ABI czy IODO?

Jowita Kania-Stachura01 marca 2018Komentarze (0)

Szanowni Państwo!
Wstyd mi, że od 3 tygodni na blogu nie ukazywały się żadne nowe artykuły. Wytłumaczeń mam kilka, ale żadne nie jest tak dobre, żeby nim Państwa zadręczać. Zresztą kto uwierzy, że życie prawnika też niekiedy bywa trudne? 🙂  W każdym razie obiecuję poprawę.

Ostatnio dostaję wiadomości od Administratorów Bezpieczeństwa Informacji (ABI) z powtarzającym się pytaniem, jak będzie wyglądała ich rola w momencie rozpoczęcia stosowania przepisów RODO i co najważniejsze, czy będą oni jeszcze do czegoś potrzebni. Podsunęło mi to pomysł na kolejne wpisy dotyczące właśnie tego zagadnienia, dlatego w najbliższym czasie zajmiemy się tematem ABIego i jego następcą – Inspektorem Ochrony Danych Osobowych (IODO).

RODO oczywiście zmienia stare uregulowania dotyczące ABIego, a dodatkowo wprowadza zupełnie nowe rozwiązania. Przede wszystkim ABI będzie się teraz nazywał Inspektorem Ochrony Danych Osobowych (IODO), co zapewne na samym początku będzie rodzić różne problemy pojęciowe. Dotychczas Inspektorem Ochrony Danych był bowiem urzędnik państwowy, a teraz nazywać się tak będzie po prostu nasz dobrze znany ABI.

Na mocy obowiązującej ustawy o ochronie danych osobowych powołanie ABI nie było obowiązkowe, ale administrator danych, który zdecydował się na korzystanie z jego usług, miał obowiązek zgłoszenia do GIODO faktu „powołania” ABI w terminie 30 dni od dokonania tej czynności. W nowym stanie prawnym, w pewnych okolicznościach wyznaczenie IODO będzie obowiązkowe, natomiast w pozostałych sytuacjach skorzystanie z jego usług zależeć będzie wyłącznie od decyzji administratora danych, albo podmiotu przetwarzającego.

Należy jednak zwrócić uwagę, na wytyczne ustawodawcy europejskiego dotyczące stosowania RODO, w których podkreśla się, że każdy administrator (lub podmiot przetwarzający), który nie ma prawnego obowiązku wyznaczenia IODO powinien samodzielnie ocenić, czy pomimo wszystko nie jest to wskazane. Mówiąc wprost, każdy podmiot przetwarzający dane powinien sprawdzić i zadać sobie pytanie, czy nie byłoby korzystniej i bezpiecznej wyznaczyć IODO. Oznacza to, że również Państwo powinniście przeprowadzić swoisty uproszczony audyt wewnętrzny, na podstawie którego zdecydujecie, czy wyznaczyć IODO, czy nie. Jest to wprawdzie autonomiczna decyzja administratora (podmiotu przetwarzającego), aczkolwiek w sytuacji ewentualnej kontroli będzie ona podlegała sprawdzeniu przez organ nadzorczy. Z tego powodu zalecam nie tylko wykonanie tego „uproszczonego audytu”, ale również sporządzenie krótkiego i prostego dokumentu, który będzie zawierał powody i przesłanki uzasadniających to, dlaczego wyznaczono IODO, albo dlaczego tego nie zrobiono.

Tak jak poprzednio, funkcję IODO pełnić może tylko osoba fizyczna, co nie oznacza jednak, że nie można dokonać outsourcingu jego zadań. Jak najbardziej administrator danych może zawrzeć umowę z wyspecjalizowanym podmiotem zewnętrznym, dotyczącą zapewnienia ochrony danych osobowych i zabezpieczania oraz koordynacji sposobów przetwarzania. Na podstawie ww. umowy może dojść do przekazania nawet innej spółce obowiązku wykonywania czynności przypisanych do IODO, aczkolwiek należy wówczas wskazać, jaka osoba fizyczna będzie za nie osobiście odpowiedzialna, a zatem kto będzie formalnie Inspektorem.

Kiedy więc wyznaczenie IODO jest obowiązkowe? Zgodnie z art. 37 ust. 1 RODO: „Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10”.

Wyjaśnieniem o co chodzi w art. 37 zajmiemy się w kolejnym wpisie. Już teraz zapraszam do czytania.


Warning: count(): Parameter must be an array or an object that implements Countable in /home/emarketi/domains/wszystkoorodo.pl/public_html/wp-content/themes/thesis_189/lib/classes/comments.php on line 43

{ 0 komentarze… dodaj teraz swój }

Dodaj komentarz

Wyrażając swoją opinię w powyższym formularzu wyrażasz zgodę na przetwarzanie przez Kania Stachura Toś Kancelaria Radców Prawnych Twoich danych osobowych w celach ekspozycji treści komentarza zgodnie z zasadami ochrony danych osobowych wyrażonymi w Polityce Prywatności

Administratorem danych osobowych jest Kania Stachura Toś Kancelaria Radców Prawnych z siedzibą w Krakowie.

Kontakt z Administratorem jest możliwy pod adresem jowita.kania@kancelariakst.pl.

Pozostałe informacje dotyczące ochrony Twoich danych osobowych w tym w szczególności prawo dostępu, aktualizacji tych danych, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu na dalsze ich przetwarzanie znajdują się w tutejszej Polityce Prywatności. W sprawach spornych przysługuje Tobie prawo wniesienia skargi do Generalnego Inspektora Ochrony Danych Osobowych.

Poprzedni wpis:

Następny wpis: