Dotychczasowa instytucja Administratora Bezpieczeństwa Informacji (ABI) przeszła w nowym rozporządzeniu metamorfozę i  nazywał się będzie teraz Inspektorem Ochrony Danych (z ang. Data protection officerDPO) DPO podlega osobom zarządzającym organizacją, ale nie przyjmuje poleceń w zakresie merytorycznego wykonywania swoich zadań. Jego głównym zadaniem jest nadzór nad ochroną danych osobowych i zapewnienie zgodności przetwarzania z przepisami.

Status DPO w praktyce

DPO musi być włączany we wszystkie etapy działań związanych z przetwarzaniem danych osobowych podejmowanych przez przedsiębiorcę oraz musi być terminowo powiadamiany o wszystkich kwestiach dotyczących przetwarzania danych osobowych. Poza tym DPO:

1) w strukturze organizacyjnej przedsiębiorcy podlega bezpośrednio najwyższemu kierownictwu administratora lub procesora,

2) zachowuje w tajemnicy lub poufności szczegóły wykonywanych zadań,

3) może wykonywać inne zadania i obowiązki, o ile nie generują konfliktu interesów,

4) mogą kontaktować się z nim osoby, których dane dotyczą,  we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy rozporządzenia.

Obowiązki ADO oraz podmiotu przetwarzającego (procesora)

Przedsiębiorca, u którego działa DPO, jest obowiązany zapewnić wszelkie niezbędne środki, których DPO potrzebuje do wykonywania swojej pracy, takie jak: przestrzeń biurowa, pracownicy, sprzęt elektroniczny itp. Poza tym przedsiębiorcy:

1) zapewniają udział DPO w sprawach związanych z ochroną danych osobowych,

2) zapewniają DPO odpowiednie narzędzia i dostęp do danych osobowych niezbędnych do wykonywania zadań,

3) umożliwiają DPO aktualizowanie wiedzy fachowej,

4) dbają by jego inne zadania i obowiązki nie generowały konfliktu interesów,

5) nie instruują DPO odnośnie wykonywania zadań z ochrony danych osobowych,

6) nie mogą odwołać ani karać DPO za wykonywanie jego zadań.

Porównanie przepisów UODO/GDPR

Uodo GDPR

art. 36a ust. 7. Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

8. Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań, o których mowa w ust. 2.

9. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia:

1) tryb i sposób realizacji zadań, o których mowa w ust. 2 pkt 1 lit. a i b,

2) sposób prowadzenia rejestru zbiorów danych, o którym mowa w ust. 2 pkt 2

– uwzględniając konieczność zapewnienia prawidłowości realizacji zadań administratora bezpieczeństwa informacji oraz niezależności i organizacyjnej odrębności w wykonywaniu przez niego zadań.

 

 

 

 

 

 

 

 

 

 

Artykuł 38 Status inspektora ochrony danych

1. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

2. Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.

3. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

4. Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.

5. Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego.

6. Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.

Related Post

UDOSTĘPNIJ
Poprzedni artykuł800 aktów prawnych do przejrzenia przed początkiem stosowania rozporządzenia GDPR
Następny artykułZadania DPO
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.