Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Obowiązek wyznaczenia IOD w podmiotach publicznych

19-05-2017 Autor: Marlena Sakowska-Baryła

Ogólne rozporządzenie o ochronie danych przewiduje obowiązkowe wyznaczenie inspektorów ochrony danych (dalej: IOD) przez organy i podmioty publiczne. Choć instytucja osoby odpowiedzialnej za nadzór nad systemem ochrony danych osobowych w sektorze publicznym nie jest nowa, to jednak regulacja rodo wymaga większej uwagi.

 

Wyznaczenie IOD w sektorze publicznym zostało potraktowane priorytetowo. Ten przypadek obligatoryjnego posiadania IOD został wymieniony na pierwszym miejscu w art. 37 ust. 1 lit. a rodo. Wskazany przepis przewiduje, że administrator i podmiot przetwarzający wyznaczają IOD, zawsze gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.

O takim obowiązku nie ma mowy na gruncie obecnie obowiązującej ustawy o ochronie danych osobowych (dalej: uodo), która w art. 36a ust. 1 przewiduje jedynie fakultatywne powołanie ABI, z tym jednak zastrzeżeniem, że w przypadku niepowołania ABI jego zadania określone w uodo wykonuje administrator danych (art. 36b uodo). Dziś tak określony stan dotyczy w równym stopniu zarówno podmiotów publicznych, jak i prywatnych. Bywa, że właśnie w sektorze publicznym wśród podmiotów o podobnym charakterze, wykonujących analogiczne zadania określone w tych samych przepisach prawa znajdziemy takie, które wyznaczyły ABI i dokonały jego rejestracji u GIODO, oraz takie, które ABI nie mają, a przypisane jemu zadania wykonuje sam administrator danych, ewentualnie powierza ich wykonywanie innej osobie (osobom), ale nie tytułując jej ABI, co nie było dotychczas kwestionowane. Tymczasem od 25 maja 2018 r. wraz z rozpoczęciem stosowania rodo każdy podmiot publiczny będzie musiał mieć IOD. U tych, w których wyznaczono ABI, najpewniej dojdzie do sprawnego przekształcenia ABI w IOD. Ułatwi to także ustawodawca, sądząc po art. 59 projektu nowej ustawy o ochronie danych osobowych udostępnionego przez Ministerstwo Cyfryzacji 28 maja 2017 r. (zob. https://mc.gov.pl/aktualnosci/projekt-ustawy-o-ochronie-danych-osobowych). Jednak te podmioty publiczne, które nie zdecydowały się powołać ABI, powinny zintensyfikować poszukiwania właściwego kandydata na IOD, co może nie być łatwe, bo specyfika przetwarzania danych przez podmioty publiczne wymaga od IOD odpowiedniej wiedzy oraz doświadczenia.

 

Organ lub podmiot publiczny, czyli kto?


Lektura art. 37 ust. 1 lit. a rodo wskazuje na to, że w odniesieniu do sektora publicznego wymóg wyznaczenia IOD jest nacechowany podmiotowo i właściwie nie zależy od przedmiotowych przesłanek związanych ze specyfiką przetwarzania, jak ma to miejsce w pozostałych wyliczonych w tym przepisie przypadkach obowiązkowego powołania IOD, uzasadniających jego wyznaczenie od takich cech przetwarzania danych jak: duża skala, regularne i systematyczne monitorowanie osób czy przetwarzanie szczególnych kategorii.

Przedmiotowy aspekt przetwarzania danych w przypadku art. 37 ust. 1 lit. a rodo ma znaczenie tylko z punktu widzenia sformułowanego w nim negatywnego kryterium, jakim jest wyłączenie obowiązku wyznaczenia IOD w sądach w zakresie sprawowania wymiaru sprawiedliwości.

Oznaczenie podmiotów, które zgodnie z art. 37 ust. 1 lit. a rodo mają wyznaczyć IOD, nie jest jednoznaczne. Rozporządzenie nie zawiera definicji „organu” ani „podmiotu publicznego”. Pojęcia te powinny być określone na poziomie przepisów krajowych. Taki pogląd został zawarty także w wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych ('DPO') przyjętych 13 grudnia 2016 r. (16/EN WP 243). Grupa Robocza Art. 29 postulowała także, by zakresem tak określonej grupy podmiotowej obok organów władzy publicznej obejmować również podmioty realizujące zadania w interesie publicznym niezależnie od tego, czy należą do tzw. sektora publicznego czy prywatnego.

Na tle omawianego tu przepisu oraz wytycznych za uzasadnione należałoby uznać przyjęcie, że obowiązkiem wyznaczenia IOD na gruncie rodo powinny być objęte podmioty wymienione w art. 3 ust. 1 oraz ust. 2 pkt 1 uodo. Są to:

  • organy państwowe,
  • organy samorządu terytorialnego,
  • państwowe i komunalne jednostki organizacyjne,
  • a także podmioty niepubliczne realizujące zadania publiczne.

[...]

Autorka jest doktorem nauk prawnych, redaktorem naczelnym „ABI Expert”, radcą prawnym w Urzędzie Miasta Łodzi, partnerem w Sakowska-Baryła, Czaplińska Kancelarii Radców Prawnych Sp.p.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.