UWAGA!

Od 25 maja 2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych. Nowa strona internetowa urzędu jest dostępna pod adresem: www.uodo.gov.pl.

Materiały zamieszczone na stronie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dostępnej pod adresem www.giodo.gov.pl mają charakter archiwalny.

POZOSTAŃ NA STRONIE ARCHIWALNEJ (GIODO)

Od 25 maja 2018 r. inspektor ochrony danych obowiązkowy we wszystkich podmiotach publicznych

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Monika Młotkiewicz 2018-03-15
Wprowadził‚ informację: Edyta Madziar 2018-03-15 13:03:54
Ostatnio modyfikował: Edyta Madziar 2018-03-19 08:49:45

Wszystkie podmioty sektora publicznego od 25 maja 2018 r., czyli od dnia, w którym zaczniemy w Polsce stosować RODO, będą zobowiązane do posiadania inspektora ochrony danych i udzielania mu wsparcia w zakresie wykonywania jego zadań.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (ogólne rozporządzenie o ochronie danych - RODO) nakłada obowiązek wyznaczenia inspektora ochrony danych przez każdy organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (art. 37 ust. 1 pkt a RODO). RODO wprowadziło w tym zakresie istotną zmianę. Wyznaczenie inspektora ochrony danych (obecnego ABI) w podmiotach sektora publicznego nie będzie, jak dotąd (na mocy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych) uprawnieniem, lecz stanie się obowiązkiem wszystkich organów i podmiotów publicznych.

Obowiązek wyznaczenia inspektora przez wszystkie podmioty sektora finansów publicznych

Jak wskazuje projekt nowej ustawy o ochronie danych osobowych (wersja z 3 marca 2018 r.), przez organy i podmioty publiczne zobowiązane do wyznaczenia inspektora ochrony danych rozumiane będą organy oraz podmioty publiczne wskazane w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych oraz instytuty badawcze w rozumieniu ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych. Jeśli przepis w takim brzmieniu zostanie uchwalony, to obowiązek wyznaczenia inspektora ochrony danych, będą miały, m.in:

  • organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały,
  • jednostki samorządu terytorialnego oraz ich związki,
  • samodzielne publiczne zakłady opieki zdrowotnej,
  • uczelnie publiczne,
  • inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego,
  • instytuty badawcze w rozumieniu ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych.

Przepis taki wyraźnie przesądzałby o obowiązku wyznaczenia inspektora ochrony danych również przez sądy i trybunały, przy czym w ich przypadku - ze względu na ochronę niezawisłości sędziowskiej - z zakresu kompetencji inspektora będą wyłączone operacje przetwarzania danych mieszczące się w czynnościach orzeczniczych (sprawowania wymiaru sprawiedliwości).

Obowiązek zapewnienia odpowiedniego wsparcia i właściwe usytuowanie inspektora w strukturze organizacyjnej

Obowiązkiem kierownictwa podmiotu publicznego jest zapewnienie odpowiedniego wsparcia inspektorowi ochrony danych. Zgodnie z art. 38 ust. 2 RODO, administrator wspiera inspektora ochrony danych w wypełnianiu przez niego zadań, zapewniając mu niezbędne do tego zasoby oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej. Ponadto do obowiązków administratorów danych należy zapewnienie, aby inspektor ochrony danych:

  • podlegał bezpośrednio najwyższemu kierownictwu podmiotu publicznego (art. 38 ust. 3 RODO),
  • miał zapewniony udział we wszystkich zagadnieniach związanych z ochroną danych osobowych (art. 38 ust. 1 RODO),
  • nie otrzymywał instrukcji dotyczących wykonywania zadań (art. 38 ust. 3 RODO),
  • nie został odwołany lub ukarany za wypełnianie przez niego jego zadań (art. 38 ust. 3 RODO),
  • nie otrzymywał innych zadań i obowiązków, jeśli mogłyby one spowodować konflikt interesów (art. 38 ust. 6 RODO).

W celu zapewnienia niezależności inspektorowi, administrator lub podmiot przetwarzający powinni zatem wprowadzić wewnętrzne regulacje gwarantujące inspektorowi ochrony danych niezależność i skuteczność w wykonywaniu przez niego obowiązków i zadań. Odnosi się to zwłaszcza do podmiotów publicznych czy też podmiotów o złożonych strukturach, które będą musiały dostosować swoje regulaminy organizacyjne oraz statuty tak, aby ten cel osiągnąć.

Obowiązek zapewnienia inspektorowi możliwości skutecznego realizowania zadań

W odniesieniu do zakazu nakładania na inspektora dodatkowych zadań, mogących spowodować konflikt interesów, należy dodać, że w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych było przyjęte zbliżone rozwiązanie. Zgodnie z art. 36a ust. 4 u.o.d.o., administrator danych może powierzyć ABI inne zadania jedynie wówczas, gdy nie naruszy to prawidłowego wykonywania zadań ABI. Wymóg ten zobowiązuje administratora w każdej konkretnej sytuacji do starannego przeanalizowania, czy jakiekolwiek inne zadania funkcje, jakimi zamierzałby obarczyć ABI, nie utrudniłyby mu właściwego wykonywania jego ustawowych obowiązków. W tym zakresie brane muszą być pod uwagę rozmaite i liczne czynniki, np. ilość czasu potrzebnego na wykonywanie poszczególnych obowiązków, stopień skomplikowania i ważności zadań, rezerwa czasowa na nieplanowane zadania, ilość i rodzaj danych osobowych oraz procesów i systemów informatycznych służących do ich przetwarzania (więcej informacji na temat możliwości łączenia funkcji ABI z innymi zadaniami i funkcjami można znaleźć w prowadzonym przez GIODO serwisie ABI-Informator w sekcji Pytania i odpowiedzi/Powołanie i status ABI).

Efektywna pomoc inspektora ochrony danych jest w interesie podmiotu publicznego

Zasadniczą rolą inspektorów ochrony danych będzie doradzanie i weryfikacja prawidłowości wykonywania obowiązków wynikających z przepisów prawa dotyczących przetwarzania danych osobowych (więcej na temat obowiązku wyznaczenia inspektora ochrony danych oraz jego zadań można znaleźć w ABI – Informatorze, w sekcji Inspektor Ochrony Danych). Rola ta nie oznacza przeniesienia na inspektora ochrony danych odpowiedzialności za zgodne z prawem przetwarzanie danych osobowych, ponieważ nadal to administrator danych będzie ponosił pełną odpowiedzialność za zgodne z prawem przetwarzanie danych osobowych. Dlatego w interesie kierownictwa każdego podmiotu publicznego jest mieć niezależnego, właściwie usytuowanego w strukturze organizacyjnej, inspektora ochrony danych, który będzie mógł efektywnie realizować swoje obowiązki.

 

 

Ostatnie aktualności