Jak powołać jednego inspektora ochrony danych dla kilku jednostek organizacyjnych gminy
Powołanie wspólnego inspektora powinno nastąpić w drodze zarządzenia wójta (burmistrza, prezydenta).
Ogólne rozporządzenie o ochronie danych osobowych (rodo) zmieni sposób ochrony danych osobowych, także w zakresie personalnym. Rozporządzenie będzie bezpośrednio stosowane w państwach członkowskich od 25 maja 2018 r. Z tym dniem w systemie ochrony danych osobowych pojawi się inspektor ochrony danych, który ma przejąć prawa i obowiązki dotychczasowego administratora bezpieczeństwa informacji.
Jeżeli dany podmiot prawa (np. gmina) przetwarza dane osobowe osób trzecich, to wówczas jest administratorem danych. ADO może swoje obowiązki wykonywać obecnie za pomocą ABI, a od 25 maja 2018 r. za pomocą inspektora ochrony danych. Obowiązek wyznaczenia inspektora ochrony danych istnieje m.in., gdy przetwarzania dokonuje organ lub podmiot publiczny. Bez wątpienia więc gmina i jej jednostki organizacyjne (np. przedszkole czy zakład wodociągowy) takich inspektorów będą musiały wyznaczyć.
Wspólny inspektor ochrony danych – jak go wyznaczyć
Mnogość inspektorów, zwłaszcza w przypadku mniejszych gmin, może być mnożeniem bytów ponad potrzeby. W wielu sytuacjach jeden wspólny inspektor ochrony danych byłby w stanie czuwać nad bezpieczeństwem danych przetwarzanych we wszystkich jednostkach organizacyjnych gminy, co dodatkowo służyłoby ujednoliceniu zasad kontroli i ułatwiłoby organizację pracy.
Prawodawca europejski przewidział możliwość powołania jednego wspólnego inspektora ochrony danych dla:
- grupy przedsiębiorstw – jeśli można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej,
- kilku organów lub podmiotów publicznych – z uwzględnieniem ich struktury organizacyjnej i wielkości,
- zrzeszeń lub innych podmiotów reprezentujących określone kategorie administratorów.
Gmina, jako podmiot publiczny, może więc powołać wspólnego inspektora ochrony danych dla części lub nawet wszystkich swoich jednostek organizacyjnych. Ważne jest, aby nastąpiło to bez oderwania od faktycznych realiów i wymagań ochrony danych osobowych. Inspektor ochrony danych nie może być tylko fasadową instytucją, lecz powinien mieć realną możliwość wykonywania swoich obowiązków.
Wspólny inspektor to znaczy jaki i dla kogo
Analizując zasadność ustanowienia wspólnego inspektora ochrony danych i zakresu jego działania, należy mieć na względzie:
- wielkość jednostek organizacyjnych (poziom zatrudnienia, skala działalności, waga problemów),
- intensywność pojawiania się w toku działania tych jednostek zagadnień z zakresu ochrony danych osobowych,
- stopień naruszeń zasad ochrony danych osobowych stwierdzonych do tej pory w jednostkach, które muszą zostać wyeliminowane z pomocą inspektora ochrony danych,
- stopień ujednolicenia zasad ochrony danych osobowych, systemów informatycznych i zabezpieczeń stosowanych w poszczególnych jednostkach administracyjnych.
|
PRZYKŁAD Gmina prowadzi 6 szkół podstawowych, ale zasady dotyczące ochrony danych osobowych są do siebie zbliżone tylko w 5 z nich. Tymczasem miejska spółka zajmująca się gospodarką nieruchomościami komunalnymi ma model ochrony danych zbliżony do tych 5 szkół, między innymi m podobną politykę bezpieczeństwa, korzysta z tych samych systemów informatycznych, a nawet ma podobne zbiory danych osobowych. W takiej sytuacji wydaje się zasadnym rozważenie, aby wspólny inspektor ochrony danych obejmował nie te 6 szkół, ale 5 z nich oraz spółkę „nieruchomościową”. Dzięki temu jego działania będą sprawniejsze, a i koszt utrzymania takiego inspektora może być mniejszy. Nie powinno to odstręczać gminy od próby zunifikowania zasad ochrony danych osobowych także w tej szóstej szkole i w innych jednostkach organizacyjnych celem objęcia wspólnym inspektorem ochrony danych możliwie szerokiej kategorii podmiotów publicznych. |
Ujednolicenie zasad ochrony danych osobowych we wszystkich jednostkach organizacyjnych gminy nie może być prowadzone jedynie w celu obniżenia kosztów ochrony danych osobowych. Gmina musi uwzględniać specyfikę przetwarzania danych osobowych w poszczególnych swoich jednostkach organizacyjnych (np. nie wszystkie jednostki muszą mieć szafy pancerne na określone kategorie dokumentów zawierających dane osobowe). W skrajnych przypadkach może się na przykład okazać, że środki zaoszczędzone przez gminę na ustanowieniu wspólnego inspektora ochrony danych zostaną rozdysponowane na zbędne wydatki w zakresie licencji na systemy informatyczne czy wspomniane szafy pancerne.
Pobierz przykładowy wzór zarządzenia wójta w sprawie powołania wspólnego inspektora ochrony danych.
- rozporządzenie Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
- ustawa z 8 marca 1990 r. o samorządzie gminnym (tekst jedn.: Dz.U. z 2017 r. poz. 935).
- Udostępnienie danych osobowych na żądanie zakładu ubezpieczeń – w jakich przypadkach
- Weryfikacja niekaralności w Krajowym Rejestrze Karnym i Rejestrze Sprawców Przestępstw na Tle Seksualnym – czy dotyczy także niepełnoletnich
- Udostępnienie danych osobowych właścicieli lokali – kiedy spółdzielnia musi to zrobić
- Przenoszenie baz danych – czy konieczna umowa powierzenia przetwarzania
- Inspektor ochrony danych dla urzędu i samorządowych jednostek organizacyjnych
- Dostęp do danych osobowych dla pełnomocnika
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
