Wybór DPO musi być decyzją dobrze przemyślaną. Inspektor musi posiadać doświadczenie zawodowe i wiedzę specjalistyczną w dziedzinie ochrony danych, w tym głębokie zrozumienie rozporządzenia o ochronie danych UE (GDPR).

Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług. Konstrukcja przepisu jednoznacznie wskazuje na możliwość outsourcingu świadczonego przez wyspecjalizowane w tym podmioty.

Powołanie DPO jest fakultatywne. Podmiotami, które mogą go powołać są:

1) administrator;

2) procesor.

Administrator lub procesor publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy.

Obowiązkowe wyznaczenie

Powołanie DPO przez administratora danych i przez procesora jest obowiązkowe, gdy:

1) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

2) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają monitorowania osób, których dane dotyczą, prowadzonego regularnie i systematycznie oraz na dużą skalę;

3) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę:

a) szczególnych kategorii danych osobowych (danych wrażliwych) – danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby; oraz

b) danych osobowych dotyczących wyroków skazujących i naruszeń prawa;

4) wymaga tego prawo Unii lub prawo państwa członkowskiego.

Jeden DPO dla kilku ADO

Możliwość wyznaczenia jednego DPO dla kilku podmiotów – jednego inspektora ochrony danych może wyznaczyć:

1) grupa przedsiębiorstw, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej – RODO/GDPR wprost wskazuje na możliwość pełnienia funkcji DPO przez jedną osobę dla całej grupy przedsiębiorstw;

2) organ lub podmiot publiczny, jeżeli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, należy brać przy tym pod uwagę ich wielkość i strukturę organizacyjną.

Wymogi wobec inspektora ochrony danych

Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności:

1) wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych; oraz

2) umiejętności wypełnienia zadań, o których mowa w art. 39.

Wymagany poziom wiedzy nie jest ściśle określony, ale oczywiście powinien być współmierny do charakteru i zakresu danych, „rozmachu” procesów przetwarzania danych, a także samej wielkości organizacji przedsiębiorcy. Również logiczne wydaje się, że DPO powinien wyróżniać się umiejętnościami komunikacyjnymi, ponieważ do pełnienia tej funkcji nie jest wystarczająca sama znajomość przepisów – DPO musi również być zdolny do efektywnego i wiarygodnego dzielenia się swoją wiedzą. Dodatkowo, DPO musi być zorientowany w sztuce zarządzania zmianą, aby móc biegle stosować swoją wiedzę do opracowywania i wdrażania konkretnej praktyki ochrony danych.

Porównanie przepisów UODO/GDPR

Uodo GDPR

Art. 36a. 1. Administrator danych może powołać administratora bezpieczeństwa informacji.

2. Do zadań administratora bezpieczeństwa informacji należy:

1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:©Kancelaria Sejmu s. 19/30 2016-03-11

a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,

c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7.

3. Rejestr, o którym mowa w ust. 2 pkt 2, jest jawny. Przepis art. 42 ust. 2 stosuje się odpowiednio.

4. Administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w ust. 2.

5. Administratorem bezpieczeństwa informacji może być osoba, która:

1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;

2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;

3) nie była karana za umyślne przestępstwo.

6. Administrator danych może powołać zastępców administratora bezpieczeństwa informacji, którzy spełniają warunki określone w ust. 5.

Art. 46b. 1. Administrator danych jest obowiązany zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania.

2. Zgłoszenie powołania administratora bezpieczeństwa informacji do rejestracji powinno zawierać:

1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;

2) dane administratora bezpieczeństwa informacji:

a) imię i nazwisko,

b) numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość,

c) adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 1;

3) datę powołania;

4) oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji warunków określonych w art. 36a ust. 5 i 7.

3. Zgłoszenie odwołania administratora bezpieczeństwa informacji powinno zawierać:

1) dane, o których mowa w ust. 2 pkt 1 i pkt 2 lit. a i b;

2) datę i przyczynę odwołania.

4. Na żądanie administratora danych lub administratora bezpieczeństwa informacji Generalny Inspektor wydaje zaświadczenie o zarejestrowaniu administratora bezpieczeństwa informacji.

5. Administrator danych jest obowiązany zgłosić Generalnemu Inspektorowi zmianę informacji objętych zgłoszeniem, o którym mowa w ust. 2, w terminie 14 dni od dnia zmiany. Do zgłaszania zmian stosuje się odpowiednio przepisy o zgłoszeniu powołania administratora bezpieczeństwa informacji.©Kancelaria Sejmu s. 26/30 2016-03-11

Art. 46c. Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji, zawierający informacje, o których mowa w art. 46b ust. 2 pkt 1 i pkt 2 lit. a i c.

Art. 46d. 1. Wykreślenie administratora bezpieczeństwa informacji z rejestru administratorów bezpieczeństwa informacji następuje po powiadomieniu o jego odwołaniu albo w przypadku jego śmierci.

2. Generalny Inspektor z urzędu wydaje administratorowi danych decyzję o wykreśleniu administratora bezpieczeństwa informacji z rejestru administratorów bezpieczeństwa informacji, jeżeli:

1) administrator bezpieczeństwa informacji nie spełnia warunków określonych w art. 36a ust. 5 lub 7;

2) administrator bezpieczeństwa informacji nie wykonuje zadań określonych w art. 36a ust. 2;

3) administrator danych nie powiadomił o odwołaniu administratora bezpieczeństwa informacji.

3. Do administratora danych będącego adresatem decyzji, o której mowa w ust. 2, nie stosuje się zwolnienia, o którym mowa w art. 43 ust. 1a.

Art. 46e. 1. W przypadku ponownego zgłoszenia przez administratora danych do rejestracji Generalnemu Inspektorowi powołania administratora bezpieczeństwa informacji wykreślonego z rejestru administratorów bezpieczeństwa informacji na podstawie art. 46d ust. 2, Generalny Inspektor, w drodze decyzji administracyjnej:

1) wpisuje administratora bezpieczeństwa informacji do rejestru administratorów bezpieczeństwa informacji po stwierdzeniu, że nie zachodzą przyczyny wykreślenia z rejestru, o których mowa w art. 46d ust. 2 pkt 1 i 2;

2) odmawia wpisania administratora bezpieczeństwa informacji do rejestru administratorów bezpieczeństwa informacji, jeżeli nie zostały usunięte przyczyny wykreślenia z rejestru, o których mowa w art. 46d ust. 2 pkt 1 i 2.

2. Do administratora danych, który ponownie zgłosił do rejestracji administratora bezpieczeństwa informacji wykreślonego na podstawie art. 46d ust. 2, zwolnienie z obowiązku rejestracji zbioru określone w art. 43 ust. 1a stosuje się po wpisaniu zgłoszonego administratora bezpieczeństwa informacji do rejestru administratorów bezpieczeństwa informacji.

Art. 46f. Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, wzory zgłoszeń administratora bezpieczeństwa informacji, o których©Kancelaria Sejmu s. 27/30 2016-03-11

mowa w art. 46b ust. 2 i 3, uwzględniając konieczność zapewnienia Generalnemu Inspektorowi informacji niezbędnych do prawidłowego realizowania jego zadań.

Artykuł 37 Wyznaczenie inspektora ochrony danych

1. Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

2. Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.

3. Jeżeli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych.

4. W przypadkach innych niż te, o których mowa w ust. 1, administrator, podmiot przetwarzający, zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających mogą wyznaczyć lub jeżeli wymaga tego prawo Unii lub prawo państwa członkowskiego, wyznaczają inspektora ochrony danych. Inspektor ochrony danych może działać w imieniu takich zrzeszeń i innych podmiotów reprezentujących administratorów lub podmioty przetwarzające.

5. Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39.

6. Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.

7. Administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Related Post