Publikacja systematyzuje wiedzę i wskazuje, jak należy interpretować określone wymogi RODO dzięki odniesieniu się do praktyki i uwzględnieniu wytycznych Grupy Roboczej Art. 29. Wskazuje, jak rozumieć i stosować podejście oparte na ryzyku.
Najważniejsze atuty książki to m.in.: praktycznie podejście do analizy ryzyka i oceny skutków przetwarzania, precyzyjne opisanie zadań inspektora ochrony danych i znaczenia takiej osoby w systemie ochrony danych, jak również wskazanie sytuacji, w których wyznaczenie IOD jest obligatoryjne oraz wzory dokumentów.
Dzięki publikacji dowiesz sie m.in.: jak przygotować i przeprowadzić skuteczny audyt systemu ochrony danych osobowych, jak zaprojektować harmonogram zmian w organizacji, jak dostosować proces odbierania zgód na przetwarzanie danych osobowych oraz jak powinny brzmieć klauzule zgód na przetwarzanie danych osobowych.
Fragment tekstu z poradnika:
IOD – funkcja nadal fakultatywna?
Ogólne rozporządzenie o ochronie danych w określonych przypadkach przewiduje obligatoryjne powołanie funkcji inspektora przez administratora danych, ale również w podmiocie przetwarzającym, czyli u procesora. Ponadto w RODO pozostawiona została „furtka” dla państw członkowskich, które mogą wprowadzić obowiązek powołania IOD również w innych podmiotach niż wskazane bezpośrednio w RODO, jednakże Polska nie skorzystała z tego prawa.
Powołanie IOD będzie obligatoryjne zawsze w sytuacji, gdy:
1) przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
2) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; warto w tym miejscu wskazać, iż preambuła RODO dostarcza wskazówek interpretacyjnych, co należy rozumieć przez nieostry termin „główna działalność” – w sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności;
3) główna działalność administratora danych lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, z zastrzeżeniem, iż przetwarzanie danych osobowych nie powinno być uznane za przetwarzanie na duża skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub adwokata czy radcę prawnego.
Obowiązek wyznaczenia IOD jest definiowany poprzez:
1) kategorię przetwarzanych danych,
2) cel przetwarzania danych na dużą skalę, oraz
3) zawsze gdy będzie mowa o jednostce publicznej.
Zgodnie z OchrDanychU przez organy i podmioty publiczne obowiązane do wyznaczenia IOD rozumie się:
1) jednostki sektora finansów publicznych,
2) instytuty badawcze,
3) Narodowy Bank Polski.
Jednostki sektora finansów publicznych określa natomiast FinPubU. Są to:
1) organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały,
2) jednostki samorządu terytorialnego oraz ich związki,
3) związki metropolitalne,
4) jednostki budżetowe,
5) samorządowe zakłady budżetowe,
6) agencje wykonawcze,
7) instytucje gospodarki budżetowej,
8) państwowe fundusze celowe,
9) ZUS i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego,
10) NFZ,
11) samodzielne publiczne zakłady opieki zdrowotnej,
12) uczelnie publiczne,
13) Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne,
14) państwowe i samorządowe instytucje kultury,
15) inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.
Podsumowując, pierwsza przesłanka obligatoryjnego wyznaczenia IOD, tj. dotycząca podmiotów i organów publicznych, nie powoduje problemów interpretacyjnych. Niestety problem pojawia się w interpretacji przesłanki drugiej i trzeciej oraz zdefiniowaniu: głównej działalności, dużej skali oraz regularnego i systematycznego monitorowania.
Zobacz także:
- Uzyskiwanie danych uczestników konkursu a RODO
- Obowiązek publikacji statutu szkoły na stronie BIP
- Obowiązek udzielenia informacji o adresie zamieszkania i numerze PESEL
Więcej o ochronie danych osobowych znajdziesz w module Informacja publiczna, bezpieczeństwo publiczne >>