Za niecałe dwa lata (25 maja 2018 r.) administratorzy danych osobowych (ADO) pożegnają swoich administratorów bezpieczeństwa informacji (ABI) a na ich miejsce powołają inspektorów ochrony danych.
Zgonie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 administrator i podmiot przetwarzający będzie miał obowiązek powołania inspektora ochrony danych zawsze, gdy:
-
przetwarzania dokonuje organ lub podmiot publiczny z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
-
główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cel wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
-
główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych , o których mowa mowa w art. 9 ust. 1 rozporządzenia 2016/679 oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa o czym mowa w art. 10 tego rozporządzenia.
Inspektor ochrony danych będzie mógł być powołany dla grupę przedsiębiorstw lub w przypadku, gdy administrator lub podmiot przetwarzający jest organem lub podmiotem publiczny dla kilku takich organów lub podmiotów.
W przypadku innym niż te, o których mowa w ust. 1, administrator lub podmiot przetwarzający, zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających będą mogli wyznaczyć lub jeżeli wymaga tego prawo unii lub prawo państwa członkowskiego, wyznaczą inspektora ochrony danych.[1]
Inspektora ochrony danych wyznaczany będzie na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych. Może on być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczeniu usług. Podobnie, jak w przypadku ABI, inspektor ochrony danych będzie zgłaszany przez administratora lub podmiot przetwarzający do rejestru prowadzonego przez organ nadzorczy (GIODO). Dane kontaktowe inspektora ochrony danych będą publikowane przez administratora lub podmiot przetwarzający.
Administrator lub podmiot przetwarzający zapewnią by inspektor ochrony danych był właściwie i niezwłocznie włączony we wszystkie sprawy dotyczące ochrony danych osobowych. Będą go wspierały w wypełnianiu przez niego zadań, o których mowa w art. 38 rozporządzenia 2016/679 zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
Inspektor ochrony danych podlegał będzie bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego i nie będzie mógł być odwołany lub ukarany za wypełnianie swoich zadań, nie będzie też otrzymywał instrukcji dotyczących wykonywania tych zadań.
Osoby, których dane dotyczą będą mogły kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz wykonywaniem praw im przysługujących.[2]
Inspektor ochrony danych będzie realizował następujące zadania:
-
informowanie administratora lub podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe o obowiązkach spoczywających na nich na mocy obowiązujących przepisów prawa, w tym rozporządzenia 2016/679 oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tych sprawach;
-
monitorowanie przestrzegania rozporządzenia 2016/679, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityki administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
-
udzielanie na żądanie zaleceń, co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 rozporządzenia 2016/679;
-
współpraca z organem nadzorczym;
-
pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art.. 36 rozporządzenia 2016/679 oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
Inspektor ochrony danych wypełniał będzie swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.[3]