Grupa Robocza Art. 29 opublikowała wytyczne, w których tłumaczy, jak inspektor ochrony danych będzie realizował swoje obowiązki.
Funkcję inspektora ochrony danych (Data Protection Officer – DPO) wprowadza ogólne rozporządzenie o ochronie danych osobowych. Będzie to osoba (lub osoby) odpowiedzialne w podmiocie za przestrzeganie przepisów o ochronie danych osobowych. Zastąpi obecnego administratora bezpieczeństwa informacji.
Zadania „nowego ABI” określa art. 39 ogólnego rozporządzenia. Jednym z nich jest monitorowanie, czy przepisy rozporządzenie są przestrzegane. Zdaniem Grupy Roboczej Art. 29 inspektor powinien wypełniać ten obowiązek poprzez:
To nie inspektor ochrony danych będzie odpowiedzialny za to, żeby działanie organizacji było zgodne z przepisami, Będzie to zadanie administratora lub procesora – podkreśla Grupa Robocza Art. 29.
Zgodnie z art. 35 ust. 1 ocena skutków przetwarzania będzie zadaniem administratora. Jednak jak twierdzi Grupa Robocza Art. 29, inspektor ochrony danych może odgrywać w tym procesie istotną rolę. Zgodnie z zasadą ochrony danych w fazie projektowania administrator danych powinien konsultować się z inspektorem podczas oceny skutków przetwarzania, a DPO powinien udzielać mu porad.
Grupa Robocza Art. 29 zaleca, aby administrator konsultował się z inspektorem m.in. w takich kwestiach:
Grupa Robocza wskazuje, że jeśli administrator nie zgodzi się z zaleceniami inspektora, w dokumentacji oceny skutków przetwarzania powinien pisemnie to uzasadnić.
Grupa Robocza zaleca, aby w umowie z inspektorem ochrony danych, ale także informacjach przekazywanych pracownikom, zarządzeniach dokładnie opisać zadania inspektora, w tym te, które wiążą się z oceną skutków przetwarzania.
Zgodnie z art. 39 ust. 2 rozporządzenia ogólnego inspektor ochrony danych powinien wypełniać swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
Zdaniem Grupy Roboczej oznacza to, że inspektor powinien nadać priorytety swoim zadaniom i swoje wysiłki skoncentrować na kwestiach, które stwarzają większe ryzyko w zakresie ochrony danych. Grupa podkreśla, że nie oznacza to, że powinni zaniedbywać kontrole zgodności przetwarzania danych, które mają niższy poziom ryzyka, ale powinni jednak skupić się na obszarach podwyższonego ryzyka.
Jak twierdzi Grupa Robocza, to pragmatyczne podejście powinno pomóc inspektorowi w doradzaniu administratorowi, jaką metodologię wybrać do przeprowadzenia oceny skutków regulacji, które obszary powinny być przedmiotem wewnętrznego lub zewnętrznego audytu oraz którymi zagadnieniami powinna zająć się kadra zarządzająca, a którym inspektor powinien sam poświęcić swój czas.
Zgodnie z art. 30 ust. 1 i 2 to administrator i procesor powinni prowadzić rejestr czynności przetwarzania lub rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.
W praktyce inspektorzy tworzą i przechowują rejestry operacji przetwarzania danych na podstawie informacji dostarczanych im przez różne działy. Jak twierdzi Grupa Robocza, zadania inspektorów wymienione w art. 39 ust. 1 to minimum, dlatego nic nie stoi na przeszkodzie, aby administrator lub procesor zlecili prowadzenie rejestru inspektorowi. Może to pomóc inspektorom w monitorowaniu zgodności przetwarzania danych z przepisami, informowaniu i doradzaniu administratorowi lub procesorowi.
Źródło:
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl