Praktycznie o ochronie danych osobowych

Publikacja systematyzuje wiedzę i wskazuje, jak należy interpretować określone wymogi RODO dzięki odniesieniu się do praktyki i uwzględnieniu wytycznych Grupy Roboczej Art. 29. Wskazuje, jak rozumieć i stosować podejście oparte na ryzyku.

Najważniejsze atuty książki to m.in.: praktycznie podejście do analizy ryzyka i oceny skutków przetwarzania, precyzyjne opisanie zadań inspektora ochrony danych i znaczenia takiej osoby w systemie ochrony danych, jak również wskazanie sytuacji, w których wyznaczenie IOD jest obligatoryjne oraz wzory dokumentów.

Dzięki publikacji dowiesz sie m.in.: jak przygotować i przeprowadzić skuteczny audyt systemu ochrony danych osobowych, jak zaprojektować harmonogram zmian w organizacji, jak dostosować proces odbierania zgód na przetwarzanie danych osobowych oraz jak powinny brzmieć klauzule zgód na przetwarzanie danych osobowych.

Fragment tekstu z poradnika:

IOD – funkcja nadal fakultatywna?

Ogólne rozporządzenie o ochronie danych w określonych przypadkach przewiduje obligatoryjne powołanie funkcji inspektora przez administratora danych, ale również w podmiocie przetwarzającym, czyli u procesora. Ponadto w RODO pozostawiona została „furtka” dla państw członkowskich, które mogą wprowadzić obowiązek powołania IOD również w innych podmiotach niż wskazane bezpośrednio w RODO, jednakże Polska nie skorzystała z tego prawa.

Powołanie IOD będzie obligatoryjne zawsze w sytuacji, gdy:

1) przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

2) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; warto w tym miejscu wskazać, iż preambuła RODO dostarcza wskazówek interpretacyjnych, co należy rozumieć przez nieostry termin „główna działalność” – w sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności;

3) główna działalność administratora danych lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, z zastrzeżeniem, iż przetwarzanie danych osobowych nie powinno być uznane za przetwarzanie na duża skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub adwokata czy radcę prawnego.

Obowiązek wyznaczenia IOD jest definiowany poprzez:

1) kategorię przetwarzanych danych,

2) cel przetwarzania danych na dużą skalę, oraz

3) zawsze gdy będzie mowa o jednostce publicznej.

Zgodnie z OchrDanychU przez organy i podmioty publiczne obowiązane do wyznaczenia IOD rozumie się:

1) jednostki sektora finansów publicznych,

2) instytuty badawcze,

3) Narodowy Bank Polski.

Jednostki sektora finansów publicznych określa natomiast FinPubU. Są to:

1) organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały,

2) jednostki samorządu terytorialnego oraz ich związki,

3) związki metropolitalne,

4) jednostki budżetowe,

5) samorządowe zakłady budżetowe,

6) agencje wykonawcze,

7) instytucje gospodarki budżetowej,

8) państwowe fundusze celowe,

9) ZUS i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego,

10) NFZ,

11) samodzielne publiczne zakłady opieki zdrowotnej,

12) uczelnie publiczne,

13) Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne,

14) państwowe i samorządowe instytucje kultury,

15) inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.

Podsumowując, pierwsza przesłanka obligatoryjnego wyznaczenia IOD, tj. dotycząca podmiotów i organów publicznych, nie powoduje problemów interpretacyjnych. Niestety problem pojawia się w interpretacji przesłanki drugiej i trzeciej oraz zdefiniowaniu: głównej działalności, dużej skali oraz regularnego i systematycznego monitorowania.

 

Zobacz także:

 

Więcej o ochronie danych osobowych znajdziesz w module Informacja publiczna, bezpieczeństwo publiczne >>




 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw nam swój numer telefonu
i adres e-mail, a skontaktujemy się z Tobą:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł