Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Informowanie o inspektorze ochrony danych

25-09-2017 Autor: Paweł Fajgielski

Jedną z kwestii szczegółowych, która wzbudza wątpliwości i jest przedmiotem różnorodnych interpretacji przepisów rodo, jest obowiązek informowania o inspektorze ochrony danych. Warto poddać analizie przepisy przewidujące tego rodzaju obowiązek i odnieść je do obecnego stanu prawnego oraz praktyki przetwarzania danych osobowych.

 

W obowiązujących obecnie przepisach (art. 46b ust. 1 uodo) jest przewidziany obowiązek zgłaszania Generalnemu Inspektorowi Ochrony Danych Osobowych (dalej: GIODO) faktu powołania i odwołania administratora bezpieczeństwa informacji (dalej: ABI) w terminie 30 dni od dnia jego powołania lub odwołania. Ustawodawca w art. 46b ust. 2 uodo określił, jakie informacje powinno zawierać zgłoszenie ABI do GIODO, nakazując przekazanie organowi nadzorczemu m.in.:

  • imienia i nazwiska osoby powołanej do pełnienia funkcji ABI;
  • jej numeru PESEL (lub, gdy ten numer nie został nadany, nazwy i numeru dokumentu stwierdzającego tożsamość);
  • adresu do korespondencji, jeżeli ten adres ma być inny niż adres administratora;
  • daty powołania osoby do pełnienia funkcji ABI oraz
  • oświadczenia administratora danych o spełnianiu przez ABI wymogów określonych w art. 36a ust. 5 i 7 uodo dotyczących:

a) pełnej zdolności do czynności prawnych;
b) korzystania z pełni praw publicznych;
c) posiadania odpowiedniej wiedzy w zakresie ochrony danych osobowych;
d) niekaralności za przestępstwo umyślne oraz
e) bezpośredniej podległości kierownikowi jednostki organizacyjnej lub osobie fizycznej, będącej administratorem danych.


Ustawodawca (w art. 46b ust. 5 uodo) nałożył na administratora obowiązek zgłaszania do GIODO zmian informacji objętych zgłoszeniem w terminie 14 dni od dnia zmiany.

Prawodawca polski zdecydował się na wprowadzenie modelu rejestracyjnego, w którym od faktu zarejestrowania ABI u GIODO zostały uzależnione określone konsekwencje prawne w postaci zwolnienia z obowiązku rejestracji zbiorów danych (zob. art. 43 ust. 1a uodo). Przyjęcie jednak takiego rozwiązania prawnego może budzić wątpliwości, dotyczące zgodności z przepisami dyrektywy 95/46/WE. W art. 18 ust. 2 prawodawca unijny, uzależniając możliwość wprowadzenia zwolnienia z obowiązku notyfikacji organowi nadzorczemu procesów przetwarzania od faktu powołania urzędnika do spraw ochrony danych osobowych, nie wymaga w tym zakresie nie tylko wdrożenia procedury rejestracyjnej, ale nawet zgłoszenia organowi nadzorczemu osoby mającej sprawować wewnętrzny nadzór nad przetwarzaniem danych osobowych.

Ponadto w polskiej ustawie (w art. 46c uodo) nałożono na organ nadzorczy obowiązek prowadzenia ogólnokrajowego jawnego rejestru ABI, zawierającego dane ABI podlegające zgłoszeniu (z wyjątkiem numeru PESEL lub nazwy i numeru dokumentu stwierdzającego tożsamość). Rejestr ten jest dostępny w postaci strony internetowej, która pozwala na wyszukiwanie informacji dotyczących ABI według różnych kryteriów (np. nazwiska).

W polskiej ustawie nie przewidziano obowiązku informowania osób, których dane dotyczą, o powołaniu ABI i możliwości zwrócenia się do niego w sprawach związanych z ochroną danych osobowych.

 

Zakres obowiązku informowania o IOD w świetle rodo


W przepisach rodo zostało zaprezentowane odmienne od dotychczasowego podejście do kwestii informowania o inspektorze ochrony danych (dalej: IOD). Wynika ono ze zmiany w charakterze i zakresie zadań IOD. W miejsce osoby, która realizuje swoje zadania zasadniczo wewnątrz jednostki organizacyjnej (urzędnik ds. ochrony danych, ABI), ma pojawić się osoba (IOD), której aktywność wykracza poza wewnętrzną aktywność w ramach jednostki organizacyjnej i obejmuje również działania ukierunkowane na realizację żądań osób, których dane dotyczą. IOD ma stać się nie tylko punktem kontaktowym dla organu nadzorczego, ale także (na podstawie art. 38 ust. 4 rodo) ma być osobą, z którą mogą kontaktować się osoby, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz realizacji przysługujących im uprawnień.

Prawodawca unijny w rodo nie przewiduje już obowiązku notyfikacji organowi nadzorczemu procesów przetwarzania danych. Powinno to pociągnąć za sobą rezygnację krajowego prawodawcy z obowiązku rejestracji zbiorów danych, a także powiązanego z nim obowiązku rejestracji ABI u GIODO.

Obowiązek informowania o IOD został wprowadzony w przepisach rodo dotyczących:

  • publikacji danych IOD;
  • informowania o IOD osób, których dane dotyczą;
  • przekazywania informacji o IOD organowi nadzorczemu.

Publikowanie danych IOD


Prawodawca unijny w art. 37 ust. 7 rodo nakłada na administratora oraz na podmiot przetwarzający obowiązek publikacji danych kontaktowych IOD i zawiadomienia o nich organu nadzorczego. W przepisie nie sprecyzowano, w jaki sposób i w jakiej formie powinna nastąpić publikacja danych, pozostawiając to do uznania administratora lub podmiotu przetwarzającego dane na zlecenie administratora. Wydaje się, że w praktyce najprostszym, a zarazem najskuteczniejszym (gdy chodzi o dostępność) sposobem publikacji danych kontaktowych IOD jest zamieszczenie informacji na stronie internetowej administratora bądź podmiotu przetwarzającego.

[...]

Autor jest doktorem habilitowanym, profesorem KUL, kierownikiem Katedry Prawa Technologii Informacyjnych i Komunikacyjnych na Wydziale Prawa, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Lubelskiego Jana Pawła II.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.