Vademecum ABI. Część II – Przygotowanie do roli Inspektora Ochrony Danych


  • Publikacja prezentuje czynności, które musi podjąć Administrator Bezpieczeństwa Informacji, przyszły Inspektor Ochrony Danych, wspierając Administratora Danych Osobowych, aby do 25.5.2018 r. organizacja była gotowa na wejście w życie przepisów ogólnego rozporządzenia unijnego o ochronie danych osobowych.
  • Pozycja przygotowana w celu omówienia zagadnień organizacyjnych, technicznych i prawnych, które należy brać pod uwagę przygotowując organizację do RODO, w tym m.in.: zakresów zmian organizacyjno-prawnych oraz znaczenia i umiejscowienia nowych przepisów ochrony danych w krajowym i europejskim systemie prawnym oraz zasad współpracy i obowiązków ABI i Inspektora Ochrony Danych.
  • Praktycznie odpowiada na pytania dotyczące, m.in.: zorganizowania i nadzorowania własnych oraz powierzonych do przetwarzania system ochrony danych osobowych.

Fragment z książki:
Rozdział II. Pozycja i odpowiedzialność Inspektora Ochrony Danych w kontekście stosunku prawnego łączącego go z administratorem danych osobowych lub podmiotem przetwarzającym

1. Odpowiedzialność IOD w przypadku nałożenia na administratora lub podmiot przetwarzający administracyjnej kary pieniężnej – uwagi ogólne

Ogólne rozporządzenie o ochronie danych wprowadza nową, nieznaną systemowi ochrony danych osobowych obowiązującemu dotychczas, instytucję kar umownych, które mogą być nakładane na administratora lub podmiot przetwarzający w przypadku naruszenia przez nich obowiązków wynikających z RODO. Dla administratorów danych osobowych i podmiotów przetwarzających oznacza to, że konsekwencje związane m.in. z nieprawidłowym zabezpieczeniem danych osobowych, niewypełnianiem obowiązków informacyjnych względem osób, których dane dotyczą, oraz pozyskiwaniem i przetwarzaniem danych bez ważnej podstawy będą znacznie poważniejsze w porównaniu z konsekwencjami, z jakimi wiążą się takie uchybienia w obecnym stanie prawnym.

Ustawodawca unijny, m.in. w celu zwiększenia ochrony przetwarzanych przez administratorów i podmioty przetwarzające danych osobowych, a także mając na uwadze poziom skomplikowania przedmiotowej tematyki, zdecydował się na wprowadzenie obowiązku wyznaczania przez administratorów i podmioty przetwarzające, IOD. Zdaniem ustawodawcy: „(…) w monitorowaniu wewnętrznego przestrzegania niniejszego rozporządzenia administrator lub podmiot przetwarzający powinni być wspomagani przez osobę dysponującą wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych” (motyw 97 preambuły RODO).

Zaznaczyć należy, że nie wszystkie podmioty zobligowane są do powoływania IOD. Ogólne rozporządzenie o ochronie danych wprowadza enumeratywne wyliczenie przesłanek, których zaistnienie generuje obowiązek wyznaczenia przez administratora lub podmiot przetwarzający IOD. Zgodnie z art. 37 ust. 1 RODO administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
1) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
2) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub
3) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Nie podejmując się głębszej analizy przytoczonego wyżej przepisu, wskazać należy w tym miejscu jedynie, że w praktyce precyzyjne określenie, czy dany podmiot jest zobligowany do wyznaczenia IOD, czy może to zrobić fakultatywnie, będzie utrudnione z uwagi na użycie przez ustawodawcę sformułowań niemających swoich definicji legalnych, tj. np. „podmiot publiczny”, „duża skala”, „główna działalność”. Co prawda Grupa Robocza art. 29 publikuje wytyczne, w których przepisy RODO poddawane są interpretacji, jednak po pierwsze, wytyczne te nie stanowią źródła prawa, a po drugie, często są one syntetyczne i zdawkowe, a więc nie opisują danego zagadnienia w sposób kompleksowy.

Grupa Robocza art. 29 stoi na stanowisku, że pojęcie „podmiot publiczny” powinno zostać zdefiniowane w przepisach krajowych1. Zgodnie z tym poglądem każde państwo członkowskie uprawnione byłoby do wprowadzenia autonomicznych regulacji odnoszących się do kwalifikacji danego podmiotu jako „podmiotu publicznego” w rozumieniu RODO. Na marginesie niniejszych rozważań wskazać należy, że brak jednolitej definicji „podmiot publiczny” oraz dopuszczenie do sytuacji, w której każde państwo członkowskie może samodzielnie kształtować regulacje w tym zakresie, prowadzić będzie do niczym nieuzasadnionych rozbieżności w identyfikowaniu podmiotów, które są zobligowane do wyznaczenia IOD, w różnych porządkach prawnych państw członkowskich.

„Główną działalnością” administratora zgodnie z motywem 97 RODO jest taka działalność administratora, która „oznacza jego zasadnicze, a nie poboczne czynności”. W praktyce z pewnością pojawi się wiele trudności interpretacyjnych dotyczących kwalifikacji przetwarzania danych przez administratora, jako jego „głównej działalności”. Grupa Robocza art. 29 wskazuje w swoich wytycznych, że „»głównej działalności« nie należy interpretować w sposób wyłączający działalność w zakresie przetwarzania danych nierozerwalnie związaną z działalnością główną. Dla przykładu działalnością główną szpitali będzie zapewnianie opieki medycznej. Natomiast prowadzenie efektywnej opieki medycznej nie byłoby możliwe bez przetwarzania danych medycznych, jak np. historia choroby pacjenta. W związku z tym działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zakwalifikowana jako działalność główna”2.

W związku z powyższym, uprawniony wydaje się wniosek, że przytłaczająca większość przedsiębiorców, w szczególności tych wykorzystujących w działalności nowoczesne technologie, zakwalifikowana zostanie jako administratorzy, których działalność stanowi „główną działalność” w zakresie przetwarzania danych w rozumieniu RODO.
Zobacz także:

Więcej o ochronie danych osobowych w module Informacja publiczna, bezpieczeństwo publiczne >>



 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zdalnie
zbada Twoje potrzeby i uruchomi dostęp:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Zasady przetwarzania danych osobowych