Inspektorzy ochrony danych 25 maja 2018 r. mają zastąpić administratorów bezpieczeństwa informacji. Czy oznacza to, że będą realizować te same zadania co ABI, będą mieć taki sam status i odpowiedzialność? Przeczytaj ten artykuł i dowiedz się, czym funkcja inspektora ochrony danych będzie różniła się od funkcji administratora bezpieczeństwa informacji.
Ogólne rozporządzenie o ochronie danych nie posługuje się nazwą znaną z polskiej ustawy o ochronie danych osobowych – „administrator bezpieczeństwa informacji” (ABI), lecz sformułowaniem „inspektor ochrony danych” (IOD). Na podstawie art. 61 projektu nowej ustawy o ochronie danych osobowych każdy administrator bezpieczeństwa informacji stanie się automatycznie inspektorem ochrony danych, ale tylko do 1 września 2018 r. Do tego czasu administrator danych powinien zawiadomić o wyznaczeniu przez siebie ABI/IOD (albo że ABI nie pełni funkcji IOD) Prezesa Urzędu Ochrony Danych Osobowych (UODO). Zgłoszenie będzie można zrealizować również w formie elektronicznej.
Powołanie i odwołanie administratora bezpieczeństwa informacji należy zgłosić do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) w terminie 30 dni od dnia jego powołania lub odwołania (art. 46b ustawy o ochronie danych osobowych). Wzór zgłoszenia określa rozporządzenie ministra administracji i cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji. Administratorzy bezpieczeństwa informacji wpisywani są do ogólnokrajowego, jawnego rejestru prowadzonego przez GIODO.
Zgodnie z obowiązującą ustawą o ochronie danych osobowych administrator danych nie musi powoływać ABI. Jednak jeżeli nie powoła ABI, jego zadania będzie musiał wykonywać sam. Powołanie ABI i zgłoszenie go GIODO do rejestracji ma też wpływ na zakres obowiązków dotyczących rejestracji zbiorów danych osobowych. Jeśli administrator danych powoła ABI, to on prowadzi rejestr zbiorów danych osobowych (z wyjątkiem zbiorów danych wyłączonych z obowiązku zgłoszenia do rejestracji GIODO na podstawie art. 43 ust. 1 i 1a ustawy).
Jeżeli po 25 maja 2018 r. administrator wyznaczy inspektora ochrony danych, będzie miał 14 dni na zawiadomienie o tym Prezesa Urzędu Ochrony Danych Osobowych (następca GIODO). Jak wynika z projektu ustawy o ochronie danych osobowych, zawiadomienie sporządza się w postaci papierowej albo elektronicznej. Prezes Urzędu będzie prowadził system teleinformatyczny umożliwiający przesyłanie zawiadomień w postaci elektronicznej. Będzie on również prowadził ewidencję zawiadomień (art. 59 projektu ustawy o ochronie danych osobowych).
Zdarzenie |
ABI według aktualnej ustawy o ochronie danych osobowych |
IOD według ogólnego rozporządzenia i projektu ustawy o ochronie danych osobowych |
Kto może powołać |
administrator danych (art. 36a ustawy) |
a) administrator, b) podmiot przetwarzający dane, c) zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających (tylko w sytuacji, kiedy można dobrowolnie wyznaczyć IOD) – art. 37 rozporządzenia unijnego |
Powołanie – możliwość czy obowiązek |
Od 1 stycznia 2015 r. administrator danych może (nie musi) powołać administratora bezpieczeństwa informacji – ABI (art. 36a ust. 1 ustawy), a w przypadku jego niepowołania sam realizuje jego zadania (art. 36b ustawy). Oznacza to, że od decyzji administratora zależy, czy on sam podejmie się realizacji zadań ABI, czy powoła w tym celu konkretną osobę. ADO nie jest ABI i nie może się nim wyznaczyć. Wykonuje tylko jego zadania, jeżeli ABI nie zostanie powołany. |
Rozporządzenie unijne nie nakłada generalnego obowiązku powołania inspektora ochrony danych (IOD), ale przewiduje trzy sytuacje, w których powołanie IOD jest obligatoryjne. Jego powołanie będzie obowiązkowe, dla: |
Zgłoszenie powołania/ wyznaczenia |
Jeżeli dotychczas nie funkcjonował ABI, jego powołanie należy zgłosić w terminie 30 dni od dnia powołania do GIODO. Wzór zgłoszenia określa rozporządzenie ministra administracji i cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. z 2014 r. poz. 1934). |
Nie trzeba zgłaszać powołania IOD, ale należy zawiadomić o wyznaczeniu IOD Prezesa UODO w terminie 14 dni od wyznaczenia – można również elektronicznie. Administrator, który powoła IOD, ma dwa obowiązki: a) opublikować dane kontaktowe inspektora ochrony danych, b) zawiadomić organ nadzorczy o tych danych kontaktowych (w Polsce Urząd Ochrony Danych Osobowych). |
Podległość |
ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej, która jest administratorem danych. |
IOD bezpośrednio podlega najwyższemu kierownictwu administratora. |
Zastępcy |
Administrator danych może powołać zastępców ABI, którzy spełniają warunki kwalifikacyjne takie jak ABI. |
Przepisy nie przewidują możliwości powołania zastępców. |
Kwalifikacje |
ABI może być osoba, która spełnia łącznie następujące warunki: a) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, b) nie była karana za umyślne przestępstwo, c) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych. |
IOD jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań inspektora. |
Pracownik czy outsourcing usług |
Funkcję ABI można zlecić pracownikowi podmiotu. Osoba musi spełniać określone ustawowo wymogi oraz mieć zapewnioną możliwość realizacji ustawowo nałożonych na nią zadań. Do administratora danych należy również rozstrzygnięcie, czy konkretny pracownik będzie w stanie pogodzić swoje obowiązki pracownicze z obowiązkami wynikającymi z pełnienia funkcji ABI. Istnieje również możliwość tzw. outsourcingu funkcji ABI, czego ustawa nie zakazuje. |
Inspektor ochrony danych może być: a) członkiem personelu administratora, b) wykonywać zadania na podstawie umowy o świadczenie usług (outsourcingu funkcji IOD). |
Jeden wspólny ABI lub IOD |
Przepisy nie przewidują takiego rozwiązania. |
Będzie można powołać jednego wspólnego IOD dla: b) kilku organów lub podmiotów publicznych (ale tylko z uwzględnieniem struktury organizacyjnej i wielkości), c) zrzeszeń lub innych podmiotów reprezentujących określone kategorie administratorów (ale tylko w sytuacji, gdy nie zachodzą przesłanki określone w art. 37 ust. 1 rozporządzenia, które stanowią, kiedy jest obligatoryjne powołanie IOD). |
Zadania |
Ustawowe zadania ABI to: 1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: a) sprawdzenie zgodności przetwarzania danych osobowych z przepisami oraz opracowanie w tym zakresie sprawozdania dla administratora danych, b) nadzorowanie opracowania i aktualizacja dokumentacji ochrony danych osobowych, c) zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, 2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych. Powierzenie innych obowiązków osobie pełniącej funkcję ABI możliwe jest wyłącznie wtedy, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa wyżej. Tryb i sposób realizacji zadań przez ABI określony został w rozporządzeniu ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745). |
IOD ma następujące zadania: a) informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy ogólnego rozporządzenia oraz innych przepisów o ochronie danych i doradzanie im w tej sprawie, b) monitorowanie przestrzegania ogólnego rozporządzenia, innych przepisów o ochronie danych oraz polityk administratora w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty, c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania, d) współpraca z organem nadzorczym (UODO w Polsce), e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach. IOD może wykonywać inne zadania i obowiązki. Administrator zapewnia jednak, by takie zadania i obowiązki nie powodowały konfliktu interesów. |
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl