Urząd Ochrony Danych Osobowych opublikował poradnik dla pracodawców

Urząd Ochrony Danych Osobowych (UODO) opublikował kolejny poradnik dotyczący stosowania i wdrażania Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Tym razem UODO wychodzi na przeciw przetwarzaniu danych związanym z rekrutacją i zatrudnieniem. Poradnik dotyczy nie tylko zatrudnienia w oparciu o stosunek pracy, ale także w oparciu o umowy cywilnoprawne lub inne niepracownicze formy zatrudnienia.

Kto skorzysta z poradnika?

Użyteczne informacje znajdą nie tylko pracodawcy, ale również agencje pracy oraz sami zatrudnieni. Traktuje on także o relacjach pracodawca – inne podmioty, w tym na przykład związki zawodowych, firmach szkoleniowych czy podmiotach świadczących usługi z zakresu medycyny pracy. Jego powstanie poprzedziły konsultacje społeczne, które znalazły odzwierciedlenie w pytaniach i nurtujących zagadnieniach związanych ze stosowaniem przepisów RODO. Dokument ma formę vademecum pozbawionego rozbudowanych prawniczych analiz – UODO zdecydował się na zastosowanie przeglądu praktycznych wskazówek, ułatwiających codzienne funkcjonowanie w obszarze ochrony danych osobowych.

Co znajduje się w poradniku?

Materia dokumentu została podzielona na cztery rozdziały:

1. Poszukiwanie pracy

2. Proces rekrutacyjny

3. Okres zatrudnienia

4. Inne niż określone w kodeksie pracy formy zatrudnienia oraz praca tymczasowa.

Wiele z przedstawionych w podręczniku też ma charakter kontrowersyjny. Wszystko sprowadza się do jednej zasady: żądać tyle, na ile pozwalają przepisy. Poradnik jasno wskazuje, że każdy etap zatrudnienia upoważnia do pozyskiwania określonych informacji i nie ma możliwości gromadzenia danych, które na danym etapie nie są niezbędne do celu zatrudnienia.

Zakres merytoryczny dotyczy również rekrutacji on-line i nakazuje natychmiastowe usunięcie danych kandydatów po zakończeniu procesu rekrutacji, chyba że wyrażą oni odrębną zgodę na ich dalsze przetwarzanie celem przyszłych rekrutacji. W przypadku samodzielnego przesłania CV przez kandydata bez związku z prowadzoną rekrutacją natomiast wskazuje na obowiązek rozpoczęcia procesu rekrutacyjnego lub usunięcia CV, nie wskazując na możliwość pozyskania zgody na przyszłe rekrutacje.

Kolejną ważną informacją jest zakaz prowadzenia anonimowych rekrutacji. Przepisy nakładają bowiem obowiązek ujawniania informacji o pracodawcy, jako podmiocie przetwarzającym dane osobowe kandydata.

Istotne z punktu przetwarzania danych osobowych są również regulacje dotyczące nowych technologii, w tym rozwiązań technicznych do ewidencji czasu pracy, kontrolowania poczty elektronicznej oraz monitorowania aktywności zatrudnionych.

Czego nie znajdziemy w poradniku?

Informacje zawarte w poradniku nie uwzględniają, mających nadal status projektu, zmian w kodeksie pracy oraz pewnych zagadnień poruszonych przez interesariuszy w ramach przeprowadzonych konsultacji społecznych.

UODO zapowiada, że możemy spodziewać się kolejnych wersji – aktualizacji lub odnoszących się do nieporuszonych dotychczas zagadnień. Poradnik znajduje się na stronie internetowej Urzędu Ochrony Danych Osobowych, a wszystkich zainteresowanych zachęcamy do zapoznania się z jego treścią.

Kodeks postępowania i dobrych praktyk w zakresie przetwarzania danych osobowych w branży reklamy internetowej

IAB Polska – Związek Pracodawców Branży Internetowej wystosował projekt Kodeksu postępowania i dobrych praktyk w zakresie przetwarzania danych osobowych w branży reklamy internetowej. Projekt został przedstawiony do konsultacji publicznych. Należy podkreślić, że jest to jeden z pierwszych projektów kodeksu postepowania i dobrych praktyk, który został stworzony po rozpoczęciu stosowania przepisów RODO w dniu 25 maja 1018 r.

Jak przystąpić do kodeksu?

Projekt stworzony przez IAB Polska stanowi kodeks postępowania w rozumieniu art. 40 RODO, a zatem ma pomóc we właściwym stosowaniu przepisów rozporządzenia z uwzględnieniem specyfiki sektora reklamy internetowej. Po zatwierdzeniu ostatecznej wersji przez PUODO przystąpienie do kodeksu będzie dobrowolne i będzie mógł dokonać go każdy przedsiębiorca działający na terytorium Polski, który jednocześnie jest członkiem IAB Polska. Zgłoszenia będzie można dokonać poprzez złożenie do IAB Polska odpowiedniego oświadczenia, stanowiącego załącznik do kodeksu. Podmioty, które zdecydują się na przystąpienie do kodeksu będą zobowiązane do przestrzegania zawartych w nim postanowień pod groźbą wykluczenia.

Co znajduje się w kodeksie?

Kodeks zaproponowany przez IAB Polska zawiera 6 rozdziałów dotyczących szerokiego spektrum kwestii poruszonych w treści RODO:

  1. Dane osobowe na podstawie RODO;
  2. Określenie roli w procesie przetwarzania: administrator i podmiot przetwarzający;
  3. Podstawy prawne przetwarzania danych osobowych;
  4. Profilowanie;
  5. Obowiązki informacyjne;
  6. Realizacja praw podmiotów danych osobowych.

Ostatni, siódmy rozdział dotyczący przystąpienia do kodeksu i jego stosowania. Autorzy kodeksu postarali się, aby przedstawić kwestie prawne w sposób praktyczny, podając dodatkowo np. odpowiednie technologie, które mogą się w danej sytuacji okazać użyteczne. Oprócz podstawowych kwestii prawnych poruszono także kwestie identyfikacji podmiotów jako administratorów lub procesorów danych osobowych w kontekście plików cookies, relację prawa ochrony danych z prawem telekomunikacyjnym, istotne elementy profilowania. Szeroko został omówiony temat anonimizacji i pseudonimizacji danych. Bardzo dużą uwagę poświęcono plikom cookies w wielopłaszczyznowym ich ujęciu oraz podstawom ich przetwarzania. Początkowa treść każdego z rozdziałów zawiera także „dobre praktyki branżowe”, czyli nieobligatoryjne, lecz warte stosowania zalecenia dla podmiotów z branży reklamy internetowej.

Inne branże powinny wziąć przykład z IAB Polska, ponieważ oprócz niewątpliwej właściwości merytorycznej, projekt kodeksu ma także pionierski charakter w realizacji uprawnień przyznanych przez art. 40 RODO. Wierzymy, że inne branże również dołożą starań i przygotują podobne kodeksy dla swoich sektorów, a Związkowi Pracodawców Branży Internetowej IAB Polska gratulujemy refleksu oraz zaangażowania. Zachęcamy także do zapoznania się z kodeksem.

Nowy projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO

W dniu 14 września 2018 r. na stronie Rządowego Centrum Legislacji ukazał się nowy projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (RODO).

Projekt został wzbogacony o ustalenia, które udało się poczynić w dniach 9-10 sierpnia 2018 r. w siedzibie Ministerstwa Cyfryzacji na spotkaniu roboczym z resortami i instytucjami, które zgłosiły uwagi do ww. projektu ustawy na etapie Stałego Komitetu Rady Ministrów. Do projektu załączono także tabelę rozbieżności, które pozostały do rozstrzygnięcia przez SKRM.

Projekt nie zawiera jednak zmian przepisów wskazanych w piśmie z autopoprawką Ministra Cyfryzacji z dnia 20 sierpnia 2018 r. z dnia 20 sierpnia 2018 r., które związane były z automatycznym profilowaniem w sektorze bankowym i ubezpieczeniowym oraz stanowią przedmiot odrębnych uzgodnień pomiędzy Ministerstwem Cyfryzacji oraz Ministerstwem Finansów i Komisją Nadzoru Finansowego. Pojawią się one dopiero w przypadku przyjęcia ich przez SKRM. Nie zostały zamieszczone również przepisy przejściowe dotyczące dostosowania systemów ZUS i PFRON do wymagań RODO.

Zachęcamy do zapoznania się z treścią projektu poprzez kliknięcie na odnośnik znajdujący się powyżej.

Rozpoczęły się kontrole Urzędu Ochrony Danych Osobowych

Prezes UODO Edyta Bielak-Jomaa w rozmowie z serwisem money.pl poinformowała, że kontrole stosowania RODO już się rozpoczęły. W pierwszej kolejności będą one przeprowadzane w administracji publicznej, zwłaszcza w rejestrach publicznych takich jak ePuap. Prowadzone kontrole mają charakter doraźny (jako reakcja na skargi), ale także sektorowy, planowany. Następne będą sektor medyczny, oświata oraz administratorzy monitoringu wizyjnego.

Przepisy obowiązują już od dwóch lat…

Prezes Urzędu Ochrony Danych Osobowych zapoczątkowała rozmowę poprzez zwrócenie uwagi, że przepisy RODO zostały uchwalone już w 2016 r., więc przedsiębiorcy mieli ponad dwa lata na dostosowanie się do nowych regulacji. Edyta Bielak-Jomaa zaakcentowała także istnienie mitów, które narosły wokół rozporządzenia, przysłaniając jego podstawowy cel: zapewnienie wyższego poziomu ochrony danych w Europie, unifikację prawa krajów członkowskich a także zapewnienie swobodnego przepływu danych osobowych w Unii Europejskiej, co jest jednym z warunków rozwoju gospodarczego i prowadzenia biznesu.

Pokłosie wycieku z bazy PESEL

Odnosząc się do ePuap, Prezes podkreśliła, że rejestry tego typu są w każdym momencie zasilane nowymi porcjami danych osobowych, więc należy zwrócić szczególną uwagę na ich zgodność z przepisami o ochronie danych. UODO poprzez swoje działania chce także ustrzec przed sytuacjami, w których nawet podmioty uprawnione są w stanie otrzymać dostęp do danych pochodzących z takich rejestrów „w sposób nieokreślony i ponad miarę”. Uwydatniona została także potrzeba zwrócenia uwagi na działania administratorów danych osobowych rejestrów publicznych.

Ponad 2400 skarg

Prezes UODO poinformowała także, że w ciągu trzech miesięcy stosowania RODO do Urzędu wpłynęło już prawie 2400 skarg, 1100 zgłoszeń naruszeń ochrony danych oraz 1000 pytań prawnych. W porównaniu z ubiegłym rokiem, w którym przez okres 12 miesięcy do Urzędu wystosowano mniej niż 3000 skarg, liczby te robią wrażenie. Mogą one świadczyć o tym, że RODO istotnie zwiększyło świadomość obywateli na temat ochrony danych osobowych.

Monitoring wizyjny

Edyta Bielak-Jomaa potwierdziła także, że do końca września Urząd nie będzie podejmował władczych działań związanych z monitoringiem wizyjnym. Jednakże w związku z wydaniem przez UODO wytycznych dot. monitoringu wizyjnego, kontrolerzy od października szczególnie zwrócą uwagę na aspekt dostosowania się administratorów danych do wskazówek, które zostały im przekazane w tym zakresie.

Nasze nowe strony internetowe

Pragniemy poinformować, że w ramach DLS powstały dwie nowe strony, a jeden z blogów przeszedł modernizację.

Szkolenia z RODO

W ramach naszych stron powstała nowa strona dedykowana tylko usługom szkoleniowym – Szkolenia z RODO . Na tej stronie odnajdziecie Państwo naszą ofertę szkoleniową, a także samodzielnie będziecie mogli Państwo zapisać się na szkolenia w dogodnych dla Państwa terminach. Nasze najbliższe szkolenia znajdziecie Państwo tutaj. Jeżeli są Państwo niezdecydowani lub nie wiedzą jakie szkolenie jest dla Państwa najlepsze polecamy skorzystać z quizu, który na podstawie Państwa odpowiedzi zaproponuje Państwu szkolenie.

Jak chronić informacje?

Dodatkowo nasz blog „Jak chronić informacje?” przeszedł modernizację oraz uzyskał nową szatę graficzną. Mamy nadzieję, że dzięki nowemu układowi treści oraz lepszej prezentacji tekstu, będzie on dla Państwa pomocą w wykonywaniu codziennych zadań Inspektorów Ochrony Danych.

eRODO

Pragniemy też poinformować, że w  26.09.br rozpocznie swoją działalność nasz nowy portal eRODO.pl. Celem naszego nowego portalu jest wsparcie we wdrożeniach RODO w organizacjach w szczególności w małych i średnich przedsiębiorstwach. Oprócz poprowadzenia przez proces wdrożenia, portal będzie zawierał również łatwy do nawigacji tekst RODO zarówno w wersji polskiej, jak i angielskiej. Na portalu również będzie można odnaleźć niezbędne wzory dokumentów, które ułatwiają wdrożenie RODO.

Przetwarzanie danych osobowych. 8 pytań, na które musisz znać odpowiedź

Zagadnieniem wokół którego oscyluje cała treść RODO jest przetwarzanie danych osobowych. Ustawodawca unijny dokonuje szerokiego ujęcia tego pojęcia i wyróżnia wiele składników procesu przetwarzania danych, które mogą nie być tak oczywiste. Należy jednak pamiętać, że wyliczenie zawarte w treści RODO ma charakter tylko przykładowy i nie jest ograniczone,

1. Co to przetwarzanie danych?

Przetwarzanie danych osobowych to wszelkiego typu operacje, jakie są dokonywane na informacjach o osobach fizycznych. Dotyczy to zarówno działań podjętych wobec pojedynczych rekordów danych, jak i całych zbiorów/zestawów takich danych.

2. Jakie czynności są uznane za przetwarzanie danych osobowych wg RODO?

Zgodnie z Art. 4 ust 2 RODO za przetwarzanie danych uznaje:

  • zbieranie,
  • utrwalanie,
  • organizowanie,
  • porządkowanie,
  • przechowywanie,
  • adaptowanie lub modyfikowanie,
  • pobieranie,
  • przeglądanie,
  • wykorzystywanie,
  • ujawnianie przez przesłanie,
  • rozpowszechnianie lub innego rodzaju udostępnianie,
  • dopasowywanie lub łączenie,
  • ograniczanie,
  • usuwanie lub niszczenie.

Niemniej należy pamiętać, że jest to wyliczenie przykładowe. Za przetwarzanie danych osobowych może zostać uznana każda operacja lub zestaw operacji dokonywanych na danych osobowych lub na zestawach tych danych. Dokonywana czynność nie musi być explicite wymieniona w treści RODO, może ona odbywać się w sposób zautomatyzowany (np. w systemach informatycznych) lub tradycyjny (np. w papierowych kartotekach).

3. Czy każde przedsiębiorstwo przetwarza dane osobowe?

Proces przetwarzania danych osobowych jest nieodłącznym elementem działalności każdego przedsiębiorstwa, choć często nie zdajemy sobie z tego sprawy. Codziennie bowiem podmioty prowadzące działalność przetwarzają dane m.in.:

  • dane pracowników i kandydatów na pracowników;
  • dane osób odwiedzających siedzibę spółki;
  • dane kontrahentów lub ich pracowników.

Więcej o tym czy jesteś zobowiązany do przestrzegania RODO znajdziesz w tym artykule.

4. Kim jest Administrator Danych Osobowych?

Za Administratora Danych Osobowych (ADO) należy uznać podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Administratorem danych może być zarówno osoba prawna, jednostka organizacyjna nieposiadająca osobowości prawnej, podmiot publiczny, jak i osoba fizyczna. Kryterium wyróżniającym ADO w biznesie jest przetwarzanie danych w związku z prowadzoną działalnością zawodową lub handlową. Oznacza to, że osoba fizyczna która przetwarza dane w celu osobistym lub domowym nie będzie uznana za administratora danych osobowych, nie podlega ona zatem rygorom RODO.

5. Czym jest przetwarzanie danych w celach osobistych?

Za przetwarzanie danych w celu osobistym możemy uznać np.: posiadanie adresów e-mail lub numerów telefonów naszych znajomych oraz kontaktowanie się z nim. Należy jednak pamiętać, że działalnością domową nie będzie korzystanie po godzinach pracy z danych osobowych, z którymi zostaliśmy zaznajomieni podczas wykonywania obowiązków służbowych. Więcej o przetwarzaniu danych w celach osobistych znajdziesz w tym artykule.

6. Jaki status w RODO mają moim kontrahenci np. obsługa IT, księgowość czy BHP?

Firmy świadczące outsourcing procesów biznesowych są podmiotami przetwarzającymi. Choć nazwa ta może być nieco myląca, kryje się za nią podmiot zewnętrzny, który na zlecenie ADO przetwarza dane osobowe. Określany jest on także mianem procesora. Podmiot ten działa na podstawie tzw. powierzenia danych osobowych, co oznacza sytuację, w której dochodzi do przetwarzania danych, które posiada Administrator, przez inny podmiot na podstawie zawartej umowy. Aby takie powierzenie było legalne, należy spełnić następujące warunki:

  1. należy zawrzeć umowę w formie pisemnej, która reguluje stosunki na linii administrator – procesor (tzw. umowa powierzenia) oraz
  2. ADO powinien sprawować kontrolę nad działalnością procesora (oznacza to sprawowanie kontroli nad tym, czy procesor przetwarza dane zgodnie z prawem i umową powierzenia).

7. Kim jest Inspektor Ochrony Danych Osobowych?

Zastąpił on dotychczas działającego Administratora Bezpieczeństwa Informacji (ABI). Jest on odpowiedzialny za nadzór nad ochroną danych w przedsiębiorstwie oraz zapewnienie zgodności procesu przetwarzania danych z prawem. Jest on osobą, do której powinni mieć możliwość zwrócić pracownicy w związku z pytaniami lub wątpliwościami dotyczącymi danych osobowych. Więcej na ten temat pisaliśmy w tym artykule.

8. I co z tego, że przetwarzam dane osobowe?

Przetwarzanie danych osobowych, zgodnie z treścią RODO, dotknięte jest wieloma obostrzeniami. Musi być ono bowiem zgodne z zasadami wymienionymi w art. 5 rozporządzenia. Do zasad tych można zaliczyć:

  • zgodności z prawem (legalność);
  • rzetelności i prawidłowości;
  • ograniczenia celu;
  • minimalizacji danych;
  • integralności i poufności;
  • przejrzystości;
  • ograniczenia przechowania oraz
  • rozliczalności.

Wyrażone wprost w rozporządzeniu podstawowe pryncypia ochrony danych osobowych wskazują kierunek rozwoju ochrony prywatności obrany przez ustawodawcę unijnego. Wyznaczają one również standardy dla pozostałych regulacji oraz aktów prawnych państw członkowskich.

Podsumowanie

Reasumując, można uznać, że RODO w sposób szczegółowy określa zakres działań wchodzących w skład przetwarzania danych osobowych. Nie jest to jednak wyliczenie pełne, więc za przetwarzanie danych mogą zostać uznane procesy, które nie zostały bezpośrednio wymienione w artykule 4 RODO. Definicja przetwarzania danych, stanowiąca katalog otwarty, została skonstruowana w ten sposób, aby nie dezaktualizowała się wraz z pojawieniem się nowych sposobów przetwarzania danych. Zasady określone w rozporządzeniu powinny być stosowane jak najpełniej do wszelkich czynności związanych z przetwarzaniem danych – chyba że przetwarzanie to następuje tylko w celach osobistych.

Kto musi powołać inspektora ochrony danych?

Jedną ze zmian jakie wprowadza RODO jest określenie administratora danych, którzy zobowiązani są do wyznaczenia Inspektora Ochrony Danych. Podobną funkcję, znaną wcześniej na gruncie polskiej ustawy o ochronie danych osobowych, pełnił Administrator Bezpieczeństwa Informacji (ABI), jednak ustawa o ochronie danych nie nakładała powszechnego obowiązku powoływania ABI.

Trzy rodzaje podmiotów zobligowane do powołania IOD

Przepisy RODO przewidują trzy przypadki, w których powołanie IOD jest obowiązkiem administratora danych. Pierwszy z nich ma charakter podmiotowy, bowiem odnosi się do kategorii podmiotów, które zobligowane zostały do wyznaczenia IOD, dwa kolejne mają charakter przedmiotowy – dotyczą przedmiotu działalności administratorów danych.

Obowiązek powołania IOD określa art. 37 ust. 1 RODO:

Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Użyte w treści przepisu słowa „wyznaczają (…) zawsze gdy” oznaczają prawny obowiązek wyznaczenia IOD dla określonych kategorii podmiotów. Brak dostosowania się do powyższego będzie oceniany negatywnie przez organ kontrolujący i może skutkować karami finansowymi dla organizacji. W sytuacji, gdy organizacja uzna, że nie podlega powyższemu przepisowi i nie musi wyznaczyć Inspektora Ochrony Danych, powinna ta decyzję udokumentować odpowiednio przeprowadzoną analizą wewnętrzną realizującą zasadą rozliczalności.

W przypadku, gdy przedsiębiorca nie jest zobligowany do wyznaczenia IOD, może on fakultatywnie skorzystać z tego uprawnienia, aby np. podnieść poziom bezpieczeństwa danych w swojej organizacji. IOD powołany bez obowiązku prawnego będzie podlegał tym samym prawom i obowiązkom, co inspektorzy wyznaczeni obligatoryjnie. O plusach powołania IOD pisaliśmy w tym artykule.

Organy lub podmioty publiczne

RODO nie przyjmuje jednoznacznej definicji organów lub podmiotów publicznych. W wytycznych Grupy Roboczej Art. 29: „Wytyczne dotyczące inspektorów ochrony danych” wskazano, że pojęcie to powinno zostać określone na poziomie ustawodawstwa krajowego. Do podmiotów takich najczęściej zalicza się organy władzy krajowej, organy regionalne i lokalne, ale również – na mocy właściwego prawa krajowego – szereg innych podmiotów prawa publicznego. We wszystkich tych przypadkach powołanie IOD jest obowiązkowe.

Odnosząc powyższe do polskich przepisów, należy przyjąć, że powyższe dotyczy podmiotów wymienionych w art. 9 ustawy o ochronie danych osobowych oraz wymienionych w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, tj.:

  1. organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały;
  2. jednostki samorządu terytorialnego oraz ich związki;
  3. związki metropolitalne;
  4. jednostki budżetowe;
  5. samorządowe zakłady budżetowe;
  6. agencje wykonawcze;
  7. instytucje gospodarki budżetowej;
  8. państwowe fundusze celowe;
  9. Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego;
  10. Narodowy Fundusz Zdrowia;
  11. samodzielne publiczne zakłady opieki zdrowotnej;
  12. uczelnie publiczne;
  13. Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne;
  14. państwowe i samorządowe instytucje kultury;
  15. inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego;
  16. Instytutów badawczych;
  17. Narodowego Banku Polskiego.

Istnieją również sytuacje, w których podmioty sektora prywatnego realizują zadania publiczne. Wykonywanie zadań publicznych przez podmiot prywatny powinno wynikać albo z przepisów prawa, albo ze stosownej umowy zawartej przez ten podmiot z podmiotem prawa publicznego zobowiązanym do wykonywania określonego zadnia publicznego. Możliwość przeniesienia kompetencji w ten sposób na podmiot niepubliczny powinna wprost wynikać z przepisów prawa. Powołanie w tych przypadkach IOD nie jest obligatoryjne, jednak zalecane jako dobra praktyka, ponieważ dane osobowe w takich przypadkach znajdują się w podobnej sytuacji, jaka ma miejsce przy przetwarzaniu ich przez organy publiczne.

Ostatnie zdanie art. 37 ust. 1 lit a RODO wskazuje na wyłączenie obowiązku wyznaczenia IOD przez sądy w zakresie sprawowania przez nie wymiaru sprawiedliwości. Należy zwrócić uwagę, że dotyczy ono tylko sytuacji przetwarzania danych w związku z rozstrzyganiem sporów sądowych, jednak nie zwalnia całkowicie ze stosowania przepisów dot. ochrony danych osobowych, np. względem danych pracowników sądu.

Powołanie IOD, a rodzaj prowadzonej działalności

Art. 37 ust. 1 lit. b i c RODO odwołują się do pojęć, które nie zostały zdefiniowane w treści RODO, a mianowicie do „głównej działalności administratora lub podmiotu przetwarzającego”, „przetwarzania na duża skalę” i „regularnego i systematycznego monitorowania osób, których dane dotyczą”. Brak dokładnej definicji tych pojęć sugeruje, że podmioty przetwarzające dane niejako same mogą zdecydować o tym, czy podlegają obowiązkowi wyznaczenia IOD. Rozporządzenie nie określa bowiem kategorii podmiotów ani ilości przetwarzanych rekordów, które wskazywałyby dokładniej, kogo mogą dotyczyć wymogi art. 37 ust. 1 lit. b i c RODO. Okoliczność ta ma jednak również swoje wady – organ nadzoru będzie podejmował ocenę tych kryteriów arbitralnie, opierając ją na swoich indywidualnych przekonaniach.

Główna działalność administratora lub podmiotu przetwarzającego

Zgodnie z motywem 97 ogólnego rozporządzenia o ochronie danych „główna działalność administratora” oznacza „zasadnicze, a nie poboczne czynności” podejmowane przez podmiot. Wytyczne Grupy Roboczej Art. 29 wskazują, że „główną działalnością” będzie zatem działalność kluczowa z punktu widzenia osiągnięcia celów administratora lub procesora.

Należy jednak zwrócić uwagę, że czynności nierozerwalnie związane z działalnością główną administratora lub podmiotu przetwarzającego, nawet jeśli nie stanowią celu same w sobie, również będą wchodziły w zakres „głównej działalności”. Grupa Robocza Art. 29 podaje przykład spółki świadczącej usługi ochrony mienia, która prowadzi monitoring w szeregu nieruchomości. Działalnością główną tej spółki będzie ochrona mienia, jednak jest ona nierozerwalnie związana z prowadzeniem monitoringu ww. miejsc, zatem monitoring należy do zakresu głównej działalności spółki, co oznacza, że jest ona zobligowana do wyznaczenia IOD.

W tym miejscu należy rozróżnić działalność wspierającą, która występuję w większości podmiotów i choć jest nierozerwalnie związana z prowadzeniem działalności głównej, nie jest do niej zaliczana, np. prowadzenie listy płac pracowników, korzystanie z obsługi informatycznej.

Przetwarzanie na dużą skalę

Zgodnie z motywem 91 : operacje przetwarzania o dużej skali – które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko.

Poza tym krótkim wyjaśnieniem, przepisy RODO nie wskazują konkretnych wartości ani liczby rekordów danych lub podmiotów, których dane dotyczą, uznawanych za „przetwarzanie na dużą skalę”. Grupa Robocza Art. 29 zaleca uwzględnianie poniższych czynników przy określaniu rozmiaru skali przetwarzania:

  1. liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;
  2. zakres przetwarzanych danych osobowych;
  3. okres, przez jaki dane są przetwarzane;
  4. zakres geograficzny przetwarzania danych osobowych.

Jako przykłady „przetwarzania na dużą skalę” Grupa Robocza Art. 29 podaje:

  1. przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności;
  2. przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem kart miejskich);
  3. przetwarzanie danych geolokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych;
  4. przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności;
  5. przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki;
  6. przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.

Na zakończenie warto dodać, że motyw 91 RODO statuuje również, że przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.

„Regularne i systematyczne monitorowanie” – art. 37 ust. 1 lit. b RODO

Jak w przypadku poprzednich pojęć, informacje o „regularnym i systematycznym monitorowaniu osób, których dane dotyczą” odnajdujemy w motywie RODO. Motyw 24 rozporządzenia stanowi: aby stwierdzić, czy czynność przetwarzania można uznać za „monitorowanie zachowania” osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w Internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw. Powyższe oznacza, że monitorowanie to obejmuje wszelkie formy śledzenia i profilowania w sieci, w tym na potrzeby reklam behawioralnych. Grupa Robocza Art. 29 wskazuje również, że motyw ten jest tylko wskazówką w dekodowaniu pojęcia „monitorowania”, co oznacza, że nie musi być ono ograniczone do środowiska on-line, jest to tylko przykład zawarty w treści RODO.

Grupa Robocza Art. 29 definiuje „regularne” jako jedno lub więcej z następujących pojęć:

  1. stałe albo występujące w określonych odstępach czasu przez ustalony okres;
  2. cykliczne albo powtarzające się w określonym terminie;
  3. odbywające się stale lub okresowo.

GR Art. 29 definiuje „systematyczne” jako jedno lub więcej z następujących pojęć:

  1. występujące zgodnie z określonym systemem;
  2. zaaranżowane, zorganizowane lub metodyczne;
  3. odbywające się w ramach generalnego planu zbierania danych;
  4. przeprowadzone w ramach określonej strategii.

Przykładami działań, które mogą być uznane za „regularne i systematyczne monitorowanie osób, których dane dotyczą” są: obsługa sieci telekomunikacyjnej, śledzenie lokalizacji przez aplikacje mobilne, reklama behawioralna, programy lojalnościowe, monitoring wizyjny, inteligentne samochody, automatyka domowa etc.

Szczególne kategorie danych oraz dane dotyczące wyroków skazujących i naruszeń prawa – art. 37 ust. lit. c RODO

Trzeci przypadek, który obliguje do wyznaczenia IOD, zawiera pojęcia, które zostały zdefiniowane w treści RODO, albowiem szczególne kategorie danych określone w art. 9 rozporządzenia stanowią: dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetycznych, dane biometrycznych wykorzystywane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczących zdrowia, seksualności lub orientacji seksualnej. Art. 10 RODO dotyczy danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa, które wolno przetwarzać wyłącznie pod nadzorem władz publicznych lub w oparciu o przepisy prawa, zachowując odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wykładnia literalna art. 37 ust. 1 lit. c RODO wydaje się statuować twierdzenie, że obowiązek wyznaczenia IOD nie ciąży na administratorach, którzy przetwarzają dane dotyczące „powiązanych środków bezpieczeństwa”, ponieważ nie zostały one wskazane wprost w analizowanym przepisie. Jednak z uwagi na cel przepisu, czyli zagwarantowanie wysokiego poziomu ochrony danych osobowych przez określone podmioty poprzez obowiązek powołania IOD, wydaje się, że również ci administratorzy zobowiązani są do wyznaczenia inspektora ochrony danych.

Grupa Robocza Art. 29 zwróciła uwagę na spójnik użyty w przepisie, albowiem chociaż wykładnia językowa zakłada wyznaczenie IOD tylko w przypadku, gdy przetwarzane są przez jeden podmiot dwa powyższe rodzaje danych, to nie ma powodu, dla którego zasadne byłoby wymaganie spełnienie tych dwóch przesłanek jednocześnie. Zdaniem Grupy Roboczej Art. 29 zastosowanie powinien mieć spójnik „lub”.

Administrator czy procesor?

Obowiązek wynikający z wyżej przywołanego przepisu dotyczy niezależnie zarówno administratorów danych, jak i podmioty przetwarzające, bez względu na sektor prowadzonej działalności. Obowiązek powołania IOD aktualizuje się względem tego podmiotu, który spełnia przesłanki wymienione w art. 37 ust. 1 RODO, zatem może spoczywać wyłącznie na procesorze lub wyłącznie na administratorze. Możliwa jest również sytuacja, gdy obydwa te podmioty będą zobowiązane wyznaczyć IOD. W takim przypadku powołani inspektorzy powinni współpracować ze sobą.

W wytycznych wskazano, że może zdarzyć się sytuacja, w której obowiązek wyznaczenia IOD będzie spoczywał tylko na jednym z wyżej wymienionych podmiotów, mimo przetwarzania tego samego zestawu danych. Drugi podmiot może w takim przypadku wyznaczyć IOD w ramach dobrej praktyki. Przykładem podanym przez Grupę Roboczą Art. 29 jest małe rodzinne przedsiębiorstwo zajmujące się dystrybucją artkułów gospodarstwa domowego, które zleca obsługę podmiotowi świadczącemu usługi analityki internetowej oraz pomocy w ukierunkowanej reklamie i marketingu. Działalność rodzinnego przedsiębiorstwa prowadzona jest w małej skali. Natomiast działalność podmiotu przetwarzającego świadczącego usługi marketingu i reklamy behawioralnej, który posiada wielu podobnych klientów, zbiorczo kwalifikuje się jako przetwarzanie „na dużą skalę”, co wypełnia przesłankę powołania IOD z art. 37 ust. 1 lit. b RODO. Mimo to działalność rodzinnego przedsiębiorstwa nie obliguje go do powołania IOD. W tym przypadku podmiotem, który musi wyznaczyć inspektora, będzie tylko procesor.

Czy na pewno musze powołać IOD?

Wyznaczenie Inspektora Ochrony Danych, choć wydaje się być jedną z fundamentalnych powinności, którą RODO w określonych przypadkach nakłada na administratorów danych, może budzić wiele wątpliwości oraz być związane z wieloma praktycznymi problemami. Przepisy RODO nie określają bowiem precyzyjnie kategorii podmiotów, które podlegają temu obowiązkowi. Każdy administrator danych samodzielnie musi rozważyć, przyjmując odpowiednią procedurę, przesłanki wyznaczenia RODO w swojej organizacji, podjąć odpowiednią decyzję oraz udokumentować ją.

W dokonywaniu rozstrzygnięcia dot. obowiązku powołania IOD nieocenione mogą się okazać wskazówki Grupy Roboczej Art. 29, które uszczegóławiają ogólne postanowienia RODO. Pozostaje również mieć nadzieję, że w ramach praktycznego stosowania przepisów RODO część wątpliwości zostanie rozstrzygnięta zaleceniami polskiego organu nadzoru lub utartą praktyką.

Należy zwrócić uwagę, że naruszenie przepisów dotyczących wyznaczenia IOD zostało zagrożone w karą wynikającą z art. 84 ust. 4 lit. a RODO w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

W przypadku podjęcia decyzji o powołaniu IOD mamy również kilka możliwości co do formy jego powołania. IOD może być pracownikiem naszej organiacji, ale także możemy skorzystać z pomocy zewnętrznego IOD. O plusach i minusach tych dwóch modeli więcej napisaliśmy w tym artykule.

 

Współautorem wpisu jest Katarzyna Woźniczak, młodszy specjalista ds. ODO w Data Legal Solutions Sp. z o.o.

Opracowano na podstawie:

  1. E. Bielak-Jomaa, D. Lubasz (red)., RODO Ogólne Rozporządzenie o Ochronie Danych. Komentarz, Warszawa 2018 r.;
  2. Grupa Robocza Art. 29 ds. ochrony danych, 16/EN WP 243 rew. 01 Wytyczne dotyczące inspektorów ochrony danych (‘DPO’), przyjęte w dniu 13 grudnia 2016 r. w wersji zmienionej i przyjętej w dniu 05 kwietnia 2017 r.;
  3. P. Litwiński (red.), P. Barta, M. Kawecki, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Warszawa 2018.

Post Kto musi powołać inspektora ochrony danych? pojawił się poraz pierwszy w Jak chronić informacje. Blog o byciu skutecznym IOD.

Source: jchi

Kto podlega reżimowi RODO?

Unijne rozporządzenie o ochronie danych osobowych (RODO), które jest stosowane od 25 maja 2018 roku, jest najważniejszym aktem prawnym dotyczącym ochrony danych osobowych, obowiązującym na terenie UE. Nic więc dziwnego, że wielu przedsiębiorców zadaje sobie pytanie czy jest zobowiązane stosować się do niego?

Przepisy RODO obejmują swoim zakresem wszelkie podmioty, które w ramach działalności dokonują przetwarzania danych. Definicja przetwarzania danych jest na gruncie rozporządzenia tak szeroka, że niemal każda operacja dokonywana na dowolnym zestawie informacji o osobach fizycznych będzie zawierała się w jej zakresie. Warto jednak pamiętać, że istnieją pewne wyłączenia od tych przepisów.

Jakie podmioty muszą stosować RODO?

Jak zaznaczono we wstępie, do przestrzegania przepisów RODO zobligowane są wszystkie podmioty zajmujące się przetwarzaniem danych osobowych w ramach swojej działalności – zarówno publiczne, jak i prywatne. W związku z powyższym do przestrzegania przepisów rozporządzenia zobowiązany jest każdy przedsiębiorca działający na terenie UE, który przetwarza dane osobowe, bez względu na formę prawną prowadzonej działalności, o ile zastosowania nie mają przepisy wprost przewidujące wyłączenie spod tego obowiązku. Rygorom określonym w RODO nie podlega przetwarzanie danych w celach osobistych – np. przechowywanie numerów telefonów znajomych.

Należy zwrócić uwagę na fakt, że rozporządzenie to dotyczy ochrony danych osobowych. W związku z tym nie podlegają mu podmioty, które nie przetwarzają takich informacji.

Czy przetwarzam dane osobowe?

Dane osobowe są to zgodnie z art. 4 ust 1 RODO: “informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Informacje, które zawsze należy uznać za dane osobowe to:

  • imię i nazwisko,
  • PESEL,
  • numer i seria dowodu tożsamości.
  • Adres e-mail (np. w formule imię.nazwisko@firma.pl)

Oznacza to, że podmiot, który w swojej działalności biznesowej przetwarza tego typu dane, zawsze musi spełniać wymagania stawiane przez RODO. Wystarczy, że firma posiada jednego pracownika/zleceniobiorcę, jednego subskrybenta newsletter-a czy też jednego klienta/kontrahenta, który jest osobą fizyczną.

Istnieje też grupa informacji, które mogą być uznane za dane osobowe w zależności od sytuacji. Należą do nich: wygląd zewnętrzny, waga, wzrost, wiek, adres IP czy status majątkowy. Podmiot, który przetwarza takie informacje, musi stosować wymogi określone przepisami RODO tylko w tych sytuacjach, gdy dane te umożliwiają identyfikację osoby fizycznej, albowiem tylko wtedy mogą zostać uznane za „osobowe” i wymagać stosowania przepisów unijnego rozporządzenia.

Natomiast do informacji, których nigdy nie uznaje się za dane osobowe, zalicza się:

  • informacje zagregowane (np.: dane statystyczne),
  • dane zanonimizowane (nie ma możliwości identyfikacji osób, których dotyczą),
  • informacje o osobach zmarłych (zmarli nie są dysponentami danych osobowych),
  • informacje dotyczące osób prawnych.

Oznacza to, że przetwarzając tylko te dane, jesteśmy zwolnieni z przestrzegania wymogów rozporządzenia. Należy jednak pamiętać, że przetwarzanie tego typu informacji może być regulowane przez inne przepisy, zarówno na poziomie ustawodawstwa krajowego, jak i unijnego. RODO stanowi tylko minimalny standard ochrony danych osobowych dla całej Unii Europejskiej.

Kto nie podlega reżimowi RODO?

Rozporządzenie wprowadza pewne wyłączenia, albowiem zgodnie z art. 2 ust. 1 RODO nie dotyczy czynności:

  • nieobjętych zakresem prawa Unii;
  • podjętych przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres wspólnej polityki zagranicznej i bezpieczeństwa UE;
  • podjętych przez osobę fizyczną w ramach działań o czysto osobistym lub domowym charakterze;
  • podjętych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar.

Warto również pamiętać, że rozporządzenie ma zastosowanie tylko do osób fizycznych. W związku z tym przepisy RODO nie chronią informacji dotyczących osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej (ale ich pracowników już tak).

Gdzie obowiązuje RODO?

Choć nie jest to wyrażone bezpośrednio, rozporządzenie w art. 3 wprowadza zasadę eksterytorialności. Stanowi on bowiem, że „rozporządzenie ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii.

Oznacza to, miejsce przetwarzania danych z punktu widzenia przepisów RODO jest nieistotne – kryterium decydującym jest skutek tego przetwarzania. W związku z tym do przestrzegania rozporządzania zobowiązane są nie tylko podmioty zarejestrowane na terenie UE. Dotyczy ono także jednostek organizacyjnych działających poza Unią, jeżeli przetwarzają one dane osób fizycznych przebywających na terenie Unii. Przetwarzanie to w szczególności powinno wiązać się z:

  • „oferowaniem towarów lub usług takim osobom, których dane dotyczą” (odpłatnie lub nieodpłatnie) lub
  • „monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii”.

Podsumowanie

Reasumując, należy stwierdzić, że krąg podmiotów zobligowanych do stosowania RODO jest bardzo szeroki. Rozporządzenie muszą stosować zarówno podmioty publiczne, jak i prywatne. Można dzięki temu wskazać, że RODO dotyczy każdej organizacji, która przetwarza dane osobowe- praktycznie wszystkich firm. Ponadto dzięki zasadzie eksterytorialności do jego przestrzegania zobowiązane są podmioty, które przetwarzają dane osobowe poza UE. Warto jednak pamiętać, że RODO chroni tylko dane osób fizycznych i to tylko wtedy, gdy możliwa jest identyfikacja osób, których dotyczą (pod warunkiem, że przetwarzanie tych danych nie ma czysto osobistego charakteru).

Wewnętrzny vs zewnętrzny Inspektor Ochrony Danych

Administratorzy i podmioty przetwarzające, którzy są zobligowani albo podjęli decyzję o powołaniu Inspektora Ochrony Danych w swojej organizacji, mają do wyboru szerokie spektrum możliwości pomoc specjalistów w tym zakresie. Powołanie IOD znacząco podnosi poziom bezpieczeństwa w organizacjach. Jednak czy IOD musi pochodzić koniecznie z personelu Administratora Danych? W tym artykule odpowiadamy na to oraz inne częstsze pytania moich klientów dotyczące powołania zewnętrznych i wewnętrznych IOD.

Czy IOD może być tylko pracownikiem Administratora?

Inspektor Ochrony Danych może mieć charakter wewnętrzny lub zewnętrzny względem organizacji, w której został wyznaczony. Rozporządzenie umożliwia bowiem powołanie IOD spośród obecnych pracowników lub pracownika firmą wyspecjalizowanej w ochronie danych osobowych. RODO nie stawia wymogów odnośnie formy wyznaczenia, daje ono nam w tym zakresie wybór, którego możemy dokonać na podstawie własnych preferencji.

Wewnętrzny czy zewnętrzny IOD?

Jeśli zastanawiasz się, jaka forma współpracy z Inspektorem Ochrony Danych byłaby najkorzystniejsza dla Twojej organizacji, poniżej przedstawiamy tabelę z porównaniem zalet i wad wewnętrznego i zewnętrznego IOD.

Dla kogo wewnętrzny a dla kogo zewnętrzny IOD?

Jak wskazano powyżej, każda z dostępnych opcji wyznaczenia IOD posiada swoje plusy i minusy. Należy zatem rozważyć, który model współpracy jest bardziej korzystny dla konkretnej organizacji.

Małe i średnie firmy podmioty powinny rozważyć outsourcing IOD, ponieważ często nie potrzebują dodatkowego etatu przeznaczonego tylko dla pracownika zajmującego się ochroną danych. Wyznaczenie IOD spośród zatrudnionych pracowników może nadmiernie obciążyć tę osobę oraz spowodować konflikt interesów, który jest wprost zakazany przez RODO. Może mieć on mieć miejsce wtedy, gdy IOD w ramach obowiązków niezwiązanych ze swoją funkcją może określać cele i sposoby przetwarzania danych osobowych (w imieniu ADO jako np. osoba odpowiedzialna za kadry, marketingu czy IT). Ponadto małe podmioty zazwyczaj nie posiadają bardzo rozbudowanej struktury, więc zewnętrzny Inspektor Ochrony Danych może szybko zapoznać się z działalnością i procesami przetwarzania danych przedsiębiorstwa, a także zapewnić profesjonalną obsługę w tym zakresie. Powołanie IOD w tym wypadku przełoży się na wyższy poziom bezpieczeństwa danych oraz większe prawdopodobieństwo uniknięcia kar finansowych.

Duże organizacje powinny jednak posiadać kompleksową obsługę pod względem bezpieczeństwa danych, którą w przypadku złożoności strukturalnej i mnogości procesów przetwarzania danych lepiej gwarantuje wewnętrzny IOD. Podmioty takie często też funkcjonują większym budżetem, który może zostać spożytkowany na utworzenie nowej funkcji oraz doskonalenie wiedzy IOD. Należy przy tym pamiętać, że IOD musi posiadać określone wymogami RODO umiejętności i kompetencje oraz stale je poszerzać. Sposobem na pozyskanie takich umiejętności lub ich poszerzanie może być udział w szkoleniu dla Inspektorów Ochrony Danych.

Czy IOD to jedyne wyjście?

Warto zwrócić uwagę, że organizacje, która nie mają obowiązku i nie chcą dobrowolnie wyznaczyć IOD, mogą oddelegować zadania związane z odo na swoich pracowników lub zewnętrznych konsultantów. Często takie osoby w organizacji posiadają funkcję pełnomocników lub koordynatorów ochrony danych osobowych. Nazwa jest oczywiście dowolna, jednak należy zadbać o to, by nazwa funkcji, które obejmie taka osoba, jej pozycja i zakres obowiązków nie wzbudzały wątpliwości oraz błędnego zakwalifikowania tej osoby jako IOD. Dlatego też we wszelkich komunikatach publikowanych w ramach działalności organizacji, a także we wszelkich informacjach adresowanych do organów ochrony danych, podmiotów danych etc. należy jednoznacznie wskazać, że taki pracownik lub konsultant nie pełni funkcji Inspektora Ochrony Danych. Plusem powołania takie osoby jest brak realizacji gwarancji, które dla wielu organizacji mogą być uciążliwe. Brak tych gwarancji może jednak wpłynąć negatywnie na wykonywanie przez tą osobę funkcji. Minusem jest to, że należy taką osobę upoważnić do wszystkich czynności związanych z ochroną danych osobowych, ponieważ nie jest ona upoważniona do tego z mocy prawa.

Podsumowanie

Każda organizacja przed podjęciem decyzji o powołania IOD powinna przeprowadzić analizę czy jest do tego obowiązana oraz czy może dokonać tego dobrowolnie. Za powołaniem IOD przemawia wiele korzyści, jednak organizacja powinna również zapewnić mu określone gwarancje wykonywania jego funkcji. Inną możliwością jest ustanowienie np. Pełnomocnika ds. ODO. Podjęcie tej decyzji powinno zostać udokumentowane np. analizą zasadności powołania IOD.

Artykuł powstał przy wsparciu Katarzyny Woźniczak, młodszego specjalisty ds. ODO w Data Legal Solutions Sp. z o.o.

Post Wewnętrzny vs zewnętrzny Inspektor Ochrony Danych pojawił się poraz pierwszy w Jak chronić informacje. Blog o byciu skutecznym IOD.

Source: jchi

PUODO ostrzega przed fałszywymi kontrolerami

W komunikacie opublikowanym w dniu 03 sierpnia 2018 r. na stronie Urzędu Ochrony Danych Osobowych możemy przeczytać, że do Prezesa UODO docierają informacje o fałszywych kontrolerach, którzy pojawili się u przedsiębiorców, wyrażając chęć przeprowadzenia kontroli zgodności z przepisami o ochronie danych.

Fałszywi kontrolerzy odwiedzali przedsiębiorców prawdopodobnie w celu wyłudzenia pieniędzy, które miały stanowić karę za niedostosowanie się do przepisów RODO. Osoby te posiadały fałszywe dokumenty, takie jak legitymacje i upoważnienia do kontroli. Prezes UODO poinformował, że w najbliższym czasie będą miały miejsce kontrole dokonywane z ramienia UODO, jednak należy zachować czujność i weryfikować tożsamość osób wizytujących przedsiębiorcę.

Warto przypomnieć, że wzór legitymacji, którą posługują się kontrolerzy Urzędu jest określony we wciąż obowiązującym rozporządzeniu ministra spraw wewnętrznych i administracji z 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych. Zgodnie z treścią rozporządzenia każda legitymacja, którą posługują się kontrolerzy, powinna posiadać hologram oraz pieczęć na rewersie. Awers legitymacji wykonany jest w kolorze niebieskiemu, posiada czarne napisy oraz orła z godła Rzeczpospolitej Polskiej oraz pasek przekątny koloru biało-czerwonego.

© Wzór legitymacji kontrolera fot. UODO

PUODO zaznaczył również, że co do zasady pisemnie uprzedza o planowanej kontroli. Osoby kontrolujące można również zweryfikować dzwoniąc pod numer 22/531-07-71. Informacje, jakie możemy uzyskać pod tym numerem, to: imię i nazwisko kontrolera, numer legitymacji, fakt wydania upoważnienia do dokonania kontroli w danym podmiocie. Komplet tych danych umożliwi jednoznaczne zidentyfikowanie prawdziwych kontrolerów.