedzi ; - monitorowanie wykonania i stosowania polityk administratora w zakresie ochrony danych osobowych, w tym przydział obowiązków, szkolenie personelu zaangażowanego w operacje przetwarzania oraz powiązane kontrole ; - monitorowanie wykonania i stosowania przepisów rozporządzenia, w szczególności jeśli chodzi o wymogi uwzględnienia ochrony danych już w fazie projektowania, ochrony danych jako opcji domyślnej i bezpieczeństwa danych oraz informowania podmiotów danych, a także wniosków w ramach wykonywania praw przysługujących im na mocy rozporządzenia ; 7

- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem oraz zasięganie opinii organu nadzorczego, z inicjatywy inspektora ochrony danych. Określone rozporządzeniem zadania inspektora ochrony dany w sposób jednoznaczny określają kierunkowo jego wykształcenie jako prawnicze oraz stawiają na wysokim poziomie jego wiedzę dotyczącą ochrony i przetwarzania danych osobowych. Przepisy rozporządzenia przewidują, iż w przypadku złamania przepisów dotyczących nie wskazania Urzędnika do spraw ochrony danych, nie zapewnienia mu warunków umożliwiających wykonywanie jego zadań ( art. 35, 36 i 37 Rozporządzenia ), instytucja nadzorująca może nałożyć karę w wysokości do 1000000EUR lub do 2% rocznego obrotu danego podmiotu. Konsultacje wśród Państw Członkowskich UE przebiegają z dużą aktywnością szczególnie w różnych środowiskach oddziaływania. Najwięcej wątpliwości i uwag odnosi się między innymi do obowiązku powoływania urzędnika do spraw ochrona danych. Wśród Państw Członkowskich pojawiają się stanowiska aby wyznaczanie inspektora ochrony danych było fakultatywne. Część podmiotów konsultujących uważa aby obowiązek wyznaczenia inspektora ochrony danych dotyczył tylko podmiotów publicznych. Według mojej opinii najwłaściwszym byłoby przyjęcie rozwiązania jakie jest stosowane w Niemczech. Według niemieckiego prawa o ochronie danych osobowych ( federalna ustawa z 27.1.1977) zasadą jest obowiązek wyznaczenia urzędnika ochrony danych przez podmioty, które przetwarzają dane osobowe w sposób zautomatyzowany. Podmioty publiczne mają obowiązek wyznaczenia tego urzędnika a podmioty prywatne także wtedy gdy przetwarzanie danych odbywa się przy wykorzystaniu środków tradycyjnych przetwarzania z udziałem więcej niż 20 pracowników ( P. Barta, P. Litwiński Komentarz Ustawa O ochronie danych osobowych ). Andrzej Lewiński prawnik radca prawny Zastępca GIODO 8

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres