Inspektor ochrony danych ma być punktem kontaktowym. Sprawdź, jak to zorganizować

Piotr Glen

Autor: Piotr Glen

Dodano: 30 kwietnia 2018
Inspektor ochrony danych ma być punktem kontaktowym. Sprawdź, jak to zorganizować

RODO, czyli ogólne rozporządzenie o ochronie danych w kilku artykułach wskazuje na obowiązek podania danych kontaktowych inspektora ochrony danych (IOD). Wiąże się to z tym, że IOD ma pełnić funkcję punktu kontaktowego. Dowiedz się, co oznacza ten obowiązek.

Organizacja, która chce lub musi wyznaczyć inspektora ochrony danych, będzie zobowiązana dokonać odpowiedniego zgłoszenia osoby mającej pełnić tę funkcję do organu nadzorczego, tj. do Prezesa Urzędu Ochrony Danych Osobowych (PUODO – następca Generalnego Inspektora Ochrony Danych Osobowych). Do takich zgłoszeń ma służyć dedykowana platforma internetowa i będzie można ich dokonywać wyłącznie drogą elektroniczną.

Projekt nowej ustawy o ochronie danych osobowych, czyli aktu uzupełniającego RODO zakłada, że podmioty, dla których wyznaczenie inspektora ochrony danych będzie obowiązkowe, a które nie miały powołanego, tj. zarejestrowanego u GIODO administratora bezpieczeństwa informacji, powinny wyznaczyć i zgłosić do Prezesa Urzędu Ochrony Danych Osobowych inspektora ochrony danych najpóźniej do 31 lipca 2018 r. Administratorzy danych, którzy mieli powołanego ABI, będą musieli zdecydować do 1 września 2018 r., czy obecnego ABI potwierdzić i zgłosić jako inspektora ochrony danych, czy odwołać ABI, a inną osobę zgłosić jako IOD. Tak czy inaczej, formalne zgłoszenie inspektora ochrony danych będzie konieczne.

Ważne:

Podmiot, który wyznaczy inspektora ochrony danych, ma zawiadomić Prezesa Urzędu Ochrony Danych Osobowych o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora ochrony danych.

Dlaczego dane IOD muszą być jawne

Obowiązek podania danych kontaktowych inspektora ochrony danych organowi nadzorczemu wynika z tego, że zgodnie z art. 39 ust. 1 lit. e RODO jednym z zadań inspektora ochrony danych jest pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami dotyczącymi skutków przetwarzania dla ochrony danych oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach. Inspektor ochrony danych ma pełnić funkcję punktu kontaktowego, by umożliwić organowi nadzorczemu dostęp do dokumentów i informacji w celu realizacji zadań kontrolnych, jak również wykonywania uprawnień w zakresie prowadzonych postępowań, uprawnień naprawczych, uprawnień w zakresie wydawania zezwoleń oraz uprawnień doradczych. Oby tylko w tych kontaktach inspektor ochrony danych nie naruszył tajemnicy i poufności, do których jest zobowiązany przy wykonywaniu swoich zadań zgodnie z art. 38 ust. 5 RODO.

Ważne:

Podmiot, który wyznaczy inspektora ochrony danych, ma zawiadamiać Prezesa Urzędu Ochrony Danych Osobowych o każdej zmianie swoich danych i danych inspektora ochrony danych oraz o odwołaniu inspektora w terminie 14 dni od dnia zaistnienia zmiany lub odwołania.

Jeżeli organy lub podmioty publiczne bądź grupa przedsiębiorstw wyznaczą jednego inspektora ochrony danych, każdy z tych podmiotów musi dokonać odrębnego zawiadomienia do organu nadzorczego. Zawiadomienia mają być sporządzane w postaci elektronicznej i opatrzone kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Urząd będzie więc znać dane kontaktowe, łącznie z imieniem i nazwiskiem inspektora ochrony danych, ale w odróżnieniu od jawnego rejestru ABI prowadzonego przez GIODO, dane te nie będą upubliczniane przez Prezesa Urzędu Ochrony Danych Osobowych.

Polski ustawodawca rozszerza zakres danych IOD, które trzeba ujawnić

Nowy projekt ustawy o ochronie danych osobowych z 16 marca 2018 r., który 27 marca 2018 r. został przyjęty przez Radę Ministrów, obliguje podmiot, który wyznaczył inspektora ochrony danych, do udostępnienia jego danych w zakresie jego imienia, nazwiska, adresu poczty elektronicznej lub numeru telefonu niezwłocznie po jego wyznaczeniu, na stronie internetowej podmiotu, a jeżeli nie prowadzi on własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności. Taki zapis jest niestety (niestety dla inspektorów ochrony danych) o wiele bardziej szczegółowy niż regulacje RODO.

Zapis ten idzie też dalej niż wytyczne Grupy Roboczej Art. 29, które mówiły o publikowaniu danych kontaktowych inspektora ochrony danych i o zapewnieniu osobom, których dane dotyczą, możliwości kontaktu z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO. Wytyczne zalecały, aby dane kontaktowe inspektora ochrony danych zawierały dane umożliwiające osobom, których dane dotyczą, i organom nadzorczym nawiązanie kontaktu w łatwy sposób (adres korespondencyjny, telefon kontaktowy lub dedykowany adres e-mail). Gdy to właściwe, powinny również zostać udostępnione inne środki komunikacji dla ogółu społeczeństwa, np. dedykowana infolinia, formularz kontaktowy z inspektorem ochrony danych na stronie internetowej organizacji.

Uwaga

Artykuł 37 ust. 7 RODO nie wymaga publikowania imienia i nazwiska inspektora ochrony danych. Decyzja o tym, czy w określonych okolicznościach udostępnienie tych danych może być konieczne lub pomocne, ma zależeć od administratora lub podmiotu przetwarzającego i samego inspektora ochrony danych. Artykuły 11 i 12 projektu nowej ustawy o ochronie danych osobowych nie dają już możliwości takiego wyboru, nie pozostawiają miejsca na inne możliwości.

Jak realizować pełnienie funkcji punktu kontaktowego

Osoby, których dane dotyczą, mogą kierować się bezpośrednio do inspektora ochrony danych, jemu zadawać pytania, zgłaszać wątpliwości oraz oczekiwać odpowiedzi i wyjaśnień. Inspektor ochrony danych jest umocowany do działania w imieniu administratora w relacjach z osobami, których dane dotyczą. Tym samym administrator powinien zapewnić inspektorowi ochrony danych warunki umożliwiające realizację tego zadania. W wielu branżach skala pytań, pretensji, żądań podmiotów danych, związanych zwłaszcza z realizacją praw wynikających z RODO, może być bardzo duża. Jeśli to inspektor ochrony danych miałby na to wszystko odpowiadać, to będzie musiał posiadać właściwe narzędzia, np. dedykowaną infolinię, portal internetowy, ale także zasoby osobowe do skutecznego wykonania takich obowiązków.

Sformułowanie, że osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z wykonywaniem praw przysługującym im na podstawie przepisów RODO, sugeruje, że inspektor ochrony danych jest zobowiązany także do udzielania porad w tym zakresie. Osobiście uważam, że to może sparaliżować wykonywanie innych zadań przez inspektora ochrony danych, który powinien przede wszystkim monitorować zgodność przetwarzania danych u administratora z przepisami i zasadami ochrony danych. Inspektor ochrony danych ma informować, doradzać i rekomendować określone działania i środki bezpieczeństwa administratorowi. Szkolić pracowników administratora. Powinien uczestniczyć, a wręcz przewodzić w analizie ryzyka i ocenie skutków przetwarzania dla ochrony danych.

Ważne:

Skupiając się na rozpatrywaniu wszelkich spraw dotyczących osób, których dane osobowe dotyczą, na odpowiadaniu na zapewne coraz większą liczbę zarówno zasadnych, jak i nieuzasadnionych pytań i pretensji dotyczących przetwarzania danych osobowych, organizacyjnie i czasowo jeden inspektor ochrony danych temu nie podoła, zwłaszcza jeśli jest zewnętrznym specjalistą lub wyznaczonym dla kilku podmiotów. Należałoby więc opracować odpowiednią procedurę realizacji takich kontaktów. Przygotować odpowiedni zespół ludzi do ich realizacji oraz projekty odpowiedzi dla osób, których dane dotyczą, i dokumentować zgłoszenia od podmiotów danych.  

Również pracownicy muszą być poinformowani o tym, kto jest inspektorem

Pracownicy administratora, a przede wszystkim osoby upoważnione do przetwarzania danych osobowych u administratora powinny wiedzieć, kto jest inspektorem ochrony danych i mieć możliwość kontaktu z nim, zwłaszcza w celu powiadamiania o incydentach, które mogą mieć wpływ na bezpieczeństwo danych osobowych. W kontekście obowiązku zgłaszania do Prezesa Urzędu Ochrony Danych Osobowych naruszeń ochrony danych bardzo ważne jest, aby inspektor ochrony danych mógł w porę stwierdzić, czy doszło do rzeczywistego naruszenia ochrony danych osobowych i czy należy to zgłaszać do organu nadzorczego. Dane inspektora ochrony danych dla pracowników mogą zostać udostępnione wewnętrznie, np. poprzez intranet, w wewnętrznej książce telefonicznej albo w ramach rozpisanej struktury organizacyjnej. Sposób zgłaszania incydentów dotyczących ochrony danych powinien być zakomunikowany pracownikom w prostej, ale skutecznej instrukcji postępowania w przypadku naruszenia ochrony danych.

Kontakt z inspektorem ma być łatwy, co oznacza również, że komunikacja musi odbywać się w języku używanym przez organ nadzorczy, pracowników administratora i osoby, których dane dotyczą. Problematyczna może okazać się próba wyznaczenia jednego inspektora ochrony danych przez spółkę matkę na przykład z Francji czy Niemiec dla spółek córek, które mają siedziby w innych państwach europejskich. To wszystko stawia przed inspektorami ochrony danych trudne zadania i wyzwania.

Piotr Glen

Autor: Piotr Glen

doświadczony administrator bezpieczeństwa informacji pełniący tę funkcję dla wielu firm i instytucji, trener i audytor

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel