Ogólne rozporządzenie o ochronie danych (RODO) przewiduje katalog okoliczności, w których wyznaczenie inspektora ochrony danych będzie obligatoryjne. Dowiedz się, w jaki sposób administrator danych będzie zobowiązany poinformować o wyznaczeniu inspektora ochrony danych oraz czy będzie musiał udokumentować decyzję o jego niewyznaczaniu.
Ogólne rozporządzenie o ochronie danych reguluje kwestię inspektorów ochrony danych w przepisach art. 37–39. Zgodnie z art. 37 RODO administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych zawsze, gdy:
W pozostałych przypadkach wyznaczenie inspektora ochrony danych pozostaje decyzją administratora danych.
Jeśli administrator danych zdecyduje się na wyznaczenie inspektora ochrony danych, przepisy RODO nakładają na niego (lub podmiot przetwarzający) obowiązek opublikowania jego danych. Rozwiązanie to jest nowością w stosunku do dotychczasowej praktyki, zgodnie z którą dane administratora bezpieczeństwa informacji (ABI) były dostępne przede wszystkim w jawnym rejestrze ABI prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Jak wskazuje art. 39 ust. 1 pkt e RODO, jednym z wielu zadań inspektora ochrony danych jest pełnienie funkcji punktu kontaktowego w kwestiach związanych z przetwarzaniem. Celem wprowadzonego rozwiązania jest zapewnienie osobom, których dane dotyczą, i organowi nadzorczemu łatwego, bezpośredniego i szybkiego kontaktu z inspektorem ochrony danych (wytyczne Grupy Roboczej Art. 29 dotyczące inspektorów ochrony danych z 13 grudnia 2016 r., WP 243, s. 12). Grupa Robocza Art. 29 rekomenduje, by dane kontaktowe zawierały:
Zgodnie z projektem ustawy o ochronie danych osobowych z 16 marca 2018 r. administrator danych albo podmiot przetwarzający, który wyznaczył inspektora ochrony danych, będzie musiał powiadomić Prezesa Urzędu Ochrony Danych Osobowych (następca GIODO) o jego wyznaczeniu w ciągu 14 dni od dnia wyznaczenia, podając jego imię i nazwisko, adres e-mail, numer telefonu.
Co stanie się w sytuacji, gdy administrator danych nie zdecyduje się wyznaczyć inspektora ochrony danych? Czy wystarczy nie zamieścić informacji o inspektorze ochrony danych na stronie internetowej oraz nie zgłosić jego danych do Prezesa Urzędu Ochrony Danych Osobowych?
Zgodnie z zasadą rozliczalności zawartą w RODO administrator danych będzie musiał zarówno przed organem nadzorczym, jak i przed osobą, której dane dotyczą, rozliczyć się z przestrzegania obowiązujących przepisów. Jeżeli nie wywiąże się z tego obowiązku, może mieć to daleko idące konsekwencje prawne określone w art. 83 ust. 5 pkt a RODO. Jeśli administrator danych nie zdecyduje się na wyznaczenie inspektora ochrony danych, to będzie musiał samodzielnie realizować liczne obowiązki nałożone na niego. Warto więc, by decyzja była świadomym wyborem, a nie wynikiem braku wiedzy lub oszczędności.
Zgodnie z art. 39 RODO inspektor ochrony danych ma być istotnym wsparciem dla administratora danych w procesie przetwarzania danych osobowych m.in. poprzez:
Jeśli administrator danych nie wyznaczy inspektora ochrony danych, powinien zaplanować proces przetwarzania danych osobowych tak, by decyzja ta w żaden sposób nie wpływała negatywnie na przetwarzanie danych.
Udokumentowanie decyzji o niewyznaczeniu inspektora ochrony danych ma szczególne znaczenie w tych przypadkach, w których wyznaczenie go jest obligatoryjne. Z uwagi na nieostry charakter przepisów określonych w art. 37 RODO w praktyce wielu administratorów stanie przed dylematem, czy przesłanki określone w pkt a–c tego artykułu dotyczą jego jednostki organizacyjnej. Właściwe udokumentowanie decyzji o niewyznaczaniu inspektora ochrony danych będzie szczególnie istotne w sytuacjach wątpliwych, w których trudno jest administratorowi podjąć decyzję, czy spełnia przesłanki określone w art. 37 RODO, czy też nie.
Jeżeli administrator danych po przeprowadzonej analizie art. 37 RODO nie zdecyduje się wyznaczyć inspektora ochrony danych, uznając, że nie spełnia kryteriów określonych w tym przepisie, powinien móc wykazać się dowodami potwierdzającymi przyjęte stanowisko. Jeśli w jego ocenie nie kwalifikuje się, np. jako podmiot przetwarzający dane na dużą skalę (chociaż ma odnośnie do tego wątpliwości), do obligatoryjnego wyznaczenia inspektora ochrony danych, powinien móc wskazać przesłanki potwierdzające jego tezę zgodnie z zasadą rozliczalności, tak by móc rozliczyć się zarówno przed osobą, której dane dotyczą, jak i przed Prezesem Urzędu Ochrony Danych Osobowych.
Chociaż przepisy RODO nie nakładają na administratorów danych obowiązku udokumentowania decyzji o niewyznaczeniu inspektora ochrony danych, to w świetle zasady rozliczalności warto móc poprzeć podjętą decyzję konkretnymi dowodami potwierdzającymi przyjęte rozwiązanie.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl