GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych
21 kwietnia 2017

Inspektor Ochrony Danych (IOD) ma dostęp do wszystkich procesów biznesowych firmy – Niezależność ABI/DPO cz. 2

Udostępnij publikację:
Inspektor Ochrony Danych (IOD) ma dostęp do wszystkich procesów biznesowych firmy – Niezależność ABI/DPO cz. 2

Prawo do właściwego i niezwłocznego włączania IOD (DPO) we wszystkie sprawy dotyczące ochrony danych osobowych w firmie, to jedno z nowych praw, które otrzyma Inspektor Ochrony Danych na podstawie unijnego rozporządzenia (GDPR/RODO). Jak to prawo będzie respektowane okaże się po 25 maja 2018 roku, a być może już w trakcie przygotowań do wdrożenia GDPR.  Otwieramy tym zagadnieniem cykl artykułów poświęconych niezależności ABI/DPO.

Konstrukcja niezależności ABI jest doskonale znana na gruncie krajowym. Ustawa o ochronie danych osobowych wskazuje, że administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań” (art. 36a ust. 8). Włączanie ABI we wszystkie sprawy dotyczące ochrony danych osobowych w obecnym stanie prawnym polega na zaangażowaniu go w sprawy dotyczące m.in.: wystąpienia incydentu godzącego w bezpieczeństwo przetwarzanych danych, szkoleń celem podnoszenia świadomości pracowników i współpracowników administratora danych, obsługi wniosków o udostępnienie danych osób, których dane są przetwarzane przez firmę,  czy opiniowania umów powierzenia przetwarzania danych osobowych.

GDPR w motywie 97 wskazuje na gwarancję niezależności DPO. Zgodnie z jego dosłownym brzmieniem „inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny”.

Wymóg włączania DPO we wszystkie sprawy dotyczące ochrony danych osobowych został wskazany w art. 38 ust. 1 GDPR. Przy czym kluczowe są słowa „właściwie i niezwłocznie”. Tym samym wszelka zwłoka i wprowadzanie DPO w błąd lub zatajenie przed nim kluczowych kwestii związanych z planowanymi projektami, w których przetwarzane będą dane osobowe, nie powinno mieć miejsca. Nieterminowe bądź nierzetelne informowanie DPO może obniżyć standardy ochrony danych osobowych w organizacji i przyczynić się tym samym do większego prawdopodobieństwa wystąpienia incydentu zagrażającego bezpieczeństwu przetwarzanych danych. Wcześniejsze zaznajomienie się DPO w projekcie z kwestiami odnoszącymi się do ochrony danych osobowych pozwoli w sposób precyzyjny i dokładny ocenić problem i zaproponować rozwiązania, które nie będą nadmiernie zaburzały  procesów funkcjonujących w organizacji.

Prawo do włączania DPO we wszystkie sprawy z zakresu ochrony danych osobowych powinno mieć szczególnie zastosowanie w kontekście nowych mechanizmów z jakimi przyjdzie się zmierzyć administratorowi danych/podmiotowi przetwarzającemu w najbliższym czasie.

Privacy by design

W kontekście „Privacy by design” funkcja DPO polega na uwzględnianiu w planowanym projekcie ochrony prywatności od samego początku tworzenia określonego produktu. Celem DPO jest uwzględnienie ochrony danych osobowych, która często w fazie projektowej produktów jest całkowicie ignorowana bądź też w sposób znaczący ograniczana. Inspektor Ochrony Danych  powinien wskazywać, że prywatność powinna być uwzględniana w przypadku tworzenia nowych systemów informatycznych służących do przetwarzania danych osobowych, opracowywania różnorakich instrukcji, polityk czy dokumentów mogących znacząco oddziaływać na prawa osób, których dane dotyczą. Postępowanie DPO w tym zakresie powinno cechować się tym, że jest ono indywidualne i umożliwiające w każdym czasie modernizowanie rozwiązań do konkretnego stanu i potrzeb.

Ocena skutków przetwarzania danych osobowych – DPIA

Jeśli chodzi o DPIA to administrator danych/podmiot przetwarzający powinien zasięgnąć opinii DPO w następujących kwestiach:

  • Czy wykonać DPIA?
  • Jaką metodologię należy przyjąć przy dokonywaniu oceny skutków dla ochrony danych osobowych?
  • Czy dokonać oceny skutków samodzielnie czy zlecić to zadanie „na zewnątrz”?
  • Jakie zabezpieczenia (w tym środki techniczne i organizacyjne) należy wdrożyć w celu zminimalizowania ryzyka wystąpienia incydentów godzących w bezpieczeństwo przetwarzanych danych w przyszłości?
  • Oceny czy DPIA została prawidłowo przeprowadzona.
  • Wskazanie na wnioski w zakresie tego, jakie dalsze czynności należy podjąć w celu zapewnienia przetwarzania danych osobowych w sposób zgodny z GDPR[1].

Risk based approach

Art. 39 ust. 2 GDPR wskazuje, że “inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania”. W tym zakresie DPO powinien doradzać administratorowi danych/podmiotowi przetwarzającemu, które obszary działalności powinny podlegać wewnętrznemu lub zewnętrznemu audytowi ochrony danych, które szkoleniu z zakresu ochrony danych osobowych, a także, na które operacje przetwarzania poświęcić więcej środków technicznych i organizacyjnych.

Przeszkody  jakie może  napotkać Inspektor Ochrony Danych egzekwując nowe prawo

Problemy mogą dotyczyć dotyczą w głównej mierze przypadków:

  • nieposiadania przez pracowników i współpracowników wiedzy o tym, czy dana kwestia związana jest z ochroną danych osobowych oraz czy określone informacje stanowią daną osobową. Jest to często konsekwencją braku szkoleń z zakresu ochrony danych osobowych podnoszących świadomość personelu w zakresie przetwarzanych danych.
  • brak ustalonej procedury czy instrukcji dotyczącej formy i trybu konsultacji z ABI/DPO w przypadku realizacji kluczowego przedsięwzięcia firmy. Często w organizacjach zdarza się sytuacja, w której to pracownik nie wie kim jest ABI, jak się z nim skontaktować oraz w jakich kwestiach należy się do niego zwracać. ABI już teraz powinni zadbać o przejrzystość procesów i prawidłową komunikację na linii administrator danych – ABI/DPO, podmiot przetwarzający – ABI/DPO, pracownik/współpracownik – ABI/DPO.
  • informowania ABI wyłącznie w przypadku wystąpienia incydentu zagrażającego bezpieczeństwu przetwarzanych danych. Prawo do właściwego i niezwłocznego włączania we wszystkie sprawy dotyczące ochrony danych osobowych powinno być standardowym postępowaniem w organizacji, a nie wyłącznie incydentalnym przypadkiem.

Pewnych kluczowych informacji udziela nam również Grupa Robocza art. 29. Zgodnie z jej wytycznymi[2] Inspektor Ochrony Danych  powinien:

  • brać czynny udział w spotkaniach przedstawicieli wyższego i średniego szczebla organizacji
  • brać udział w podejmowaniu strategicznych decyzji dotyczących ochrony danych osobowych. Istotne przy tym jest to by niezbędne informacje odnośnie projektów zostały udostępnione DPO z odpowiednim wyprzedzeniem w celu możliwości zajęcia przez niego stosownego stanowiska.
  • być informowany o zaistniałych naruszeniach oraz incydentach godzących w bezpieczeństwo przetwarzanych danych.

Prawo do właściwego i niezwłocznego włączania DPO we wszystkie sprawy dotyczące ochrony danych osobowych stanowi narzędzie umożliwiające DPO wykonywanie zadań w zakresie ciągłego informowania i systematycznego doradzania administratorowi danych/podmiotowi przetwarzającemu w celu przestrzegania przez nich obowiązków szczegółowo wskazanych w GDPR.

Niezależność DPO w kontekście prawa do właściwego i niezwłocznego włączania we wszystkie sprawy dotyczące ochrony danych osobowych powinno charakteryzować się tym, że administratorzy danych/podmioty przetwarzające powinni/powinny wprowadzić wewnętrzne zasady i procedury, które zapewnią faktyczny i realny dostęp DPO do wszystkich spraw związanych z ochroną danych osobowych. Precyzyjnie określony przepływ informacji dotyczących ochrony danych osobowych na linii administrator danych – DPO, pracownik – DPO, podmiot przetwarzający – DPO, organ nadzorczy – DPO zminimalizuje możliwość wystąpienia incydentu godzącego w bezpieczeństwo przetwarzanych danych w organizacji, który skutkować może zaburzeniem procesów przetwarzania danych osobowych i mieć tym samym negatywny wpływ na prywatność osób, których dane dotyczą.  Podkreślenia wymaga również fakt, że brak realizacji wskazanego prawa DPO przez organizację skutkować może odpowiedzialnością administracyjną określoną w art. 83 ust. 4 GDPR/RODO, która jest zagrożona sankcją do 10 000 000 euro lub do 2% rocznego globalnego obrotu.

[1] Wytyczne Grupy Roboczej art. 29. dotyczące inspektorów ochrony danych osobowych przyjęte w dniu 13 grudnia 2016r.

[2] Tamże, s. 13.

Więcej artykułów o niezależności ABI /IOD:

Niezależność Administratora Bezpieczeństwa Informacji (ABI) /Inspektora Ochrony Danych (IOD) –nowy cykl artykułów o gwarancji niezależności Inspektora Ochrony Danych

Pozostałe artykuły

Kara za brak skutecznego wyznaczenia IOD
Kara za brak skutecznego wyznaczenia…
20 listopada 2024
Odwołanie zgody musi być równie łatwe, jak jej udzielenie – wyrok NSA!
Odwołanie zgody musi być równie…
18 listopada 2024
Ewentualne przyszłe roszczenia mogą uzasadniać przechowywanie danych
Ewentualne przyszłe roszczenia mogą uzasadniać…
13 listopada 2024
Jak szczegółowo należy kontrolować dalsze podmioty przetwarzające? 
Jak szczegółowo należy kontrolować dalsze…
6 listopada 2024
Jak przetwarzać dane na podstawie prawnie uzasadnionego interesu?
Jak przetwarzać dane na podstawie…
4 listopada 2024
Ważne wnioski po seminarium UODO i ZUS
Ważne wnioski po seminarium UODO…
30 października 2024
Numer telefonu prezesa zarządu spółki nie podlega ochronie przewidzianej w RODO
Numer telefonu prezesa zarządu spółki…
28 października 2024
Problemy z danymi osobowymi przy Lex Kamilek
Problemy z danymi osobowymi przy…
23 października 2024
Surowe kary za liczne naruszenia firm świadczących usługi jasnowidztwa
Surowe kary za liczne naruszenia…
21 października 2024
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies