Aktualny

SABI: Inspektor nie może zbierać dowodów przeciwko ADO

Wioleta Szczygielska

Autor: Wioleta Szczygielska

Dodano: 28 marca 2017
SABI: Inspektor nie może zbierać dowodów przeciwko ADO

21 lutego 2017 r. odbyło się spotkanie Stowarzyszenia Administratorów Bezpieczeństwa Informacji (SABI) z przedstawicielami Ministerstwa Cyfryzacji w sprawie przedstawionego przez GIODO projektu nowej ustawy, która uzupełni unijne rozporządzenie ogólne o ochronie danych osobowych.

SABI odniosło się do dwóch przepisów projektu GIODO, które dotyczą administratorów bezpieczeństwa informacji. Pierwszy z nich dotyczy tego, że przyszły organ nadzorczy (obecnie GIODO) będzie mógł zwracać się do „nowych ABI” (inspektorów ochrony danych) o udzielenie informacji odnośnie do przetwarzania danych. Informacje te będą natomiast dowodem w postępowaniu. Drugi przepis przewiduje, że administratorzy bezpieczeństwa informacji z mocy prawa staną się inspektorami ochrony danych po 25 maja 2018 r.

SABI: Propozycje GIODO niezgodne z ogólnym rozporządzeniem

Stowarzyszenie Administratorów Bezpieczeństwa Informacji negatywnie odniosło się do propozycji GIODO, zgodnie z którą inspektor będzie gromadził dla organu nadzorczego materiał dowodowy w postępowaniach, w których administrator jest stroną. Zdaniem SABI zapis ten jest niezgodny z ogólnym rozporządzeniem i może mieć negatywne konsekwencje dla prawidłowego wykonywania zadań przez inspektora. Stowarzyszenie ostrzega, że przyjęcie tego przepisu spowoduje konflikt interesów w działalności inspektora oraz naruszy zasadę lojalności względem ADO. W konsekwencji uniemożliwi prawidłowe realizowanie zadań inspektora – twierdzi SABI.

Zdaniem Stowarzyszenia propozycja GIODO jest sprzeczna z rolą inspektora przedstawioną w wytycznych Grupy Roboczej Art. 29, który ma wspomagać administratora w zachowaniu zgodności z rozporządzeniem i być pośrednikiem między administratorem a np. organem nadzorczym.

Zdaniem SABI ze względu na możliwy konflikt interesów administrator może ograniczać zakres informacji przekazywanych inspektorowi. Innym skutkiem stosowania proponowanego przepisu, będzie ograniczenie czasowe realizacji przez inspektora innych zadań, ponieważ czas przeznaczony na ich wykonanie będzie zajmować mu zbieranie informacji dla organu – twierdzi Stowarzyszenie.  

Potrzebny przepis przejściowy, ale nie taki, jaki proponuje GIODO

Zdaniem Stowarzyszenia Administratorów Bezpieczeństwa Informacji propozycja GIODO, aby ABI po 25 maja 2018 r. (wtedy zacznie obowiązywać ogólne rozporządzenie) automatycznie stali się inspektorami ochrony danych, może być niezgodna z ogólnym rozporządzeniem. Rozporządzenie nie dopuszcza, aby przepis krajowy określał podstawę wykonywania funkcji przez inspektora. Natomiast według projektu GIODO określona osoba staje się inspektorem z mocy samego prawa.

Stowarzyszenie podkreśla też, że inne są wymagania wobec aktualnych ABI, a inne będą musieli spełnić inspektorzy. Zakres zadań ABI i inspektora również w pełni się nie pokrywa. Zdaniem SABI propozycja GIODO doprowadzi do tego, że funkcję inspektora będzie sprawowała bardzo duża niezweryfikowanych pod kątem nowych wymagań kwalifikacyjnych.

Stowarzyszenie podkreśla, że przyjęcie projektowanego przepisu może także prowadzić do praktycznych problemów.Propozycja nie określa bowiem sytuacji administratora, który powołał ABI aktualnie zarejestrowanego w rejestrze, ale:

  • zdecydował, że funkcję inspektora będzie wykonywała inna osoba niż dotychczasowy ABI;  
  • nie zdecydował się na wyznaczanie inspektora, w sytuacjach, gdy nie występuje taki obowiązek.

SABI zauważa też, że propozycja GIODO nie bierze pod uwagę, że jedna osoba może pełnić funkcję inspektora dla grupy przedsiębiorców lub dla więcej niż jednego organu publicznego.

SABI podkreśla jednak, że należy przygotować przepis przejściowy, który zapewni ciągłość wykonywania funkcji ABI i zagwarantuje przestrzeganie przepisów o ochronie danych, ale jednocześnie będzie zgodny z ogólnym rozporządzeniem.

Stowarzyszenie proponuje, aby przez określony czas ABI sprawował funkcję inspektora do momentu potwierdzenia tego przez administratora. Potwierdzenie to obywałoby się poprzez przekazanie danych kontaktowych inspektora do organu nadzorczego. Zgodnie z propozycją SABI administratorzy mieliby na to czas do 1 września 2018 r.

Ważne:

Propozycja SABI brzmienia przepisu dotycząca okresu przejściowego, w którym ABI pełniłby funkcję inspektora ochrony danych

  1. Wykonujący w dniu 24 maja 2018 r. swoją funkcję administrator bezpieczeństwa informacji, którego powołanie zostało zgłoszone do Generalnego Inspektora na podstawie art. 46a ust.1 ustawy o ochronie danych osobowych, pełni funkcję inspektora ochrony danych, do czasu zgłoszenia przez administratora lub podmiot przetwarzający jego danych kontaktowych do organu nadzorczego, nie dłużej jednak niż do dnia 1 września 2018 r. Zgłoszenie danych kontaktowych uznaje się za potwierdzenie wyznaczenia inspektora ochrony danych z zachowaniem zasad określonych w ogólnym rozporządzeniu.  
  2. Administrator lub podmiot przetwarzający mogą w okresie, o którym mowa w ust.1, zawiadomić organ nadzorczy, że powołany administrator bezpieczeństwa informacji nie pełni funkcji inspektora ochrony danych.

SABI: Zgłaszanie danych inspektora musi być proste

Stowarzyszenie apeluje, aby przepisy dotyczące zgłaszania organowi nadzorczemu danych kontaktowych inspektora były sprawne, proste i praktyczne. Zdaniem SABI w regulacji krajowej należy uwzględnić:

  • formę zgłoszenia danych kontaktowych inspektora,
  • zakres danych w zgłoszeniu,
  • termin na wykonanie tego obowiązku,
  • kwestię zgłoszeń aktualizacyjnych.
Wioleta Szczygielska

Autor: Wioleta Szczygielska

Specjalista z zakresu prawa ochrony danych osobowych. Wieloletni redaktor fachowych publikacji związanych z tematyką ochrony danych osobowych.

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x