Wszystkie podmioty z sektora publicznego muszą wyznaczyć inspektora ochrony danych

Dodano: 19 marca 2018
Wszystkie podmioty z sektora publicznego muszą wyznaczyć inspektora ochrony danych

GIODO przypomina, że od 25 maja 2018 r., kiedy rozpocznie się stosowanie RODO, wszystkie podmioty publiczne będą musiały wyznaczyć inspektora ochrony danych.

Ogólne rozporządzenie o ochronie danych (RODO) nakłada obowiązek wyznaczenia inspektora ochrony danych (IOD) na każdy organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (art. 37 ust. 1 pkt a RODO) – przypomina GIODO. RODO wprowadziło w tym zakresie istotną zmianę. Wyznaczenie IOD w podmiotach sektora publicznego nie będzie, jak dotąd uprawnieniem, lecz stanie się obowiązkiem wszystkich organów i podmiotów publicznych.

Jak wskazuje projekt nowej ustawy o ochronie danych osobowych (wersja z 3 marca 2018 r.), przez organy i podmioty publiczne zobowiązane do wyznaczenia IOD rozumiane będą organy oraz podmioty publiczne wskazane w art. 9 ustawy z 27 sierpnia 2009 r. o finansach publicznych, a także instytuty badawcze w rozumieniu ustawy z 30 kwietnia 2010 r. o instytutach badawczych. Jeśli przepis w takim brzmieniu zostanie uchwalony, to obowiązek wyznaczenia IOD, będą miały m.in.:

  • organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały,
  • jednostki samorządu terytorialnego oraz ich związki,
  • samodzielne publiczne zakłady opieki zdrowotnej,
  • uczelnie publiczne,
  • inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego,
  • instytuty badawcze w rozumieniu ustawy z 30 kwietnia 2010 r. o instytutach badawczych.

GIODO wskazuje, że taki przepis wyraźnie przesądzałby o obowiązku wyznaczenia IOD również przez sądy i trybunały, przy czym w ich przypadku – ze względu na ochronę niezawisłości sędziowskiej – z zakresu kompetencji IOD będą wyłączone operacje przetwarzania danych mieszczące się w czynnościach orzeczniczych (sprawowania wymiaru sprawiedliwości).

GIODO przypomina, że obowiązkiem kierownictwa podmiotu publicznego jest zapewnienie odpowiedniego wsparcia IOD. Zgodnie z art. 38 ust. 2 RODO administrator wspiera IOD w wypełnianiu przez niego zadań, zapewniając mu niezbędne do tego zasoby oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej. Ponadto do obowiązków administratorów należy zapewnienie, aby IOD:

  • podlegał bezpośrednio najwyższemu kierownictwu podmiotu publicznego,
  • miał zapewniony udział we wszystkich zagadnieniach związanych z ochroną danych osobowych,
  • nie otrzymywał instrukcji dotyczących wykonywania zadań,
  • nie został odwołany lub ukarany za wypełnianie przez niego jego zadań,
  • nie otrzymywał innych zadań i obowiązków, jeśli mogłyby one spowodować konflikt interesów.

Aby zapewnić IOD niezależność, administrator lub podmiot przetwarzający powinni wprowadzić wewnętrzne regulacje gwarantujące IOD niezależność i skuteczność w wykonywaniu przez niego obowiązków i zadań. Odnosi się to zwłaszcza do podmiotów publicznych czy też podmiotów o złożonych strukturach, które będą musiały dostosować swoje regulaminy organizacyjne oraz statuty tak, aby ten cel osiągnąć – informuje GIODO.

W odniesieniu do zakazu nakładania na IOD dodatkowych zadań, mogących spowodować konflikt interesów, GIODO wskazuje, że w uodo było przyjęte zbliżone rozwiązanie. Zgodnie z art. 36a ust. 4 uodo administrator danych może powierzyć ABI inne zadania jedynie wówczas, gdy nie naruszy to prawidłowego wykonywania zadań ABI. Wymóg ten zobowiązuje administratora w każdej konkretnej sytuacji do starannego przeanalizowania, czy jakiekolwiek inne zadania funkcje, jakimi zamierzałby obarczyć ABI, nie utrudniłyby mu właściwego wykonywania jego ustawowych obowiązków. W tym zakresie muszą być brane pod uwagę takie czynniki jak np. ilość czasu potrzebnego na wykonywanie poszczególnych obowiązków, stopień skomplikowania i ważności zadań, rezerwa czasowa na nieplanowane zadania, ilość i rodzaj danych osobowych oraz procesów i systemów informatycznych służących do ich przetwarzania.

Zasadniczą rolą IOD będzie doradzanie i weryfikacja prawidłowości wykonywania obowiązków wynikających z przepisów prawa dotyczących przetwarzania danych osobowych. Rola ta nie oznacza przeniesienia na IOD odpowiedzialności za zgodne z prawem przetwarzanie danych osobowych, ponieważ nadal to administrator będzie ponosił pełną odpowiedzialność za zgodne z prawem przetwarzanie danych osobowych – podkreśla GIODO. Dlatego w interesie kierownictwa każdego podmiotu publicznego jest mieć niezależnego, właściwie usytuowanego w strukturze organizacyjnej, inspektora ochrony danych, który będzie mógł efektywnie realizować swoje obowiązki.

Źródło:

GIODO

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel