W ramach usługi — obsługa prawna firm — świadczymy kompleksowe usługi z zakresu ochrony danych osobowych, w tym także usługi outsourcingu funkcji inspektora ochrony danych na terenie Warszawy i okolic zgodnie z wymogami przepisów rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO) oraz ustawy o ochronie danych osobowych z dnia 10 maja 2018 r.
Nowe obowiązki nałożone na administratorów
RODO wprowadza m.in. łatwiejszy dostęp do danych, obowiązek informowania o naruszeniu danych osobowych czy szereg nowych obowiązków nałożonych na administratorów danych osobowych, a w tym konieczność powołania inspektora ochrony danych osobowych. Warto wskazać, iż konieczność powołania inspektora ochrony danych osobowych w sytuacjach określonych przepisami RODO ciąży również na podmiocie przetwarzającym. Podmioty te, zamiast zatrudniać osobę na stanowisku inspektora ochrony danych osobowych, mogą zawrzeć umowę z firmą zewnętrzną, która będzie na ich zlecenie wykonywała czynności w ramach usługi outsourcingu funkcji inspektora ochrony danych.
Powołanie inspektora ochrony danych osobowych
Zgodnie z RODO obowiązek wyznaczenia IOD istnieje, gdy:
- przetwarzanie danych osobowych jest dokonywane przez organy publiczne;
- główna działalność podmiotów polega na takich operacjach przetwarzania danych osobowych, które wymagają monitorowania osób (musi być to jednak monitorowanie regularne i systematyczne);
- na dużą skalę przetwarzane są szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.
W przypadku wystąpienia powyższych okoliczności przedsiębiorcy będą zobligowani do powołania IOD, a zatem do zawarcia porozumień z zakresu outsourcingu funkcji IOD.
W przepisach RODO zabrakło definicji terminu „duża skala”. W jednym z jego motywów wskazuje się jednak m. in. na przetwarzanie znacznej ilości danych osobowych, co wpływać może na dużą liczbę osób, których dane dotyczą. Ocena czy kryterium takie zachodzi musi więc być dokonywane za każdym razem indywidualnie.
Za przetwarzanie danych na „dużą skalę” uznać można następujące okoliczności:
- przetwarzanie danych pacjentów przez szpital;
- śledzenie osób za pomocą kart miejskich;
- działalność bankowa, ubezpieczeniowa itp.
Przepisy RODO nie wprowadzają definicji podmiotów administracji publicznej, pozostawiając to do kognicji ustawodawstw krajowych. Polski ustawodawca doprecyzował w ustawie o ochronie danych osobowych, iż za organy i podmioty publiczne uważane być powinny m. in.:
- jednostki sektora finansów publicznych;
- instytuty badawcze;
- Narodowy Bank Polski.
Warto wskazać, iż grupa przedsiębiorców może wyznaczyć jednego IOD.
Ponadto należy podkreślić, iż Grupa Robocza powołana na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. będąca niezależnym organem doradczym w zakresie ochrony danych i prywatności (dalej „Grupa Robocza”) rekomenduje wyznaczenie IOD również w odniesieniu do podmiotów do tego niezobowiązanych.
Zadania IOD
Zgodnie z RODO zadaniami IOD są:
- informowanie administratora oraz podmiotu przetwarzającego (jak również ich pracowników) o obowiązkach, jakie spoczywają na nich na gruncie RODO oraz innych przepisów powszechnie obowiązujących z zakresu ochrony danych osobowych;
- monitorowanie przestrzegania przepisów o ochronie danych osobowych;
- udzielanie zaleceń celem wsparcia administratora w stworzeniu oceny skutków dla ochrony danych osobowych zgodnie z wymogami RODO;
- pełnienie funkcji osoby kontaktowej pośredniczącej pomiędzy administratorem (podmiotem przetwarzającym) a organem nadzorczym.
Wszystkie czynności wskazane powyżej są również wykonywane przez naszą Kancelarię w ramach outsourcingu IOD m.in. na terenie Warszawy i okolic.
Status inspektora ochrony danych osobowych
Inspektor RODO może pełnić swą funkcję na podstawie umowy cywilnoprawnej i jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań. Inspektor ochrony danych osobowych jest niezależny, co oznacza, że nie może otrzymywać jakichkolwiek instrukcji dotyczących wykonywania swych zadań. Nie jest on również odwoływany ani karany za wypełnianie swoich zadań. Inspektor RODO podlega bezpośrednio i wyłącznie kierownictwu administratora (podmiotu przetwarzającego), np. zarządowi spółki.
Podsumowanie
Obowiązek wyznaczenia IOD istnieje wyłącznie w przypadkach wskazanych w przepisach RODO. Mając jednak na uwadze, iż częściowo ustawodawca posłużył się sformułowaniami niedookreślonymi, takimi jak „stałe monitorowanie osób”, czy przetwarzanie danych osobowych na „dużą skalę”, administratorzy oraz podmioty przetwarzające winny w sposób kompleksowy przeanalizować dane przez siebie przetwarzane oraz charakter takiego przetwarzania celem ustalenia, czy obowiązek powołania inspektora ochrony danych osobowych spoczywa również na nich. Obowiązek taki może być również spełniony poprzez outsourcing funkcji IOD. Warto wskazać, iż Grupa Robocza z ostrożności rekomenduje wyznaczenie IOD także przez podmioty do tego nieobowiązane, zatem również pozostali przedsiębiorcy m.in. z Warszawy i okolic mogą skorzystać z oferty naszej Kancelarii w zakresie pełnienia funkcji inspektora ochrony danych osobowych.
Powrót do podstrony — Szkolenie RODO