Jakie zadania będzie miał inspektor ochrony danych

Wioleta Szczygielska

Autor: Wioleta Szczygielska

Dodano: 20 grudnia 2016
Jakie zadania będzie miał inspektor ochrony danych

Grupa Robocza Art. 29 opublikowała wytyczne, w których tłumaczy, jak inspektor ochrony danych będzie realizował swoje obowiązki.

Funkcję inspektora ochrony danych (Data Protection Officer – DPO) wprowadza ogólne rozporządzenie o ochronie danych osobowych. Będzie to osoba (lub osoby) odpowiedzialne w podmiocie za przestrzeganie przepisów o ochronie danych osobowych. Zastąpi obecnego administratora bezpieczeństwa informacji.

Zadania „nowego ABI” określa art. 39 ogólnego rozporządzenia. Jednym z nich jest monitorowanie, czy przepisy rozporządzenie są przestrzegane. Zdaniem Grupy Roboczej Art. 29 inspektor powinien wypełniać ten obowiązek poprzez:

  • zbieranie informacji w celu identyfikacji procesów przetwarzania danych,
  • analizowanie i sprawdzanie zgodności operacji przetwarzania z przepisami,
  • informowanie, doradzanie i wydawanie zaleceń dla administratora lub procesora.
Uwaga

To nie inspektor ochrony danych będzie odpowiedzialny za to, żeby działanie organizacji było zgodne z przepisami, Będzie to zadanie administratora lub procesora – podkreśla Grupa Robocza Art. 29.

Rola inspektora w ocenie skutków przetwarzania

Zgodnie z art. 35 ust. 1 ocena skutków przetwarzania będzie zadaniem administratora. Jednak jak twierdzi Grupa Robocza Art. 29, inspektor ochrony danych może odgrywać w tym procesie istotną rolę. Zgodnie z zasadą ochrony danych w fazie projektowania administrator danych powinien konsultować się z inspektorem podczas oceny skutków przetwarzania, a DPO powinien udzielać mu porad.

Grupa Robocza Art. 29 zaleca, aby administrator konsultował się z inspektorem m.in. w takich kwestiach:

  • czy należy przeprowadzić ocenę skutków przetwarzania,
  • zgodnie z jaką metodologią ją przeprowadzić,
  • czy przeprowadzić ocenę skutków przetwarzania wewnątrz organizacji, czy zlecić ją firmie zewnętrznej,
  • jakie zabezpieczenia należy zastosować, żeby złagodzić wszelkie zagrożenie dla praw i interesów osób, których dane dotyczą,
  • czy ocena skutków przetwarzania została prawidłowo przeprowadzona i czy jej wnioski są zgodne z rozporządzeniem.

Grupa Robocza wskazuje, że jeśli administrator nie zgodzi się z zaleceniami inspektora, w dokumentacji oceny skutków przetwarzania powinien pisemnie to uzasadnić.

Ważne:

Grupa Robocza zaleca, aby w umowie z inspektorem ochrony danych, ale także informacjach przekazywanych pracownikom, zarządzeniach dokładnie opisać zadania inspektora, w tym te, które wiążą się z oceną skutków przetwarzania.

Podejście oparte na analizie ryzyka

Zgodnie z art. 39 ust. 2 rozporządzenia ogólnego inspektor ochrony danych powinien wypełniać swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

Zdaniem Grupy Roboczej oznacza to, że inspektor powinien nadać priorytety swoim zadaniom i swoje wysiłki skoncentrować na kwestiach, które stwarzają większe ryzyko w zakresie ochrony danych. Grupa podkreśla, że nie oznacza to, że powinni zaniedbywać kontrole zgodności przetwarzania danych, które mają niższy poziom ryzyka, ale powinni jednak skupić się na obszarach podwyższonego ryzyka.

Jak twierdzi Grupa Robocza, to pragmatyczne podejście powinno pomóc inspektorowi w doradzaniu administratorowi, jaką metodologię wybrać do przeprowadzenia oceny skutków regulacji, które obszary powinny być przedmiotem wewnętrznego lub zewnętrznego audytu oraz którymi zagadnieniami powinna zająć się kadra zarządzająca, a którym inspektor powinien sam poświęcić swój czas.

Prowadzenie rejestru czynności przetwarzania

Zgodnie z art. 30 ust. 1 i 2 to administrator i procesor powinni prowadzić rejestr czynności przetwarzania lub rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.

W praktyce inspektorzy tworzą i przechowują rejestry operacji przetwarzania danych na podstawie informacji dostarczanych im przez różne działy. Jak twierdzi Grupa Robocza, zadania inspektorów wymienione w art. 39 ust. 1 to minimum, dlatego nic nie stoi na przeszkodzie, aby administrator lub procesor zlecili prowadzenie rejestru inspektorowi. Może to pomóc inspektorom w monitorowaniu zgodności przetwarzania danych z przepisami, informowaniu i doradzaniu administratorowi lub procesorowi.

Źródło:

Wioleta Szczygielska

Autor: Wioleta Szczygielska

Specjalista z zakresu prawa ochrony danych osobowych. Wieloletni redaktor fachowych publikacji związanych z tematyką ochrony danych osobowych.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x