DPO jest osobą, która nadzoruje i kieruje wszystkimi działaniami w zakresie ochrony danych w organizacji. To DPO projektuje polityki i procedury, które decydują o zgodności procesów z GDPR.

Oprócz tworzenia procedur i polityk DPO monitoruje również ich realizację. DPO gwarantuje, że wszyscy pracownicy są w pełni przeszkoleni w zakresie ochrony danych. Zajmuje się on także obsługą wniosków osób, których dane dotyczą. DPO udziela osobom zarządzającym informacji odnośnie obowiązków nakładanych przez GDPR.

Ponadto DPO pełni rolę punktu kontaktowego dla organu nadzorczego, tj. GIODO.

DPO jest odpowiedzialny za monitorowanie i zgłaszanie naruszeń ochrony danych osobowych w trybie przewidzianym w artykule 33 i 34 GDPR albo informowanie w inny sposób GIODO i osób, których dane dotyczą. Rolą DPO jest też dokumentowanie wniosków osób, których dane dotyczą oraz organów publicznych w zakresie usuwania, niszczenia lub udostępniania danych.

Główne zadania DPO

1) pełni obowiązki uwzględniając wszelkie ryzyka wynikające z charakteru, zakresu, kontekstu i celu przetwarzania danych osobowych przez administratora lub procesora,

2) informuje administratora, procesora i pracowników o obowiązkach wynikających z przepisów o ochronie danych osobowych i doradza im w tym zakresie,

3) monitoruje przestrzeganie przepisów o ochronie danych osobowych i realizowanie polityki w tym zakresie,

4) wydaje zalecenia w związku z prowadzeniem oceny skutków operacji przetwarzania danych powodujących szczególne ryzyko dla ich ochrony,

5) współpracuje z organem nadzorczym (GIODO) oraz pełni funkcję punktu kontaktowego dla niego.

Porównanie przepisów UODO/GDPR

Uodo GDPR
Art. 36a. 1. Administrator danych może powołać administratora bezpieczeństwa informacji.

  1. Do zadań administratora bezpieczeństwa informacji należy:

1)     zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

  1. a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
  2. b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,
  3. c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

2)     prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7.

reklama

  1. Rejestr, o którym mowa w ust. 2 pkt 2, jest jawny. Przepis art. 42 ust. 2 stosuje się odpowiednio.
  2. Administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w ust. 2.
  3. Administratorem bezpieczeństwa informacji może być osoba, która:

1)     ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;

2)     posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;

3)     nie była karana za umyślne przestępstwo.

  1. Administrator danych może powołać zastępców administratora bezpieczeństwa informacji, którzy spełniają warunki określone w ust. 5.
  2. Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.
  3. Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań, o których mowa w ust. 2.
  4. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia:

1)     tryb i sposób realizacji zadań, o których mowa w ust. 2 pkt 1 lit. a i b,

2)     sposób prowadzenia rejestru zbiorów danych, o którym mowa w ust. 2 pkt 2

–    uwzględniając konieczność zapewnienia prawidłowości realizacji zadań administratora bezpieczeństwa informacji oraz niezależności i organizacyjnej odrębności w wykonywaniu przez niego zadań.

Art. 36b. W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych.

Art. 36c. Sprawozdanie, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, powinno zawierać:

reklama

1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania;

2) imię i nazwisko administratora bezpieczeństwa informacji;

3) wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;

4) datę rozpoczęcia i zakończenia sprawdzenia;

5) określenie przedmiotu i zakresu sprawdzenia;

6) opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;

7) stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem;

8) wyszczególnienie załączników stanowiących składową część sprawozdania;

9) podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej – dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania;

10) datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.

Art. 37. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Art. 39. 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:

1) imię i nazwisko osoby upoważnionej;

2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;

3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Art. 39a. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych.

Artykuł 39 Zadania inspektora ochrony danych

1. Inspektor ochrony danych ma następujące zadania:

a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;

d) współpraca z organem nadzorczym;

e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

2. Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

UDOSTĘPNIJ
Poprzedni artykułStatus DPO
Następny artykułInteraktywny tekst GDPR
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.