IDEA URZĘDNIKA OCHRONY DANYCH NA TLE HISTORYCZNYM

Podobne dokumenty
Administrator Bezpieczeństwa Informacji ( aktualny stan prawny oraz propozycje przyszłych rozwiązań )

Rola administratora bezpieczeństwa informacji w dyrektywie 95/46 oraz w prawodawstwie państw członkowskich UE. adw. dr Paweł Litwiński

Administrator bezpieczeństwa informacji, urzędnik do spraw ochrony danych osobowych, inspektor ochrony danych analiza porównawcza. dr Grzegorz Sibiga

Data ProtectionOfficer(DPO) i administrator bezpieczeństwa informacji. Porównanie instytucji

20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

WSPÓŁTWORZENIE NOWEGO SYSTEMU MONITOROWANIA PRZESTRZEGANIA PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH. Monika Młotkiewicz

Od 1 stycznia 2015 r. zaczęły obowiązywać znowelizowane przepisy ustawy o ochronie danych osobowych

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski

Projektowane zmiany prawne statusu Administratora Bezpieczeństwa Informacji (ABI) dr Grzegorz Sibiga

Sz. P. Mariusz Haładyj Podsekretarz Stanu Ministerstwo Gospodarki

Nowy status i zakres obowiązków administratora bezpieczeństwa informacji Andrzej Kaczmarek. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Administrator Bezpieczeństwa informacji

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

Sz. P. Michał Serzycki Generalny Inspektor Ochrony Danych Osobowych.

Przykład klauzul umownych dotyczących powierzenia przetwarzania

Propozycje SABI w zakresie doprecyzowania statusu ABI

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

OGÓLNOKRAJOWY REJESTR ADMINISTRATORÓW BEZPIECZEŃSTWA INFORMACJI

Pierwsze doświadczenia w wykonywaniu funkcji IODy

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Opinia 18/2018. w sprawie projektu wykazu sporządzonego przez właściwy portugalski organ nadzorczy. dotyczącego

Obowiązek powoływania Administratora Bezpieczeństwa Informacji

Ustawa o ochronie danych osobowych po zmianach

KONFLIKT INTERESÓW PRZY POWIERZENIU DPO INNYCH ZADAŃ A NAKAZ WYKONYWANIA OBOWIĄZKÓW W SPOSÓB NIEZALEŻNY

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

Załącznik nr 4 POLITYKA OCHRONY PRYWATNOŚCI. Artykuł 1. Zasada ochrony prywatności

KONFERENCJA SIODO PRZYPADKI"

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Szkolenie. Funkcja Administratora Bezpieczeństwa Informacji po deregulacji. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

Opinia 3/2018. w sprawie projektu wykazu sporządzonego przez właściwy bułgarski organ nadzorczy. dotyczącego

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

Opinia 5/2018. w sprawie projektu wykazu sporządzonego przez właściwe niemieckie organy nadzorcze. dotyczącego

Ochrona danych osobowych

przyjęta 4 grudnia 2018 r. Tekst przyjęty

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY W NOWYM PROJEKCIE KODEKSU PRACY. r.pr. Patrycja Kozik

Opinia 17/2018. w sprawie projektu wykazu sporządzonego przez właściwy polski organ nadzorczy. dotyczącego

UNIJNA REFORMA OCHRONY DANYCH OSOBOWYCH (GDPR) I JEJ WPŁYW NA PRZETWARZANIE DANYCH W SEKTORZE PUBLICZNYM

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

Planowany zakres nowelizacji ustawy o ochronie danych osobowych w 2012r. Maciej Byczkowski, Andrzej Rutkowski, Stefan Szyszko

przyjęta 4 grudnia 2018 r. Tekst przyjęty

Nowe przepisy i zasady ochrony danych osobowych

Umowa powierzenia przetwarzania danych osobowych,

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

KRAJOWA KONFERENCJA OCHRONY DANYCH OSOBOWYCH

Program szkolenia - Rejestracja i bezpieczeństwo danych osobowych

Opinia 4/2018. w sprawie projektu wykazu sporządzonego przez właściwy czeski organ nadzorczy. dotyczącego

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

Opinia 9/2018. w sprawie projektu wykazu sporządzonego przez właściwy francuski organ nadzorczy. dotyczącego

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

II Lubelski Konwent Informatyków i Administracji r.

Opinia 12/2018. dotyczącego. rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych (art. 35 ust.

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Zmiany w ustawie o ochronie danych osobowych

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

Instytucja administratora bezpieczeństwa informacji przy obecnie obowiązujących przepisach prawa Pytania, odpowiedzi, fakty i mity

Ochrona danych osobowych - przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami, przygotowanie się do zmian.

OCHRONA DANYCH OSOBOWYCH W PLACÓWKACH OŚWIATOWYCH. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z dnia 1 stycznia 2015 r.

Prawne ograniczenia dotyczące zautomatyzowanego podejmowania decyzji

ZAŁĄCZNIK SPROSTOWANIE

OD ADMINISTRATORA DO INSPEKTORA DEBATA NA TEMAT

przyjęta 12 marca 2019 r. Tekst przyjęty 1

Załącznik Nr 4 do Umowy nr.

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

NOWE UJĘCIE OCHRONY DANYCH OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

Praktyczny kurs dla Administratora Bezpieczeństwa Informacji

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

WARSZTATY PRZYGOTOWUJĄCE DO OBJĘCIA FUNKCJI ABI I ASI. NOWE ZADANIA - SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu... pomiędzy zwana dalej Przetwarzającym

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu 2019 r. w Namysłowie zwana dalej Umową, pomiędzy:

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. nr./2018

BIURO OCHRONY DANYCH OSOBOWYCH BODO24 KURS RODO

NOWE ZASADY I OBOWIĄZKI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

Uchwała wchodzi w życie z dniem uchwalenia.

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI. zadania: przepisami; Nowe kompetencje GIODO: Administratora danych; Przekazywanie danych do państw trzecich:

Rozwijanie zdolności instytucjonalnych celem skutecznego zarządzania bezpieczeństwem ruchu drogowego w Polsce. Sekretariat Krajowej Rady BRD

NOWE ZASADY I OBOWIĄZKI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH OMÓWIENIE UNIJNEGO ROZPORZĄDZENIA (GDPR)

Umowa powierzenia przetwarzania danych osobowych Nr.. zawarta dnia 2019 pomiędzy: Powiatem Kędzierzyńsko-Kozielskim NIP , REGON

PRELEGENT Przemek Frańczak Członek SIODO

MEMORANDUM INFORMACYJNE

Ochrona danych osobowych w biurach rachunkowych

Umowa powierzenia przetwarzania danych osobowych. zwana dalej Umową, zawarta w Warszawie w dniu.., pomiędzy:

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki Warszawa, dnia 25 czerwca 2010 r. DOLiS /10

Spis treści Autorzy... Słowo wstępne... Wykaz skrótów... Wykaz literatury... Rozdział I. Zasada jawności i jej ograniczenia w demokratycznym państwie

Umowa powierzenia przetwarzania danych osobowych. zawarta dnia.. roku pomiędzy: (zwana dalej Umową )

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) NR

Transkrypt:

IDEA URZĘDNIKA OCHRONY DANYCH NA TLE HISTORYCZNYM Andrzej Lewiński Zastępca Generalnego Inspektora Ochrony Danych Osobowych Warszawa, 22 października 2015 r. Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa kancelaria@giodo.gov.pl

Administrator Bezpieczeństwa Informacji (w skrócie zwany ABI) jest instytucją wywodzącą się bezpośrednio z dyrektywy 95/46WE z dnia 24 października 1995 roku w sprawie ochrony danych osobowych i swobodnego przepływu tych danych. -

Czy implementowany przepis z tej dyrektywy stanowiący zapis w art. 36 ust. 3 ustawy (poprzedniej treści) o ochronie danych osobowych stanowi konstrukcję prawną tej instytucji? Odpowiedz jest jednoznaczna nie. Konstrukcja zapisana w dyrektywie wykazuje istotny związek powołania tej instytucji z obowiązkiem rejestracji w organie nadzorczym, zbiorów danych osobowych.

Zapis znajdujący się w motywie 49 preambuły Dyrektywy brzmi następująco: w celu uniknięcia zbędnych formalności Państwa Członkowskie mogą wprowadzić zwolnienia z obowiązku zawiadamiania oraz uproszczenia procedury zawiadamiania w przypadkach gdy mało prawdopodobne jest, aby przetwarzanie danych mogło niekorzystnie wpłynąć na prawa i wolności osób których dane dotyczą, jeżeli jest to zgodne ze środkiem podjętym przez Państwa Członkowskie określającym jego zakres. Państwa Członkowskie mogą również wprowadzić zwolnienia i uproszczenia w przypadku gdy osoba wyznaczona przez administratora zapewni, że przetwarzanie danych nie wpłynie niekorzystnie na prawa i wolności osób których dane dotyczą. Urzędnik odpowiedzialny za ochronę danych będący lub nie będący pracownikiem administratora danych, musi mieć możliwość wykonywania swoich czynności w sposób całkowicie niezależny.

Powyżej przedstawione intencje znajdują swój wyraz w zapisach art. 18 Dyrektywy. Przyjęta w Dyrektywie konstrukcja urzędnika ochrony danych została wprowadzona w większości porządków prawnych Państw Członkowskich UE. Rozwiązaniem modelowym może być przyjęta konstrukcja tego urzędnika w ustawodawstwie w Holandii. Według tego rozwiązania urzędnikiem ochrony danych może być osoba legitymująca się odpowiednią wiedzą i dająca rękojmie należytego wykonania tego zadania. Jednym z podstawowych nakazów wynikającym z tej ustawy jest zapewnienie powołanemu przez ADO urzędnikowi, odpowiedniej niezależnej pozycji.

Ponadto powołany urzędnik do spraw ochrony danych nie może być, przy wykonywaniu swych funkcji, narażony na negatywne konsekwencje swoich działań.

Godnym naśladowania jest niemieckie rozwiązanie pozycji urzędnika do spraw ochrony danych zawarte w ich ustawodawstwie (Bundesdatenschutzgesetz). Przepisami ustawy nałożony został na większość podmiotów obowiązek ustanowienia urzędnika ochrony danych. Obowiązek ten dotyczy podmiotów które zbierają, przetwarzają lub wykorzystują dane osobowe w sposób zautomatyzowany. W przepisach ustawy niemieckiej dokonany został podział na podmioty prywatne i publiczne. Obowiązek ustanowienia urzędnika do spraw ochrony danych istnieje nawet wtedy, gdy podmiot ten przetwarza dane przy użyciu tradycyjnych metod, w przypadku przetwarzania danych z udziałem więcej niż 4 osób.

Pierwszoplanowym zadaniem urzędnika w niemieckim systemie prawnym jest podejmowanie działań zapewniających przestrzeganie przepisów o ochronie danych osobowych w działalności danego podmiotu. Kierując się zapisami Dyrektywy ustanowienie tego urzędnika skutkuje zwolnieniem ADO z obowiązku rejestracji zbiorów danych osobowych zawierających dane zwykłe. Przy przetwarzaniu danych zawierających dane wrażliwe ADO zwolniony został z obowiązku wypełnienia przed zarejestrowaniem zbioru dokonania tzw. uprzedniej kontroli.

W rozwiązaniach niemieckich dopuszczono również niespotykany wśród Państw Członkowskich UE sposób korzystania z zewnętrznych usług urzędnika do spraw ochrony danych osobowych tzw. outsourcing. Podmioty publiczne jeżeli zamierzają korzystać z firm zewnętrznych przy powierzeniu wykonywania funkcji ochrony danych, muszą uzyskać zgodę organu ochrony danych.

W Sprawozdaniu Grupy Roboczej art. 29 dyrektywy 95/46/WE (1227/05/FR) w sprawie obowiązku zgłaszania zbiorów do krajowego organu nadzoru, w sprawie lepszego stosowania zwolnień i uproszczonych procedur oraz w sprawie zadań urzędnika do spraw ochrony danych w Unii Europejskiej przyjętego 18 stycznia 2005 r. wskazano na istotną rolę powołanego urzędnika do spraw ochrony danych w procesie wdrażania dyrektywy. Uznane zostało iż powołani urzędnicy do spraw ochrony danych znacznie przyczynili się do znaczących sukcesów w tych państwach do wzrostu poziomu ochrony danych osobowych.

Zgodnie z ogólną zasadą dyrektywy o ochronie danych osobowych, obowiązek zgłaszania zbiorów do rejestracji przez organ nadzorczy jest obowiązkiem wszystkich administratorów danych. Od tej zasady dyrektywa przewidziała omawiane wyjątki. Dyrektywa, przewiduje jednak znaczne zwolnienia od obowiązku notyfikacji pewnych rodzajów zbiorów wprowadzane indywidualnie w znacznej części państw członkowskich. W przepisach dyrektywy, w punkcie 49 preambuły do dyrektywy, wskazano że państwa członkowskie mają możliwość zwolnienia administratorów danych z obowiązku zgłoszenia do rejestracji w celu uniknięcia nadmiernych formalności administracyjnych, o ile taki zbiór danych nie stanowi zagrożenia dla praw i wolności osób, których dane dotyczą.

Zdecydowana większość Państw Członkowskich wykorzystując odpowiednie przepisy Dyrektywy wprowadziły określone zwolnienia niektórych kategorii danych z obowiązku rejestracji. Przykładowo można wymienić zastosowanie takich rozwiązań jak wprowadzenie krótkich katalogów danych w ustawie implementującej w Austrii czy Polsce (przepisy art. 43 u.o.d.o.) do złożonych systemów odsyłających w Danii czy Finlandii oraz zastosowania długich list, przyjęte w ustawodawstwie uzupełniającym takich jak dekrety, rozporządzenia lub zarządzenia wydawane przez same organy do spraw ochrony danych w Holandii. Szwecji, Belgii czy Francji.

W Szwecji ustawodawstwo ochrony danych wprowadzone zostało już w 1973 r. Opierało się ono na systemie, w którym podmioty, które tworzyły lub używały skomputeryzowanych zbiorów danych osobowych mieli obowiązek zgłosić je do Rady Inspekcji Danych ( szwedzki organ nadzoru) w celu otrzymania licencji. W wielu też przypadkach wymagana była kontrola wstępna i wydawanie zezwoleń od Rady Inspekcji. Po wielu latach obowiązywania tego systemu, władze Szwecji uznały iż ci co podporządkowali się wymogom i dokonują zgłoszeń zbiorów są tymi co i tak wykazują najwyższy poziom ochrony danych. W nowelizacji przepisów przedstawionych przez rząd w 1998 r. ( czyli 25 lat funkcjonowania dotychczasowych przepisów) wprowadzono ogólną zasadę zniesienia rejestracji i licencji.

(SZWECJA C.D.) Rolę organu nadzoru sprowadzono między innymi do udzielania porad, szerokiej edukacji dotyczącej uwrażliwiania na stosowanie zasad ochrony danych. Dotyczyło to jednak tylko tej części zbiorów danych obejmujących tzw. dane zwykłe. Szwecja generalnie zwalnia z obowiązku zgłoszenia operacje przetwarzania danych, które nie stanowią zagrożenia dla osób, których dane dotyczą. Zgodnie z obowiązują w Szwecji ustawą, rząd lub organ przez niego wskazany (Rada Inspekcji Danych) mogą opracować przepis ( regulamin) dotyczący zwolnień od obowiązku zgłaszania operacji przetwarzania danych nie stanowiących zagrożenia dla osób, których dane dotyczą. Rząd upoważnił Radę Inspekcji do wydawania zarządzeń w sprawie zwolnień od obowiązku zgłaszania zbiorów nie stanowiących zagrożenia dla osób, których dane dotyczą. Rada Inspekcji takie przepisy zawarła w odpowiednich artykułach swojego statutu.

W wielu Państwach Członkowskich podjęto inicjatywy aby wyłączyć z obowiązku zgłaszania bieżącą działalność gospodarczą i inne działalności o ile zezwala na to dyrektywa.

(HOLANDIA) Holandia należy do takich państw które wprowadziły bardzo obszerny katalog zwolnień i znaczących uproszczeń procedur. Samo wprowadzanie zwolnień i uproszczenie procedur nie stanowiło jednak skutecznej formy na odformalizowanie i przejrzystość przetwarzania zbiorów danych Holenderskie prawo stanowiło (według stanu na rok 2005), że : administrator danych lub organizacja (sektorowa), do której on należy może wyznaczyć własnego urzędnika do spraw ochrony danych (odpowiedzialnego za ochronę prywatności, według terminologii holenderskiej).

(HOLANDIA C.D.) Według ustawy tego państwa zadania i uprawnienia nadane temu urzędnikowi dają mu pozycję niezależną w danym podmiocie w ramach pełnionej funkcji. Jak wynika to z tych przepisów ustawy nie może on otrzymywać żadnych poleceń od administratora danych, nie może ponosić ujemnych konsekwencji w związku z pełnioną funkcją. Już w pierwszym okresie powołanych zostało 165 urzędników odpowiedzialnych za ochronę prywatności w wielu sektorach w tym: bankach, towarzystwach ubezpieczeniowych, związkach zawodowych, instytucjach finansowych, szkołach, szpitalach, ministerstwach, samorządach, dużych i średnich przedsiębiorstwach.

(HOLANDIA C.D.) Wyznaczenie urzędnika do spraw ochrony danych oznacza, że holenderski organ ochrony danych będzie w ograniczonym stopniu zajmował się podmiotami, w których System ochrony danych osobowych działa prawidłowo. Jednym z ważnych dla systemu obowiązującego w Polsce jest wskazanie iż w przypadkach wyznaczenia urzędnika ochrony danych osobowych, holenderski organ ochrony danych osobowych będzie kierował wszystkie osoby zwracające się ze skargami na naruszenia ochrony danych jak i z interpretacjami prawnymi do wskazanych w tych podmiotach powołanych urzędników.

(FRANCJA) Również we Francji w nowej ustawie uchwalonej po analizie skuteczności dotychczas obowiązujących prawnych rozwiązań, wprowadzono zwolnienie od zgłaszania zbioru danych w tych podmiotach które powołały niezależnego wewnętrznego urzędnika ochrony danych z wyjątkiem przypadków, gdy określane w prawie szczególne dane ( ich przetwarzanie) są objęte kontrola wstępną prowadzoną przez organ nadzory który we Francji nosi nazwę, Krajowa Komisja Informatyki i Wolności ( CNIL).

(FRANCJA C.D.) Według przepisów ustawy francuskiej zakres uprawnień, zadania, niezależność i odpowiedzialność powołanego urzędnika muszą zapewniać taki poziom gwarancji aby mógł on zastępować poprzednie zgłoszenie określonych zbiorów danych do organu nadzorczego. Podstawowym celem tego przepisu ( nowego) jest stworzenie : sieci łączników z CNIL-em uzupełniających działanie organu powołanego do ochrony danych i zbudowania współpracy między CNIL a podmiotami, które powołały takich urzędników. W szczególności uznano iż powoływanie tych szczególnych urzędników stanowi znaczące wsparcie dla władz samorządowych.

Wiele niejasności wywoływać może sytuacja gdy DPO czyli dzisiejszy ABI będzie miał inne stanowisko niż ADO. W praktyce Państw Unijnych powszechnie się uważa iż fakt taki powinien być zgłaszany do organu nadzorczego. W Szwecji urzędnik ochrony danych czuwa w pełnej niezależności nad zagwarantowaniem, aby administrator przetwarzał dane osobowe w sposób legalny i prawidłowy, zgodnie z zasadami praktyk oraz sygnalizował ( wskazywał ) ADO wszystkie nieprawidłowości.

Grupa art. 29 w przedstawionym z 2005 r. Sprawozdaniu wspiera zajęte przez Komisję Europejską stanowisko wyrażone w sprawie wdrożenia dyrektywy o ochronie danych stanowiące: Komisja zaleca szersze stosowanie zwolnień, a w szczególności wykorzystania możliwości zawartych w art. 18 ust. 2 dyrektywy, czyli powoływania urzędnika ochrony danych osobowych. Odnosząc się to tego stanowiska Komisji, Grupa art. 29 : wzywa Państwa Członkowskie do wykorzystania stosowania zwolnień i uproszczeń przewidzianych w dyrektywie oraz, jeżeli jeszcze nie ma to miejsca, zaleca wyposażenie organów ochrony danych w uprawnienia konieczne do stosowania tych zwolnień.

Cytowany Raport Grupy art. 29 został opracowany na wniosek komisji Europejskiej zawarty w jej raporcie dotyczący wdrażania dyrektywy 95/46/WE z 2003 roku. Celem raportu jest działanie na rzecz lepszego zrozumienia roli i obowiązku zgłaszania zbiorów oraz roli urzędników ochrony danych w systemie ochrony danych istniejącym w Unii Europejskiej. Wytyczne Grupy art. 29 jak i stanowisko Komisji Europejskiej nie zostały one wdrożone przez polski organ nadzoru. Grupa Robocza art. 29 kierując się wytycznymi z Dokumentu Grupy Roboczej nr WP 106 opracowała i opublikowała w dokumencie nazwanym Vademecum Obowiązków w zakresie zgłaszania w wersji z dnia 3 lipca 2006 roku, podstawowe właściwości systemu zgłaszania w poszczególnych państwach w celu ułatwiania administratorom danych dostosowanie się do obowiązujących wymogów.

W polskiej ustawie ochrony danych (przed jej nowelizacją z 2014 r.) stanowiącej implementację dyrektywy 95/46/WE umożliwiono powołanie funkcji administratora bezpieczeństwa informacji. We wręcz lakonicznych zapisach art. 36 ust. 3 zapisano : Administrator danych wyznacza administratora bezpieczeństwa informacji nadzorującego przestrzeganie zasad ochrony, o którym mowa w art.1, chyba że sam wykonuje te czynności. Ten zapis odnosi się do zapisu ust.1 tegoż artykułu w którym wymienione są obowiązki administratora danych osobowych w zakresie zapewnienia bezpieczeństwa ochrony przetwarzanym danym osobowym. Zamieszczenie regulacji w zakresie powołania przedmiotowego stanowiska w Rozdziale 5 Ustawy, dotyczącym zabezpieczenia danych osobowych, daje podstawę sądzić iż nie jest to konstrukcja tożsama z jej wzorem z dyrektywy 95/46WE.

W Rozporządzeniu ( poprzednio obowiązującym) Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 roku w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny opowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych w 3 uprawniono administratora danych do wyznaczenia osoby, zwaną administratorem bezpieczeństwa informacji, która jest odpowiedzialna za bezpieczeństwo danych osobowych w systemie informatycznym. W szczególności osoba ta jest odpowiedzialna za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń.

Zapisy te w wyraźny sposób ustalają że administratorem bezpieczeństwa informacji może być osoba fizyczna wyznaczona przez administratora danych. Jej zakres uprawnień też jest wskazany precyzyjnie, a odnosi się tylko do zapewnienia bezpieczeństwa przetwarzanych danych w systemie informatycznym. Zapisy tych uprawnień nie są tożsame w żaden sposób z zapisami uprawnień urzędnika do spraw ochrony danych zawarte w art. 18 Dyrektywy 95/46WE. W art. 14 tegoż Rozporządzenia wskazano również iż ABI jest odpowiedzialny za właściwy nadzór nad systemem informatycznym przetwarzającym dane osobowe.

W doktrynie pojawiły się uwagi krytyczne do utworzenia takiej funkcji w przepisach rozporządzenia a nie aktu ustawowego. Między innymi z takiego powodu w nowelizacji ustawy o ochronie danych osobowych dokonanej w 2004 roku wprowadzono w art. 36 w ustępie 3 możliwość wyznaczenia administratora bezpieczeństwa informacji, który będzie w jego imieniu wykonywał obowiązki zawarte w art. 36 ust. 1 tego przepisu. Dosyć nieczytelnym był zapis w przedmiotowym przepisie który mówił, iż ADO wyznacza administratora bezpieczeństwa informacji, chyba że sam wykonuje te czynności. Wydaje się być trafna teza podejmowana w doktrynie (w tym czasie), iż jeżeli nie nastąpiło przez ADO wyznaczenie ABI-ego i jeżeli nie ma oświadczenia ADO o jego wypełnianiu przepisami ustawy wyznaczonych obowiązków, to w tej sytuacji powinno nastąpić zakazanie przetwarzania danych osobowych. W praktyce przypadek taki nie miał jednak miejsca (zakazanie przetwarzania danych).

Kształtowanie pozycji i statusu urzędnika ochrony danych w jakimś sensie wiąże się też z pozycją i statusem organu ochrony danych. W UE ukształtowanie tych organów jest zróżnicowane. W krajach europejskich wyróżniamy organy kolegialne i jednoosobowe. Znajdujemy organy mające status rzecznika czy organu administracji publicznej. W niektórych krajach łączy się zakres ochrony danych osobowych z prawem do wolności czy szeroko pojętym prawem do prywatności. Francja : Krajowa Komisja Informatyki i Wolności, Węgry: Komisarz ds. ochrony danych łączy ochronę danych osobowych i sferę udostępniania informacji interesu publicznego, Słowenia w 2006 r. funkcję organu pełnił Zastępca Rzecznika praw Człowieka, Wielka Brytania: Urząd Rzecznika ds. Informacji.

Dziękuję za uwagę!

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres