Ogólne rozporządzenie o ochronie danych przypisuje inspektorowi ochrony danych funkcję punktu kontaktowego. Poza tym w kilku przypadkach wymaga od administratora podania danych kontaktowych IOD. Sprawdź, co to znaczy, że inspektor ochrony danych ma być punktem kontaktowym, jak zrealizować to zadanie i jakie obowiązki spoczywają w związku z tym na administratorze.
Z artykułu dowiesz się m.in.:
Wiemy już, że administrator (odpowiednio podmiot przetwarzający), który musi lub po prostu chce wyznaczyć inspektora ochrony danych osobowych ma obowiązek dokonania odpowiedniego zgłoszenia osoby mającej pełnić tę funkcję do Prezesa Urzędu Ochrony Danych Osobowych. Administrator zawiadamia Prezesa UODO o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora.
Podanie danych IOD wiąże się z tym, iż zgodnie z art. 39 ust. 1 lit. e RODO jednym z zadań inspektora ochrony danych jest pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami dotyczącymi oceny skutków dla ochrony danych (DPIA). Inspektor ochrony danych ma pełnić funkcję punktu kontaktowego, by umożliwić organowi nadzorczemu dostęp do dokumentów i informacji w celu realizacji zadań kontrolnych, jak również wykonywania uprawnień w zakresie prowadzonych
postępowań, uprawnień naprawczych, uprawnień w zakresie wydawania zezwoleń oraz uprawnień doradczych.
To jednak nie wszystko. Poza przekazaniem danych kontaktowych IOD Prezesowi UODO administrator ma obowiązek opublikować dane IOD w postaci:
niezwłocznie po jego wyznaczeniu, na stronie internetowej administratora, a jeżeli nie prowadzi on własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności. Oprócz tego dane kontaktowe IOD powinny być zawarte w informacji o przetwarzaniu danych osobowych (klauzuli informacyjnej RODO).
Jaki jest cel takiego rozwiązania? Chodzi tu o zapewnienie osobom, których dane dotyczą, możliwości kontaktu z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO. Już w wytycznych Grupy Roboczej Art. 29 zalecono bowiem, aby dane kontaktowe inspektora ochrony danych zawierały dane umożliwiające osobom, których dane dotyczą, i organom nadzorczym nawiązanie kontaktu w łatwy sposób (adres korespondencyjny, telefon kontaktowy lub dedykowany adres e-mail).
Administrator może rozważyć skorzystanie np. z dedykowanej infolinii lub formularza kontaktowego z inspektorem ochrony danych na stronie internetowej organizacji.
Osoby, których dane dotyczą, mogą kierować się bezpośrednio do inspektora ochrony danych, jemu zadawać pytania, zgłaszać wątpliwości oraz oczekiwać odpowiedzi i wyjaśnień. Inspektor ochrony danych jest umocowany do działania w imieniu administratora w relacjach z osobami, których dane dotyczą. Tym samym administrator powinien zapewnić inspektorowi ochrony danych warunki umożliwiające realizację tego zadania.
Sformułowanie, że osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z wykonywaniem praw przysługującym im na podstawie przepisów RODO, sugeruje, że inspektor ochrony danych jest zobowiązany także do udzielania porad w tym zakresie. W ocenie autora może to jednak paraliżować wykonywanie innych zadań przez inspektora ochrony danych, który powinien przede wszystkim monitorować zgodność przetwarzania danych u administratora z przepisami i zasadami ochrony danych.
Zgodnie z RODO inspektor ochrony danych ma informować, doradzać i rekomendować określone działania i środki bezpieczeństwa administratorowi.
Pracownicy administratora, a przede wszystkim osoby upoważnione do przetwarzania danych osobowych u administratora powinny wiedzieć, kto jest inspektorem ochrony danych i mieć możliwość kontaktu z nim, zwłaszcza w celu powiadamiania o incydentach, które mogą mieć wpływ na bezpieczeństwo danych osobowych. W kontekście obowiązku zgłaszania do Prezesa
Urzędu Ochrony Danych Osobowych naruszeń ochrony danych bardzo ważne jest, aby inspektor ochrony danych mógł w porę stwierdzić, czy doszło do rzeczywistego naruszenia ochrony danych osobowych i zarekomendować dokonanie zgłoszenia.
Dane inspektora ochrony danych dla pracowników mogą zostać udostępnione wewnętrznie, np. poprzez intranet, w wewnętrznej książce telefonicznej albo w ramach rozpisanej struktury organizacyjnej. Sposób zgłaszania incydentów dotyczących ochrony danych powinien być zakomunikowany pracownikom w prostej, ale skutecznej instrukcji postępowania w przypadku naruszenia ochrony danych.
Należy jednak mieć na względzie, by pełnienie roli punktu kontaktowego nie uniemożliwiło inspektorowi wykonywania pozostałych zadań wskazanych w art. 39 ust. 1 RODO. W wielu branżach skala pytań, pretensji, żądań podmiotów danych, związanych zwłaszcza z realizacją praw wynikających z RODO, może być bardzo duża. Jeśli to inspektor ochrony danych miałby na to wszystko odpowiadać, to będzie musiał posiadać właściwe narzędzia, np. dedykowaną infolinię, portal internetowy, ale także zasoby osobowe do skutecznego wykonania takich obowiązków. Skupiając się na rozpatrywaniu wszelkich spraw dotyczących osób, których dane osobowe dotyczą, na odpowiadaniu na zapewne coraz większą liczbę zarówno zasadnych, jak i nieuzasadnionych pytań i pretensji dotyczących przetwarzania danych osobowych, organizacyjnie i czasowo jeden inspektor ochrony danych temu nie podoła, zwłaszcza jeśli jest zewnętrznym specjalistą lub wyznaczonym dla kilku podmiotów.
Dobrą praktyką jest więc opracowanie odpowiedniej procedury realizacji takich kontaktów i przygotowanie zespołu ludzi do ich realizacji oraz projektów odpowiedzi dla osób, których dane dotyczą. Nie można także zapominać o dokumentowaniu zgłoszeń od podmiotów danych.
· rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 13, art. 14, art. 37 ust. 7, art. 39 ust. 1 lit. e
· ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jedn.: Dz.U. 2019 r. poz. 1781) - art. 10 ust. 1, art. 11
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
