DataForge : Inspektor danych osobowych na gruncie RODO

Serwisy internetowe Nowoczesne i elastyczne rozwiązania, dopasowane do potrzeb twojego biznesu.
Systemy CRM, ECM Systemy wspierające i porządkujące zadania marketingowe i obieg informacji w twojej firmie.
Reklama w internecie Rozbudowane plany reklamowe, poparte analityką. Projektowane w zgodzie z aktualnymi trendami.
Analiza rynku i marki Procesy analityczne prowadzone przy wykorzystaniu najnowszych modeli gromadzenia danych.
Reklama tradycyjna Projekty graficzne i ich wydruk, montaż reklam. Praca w charakterze domu mediowego.
Projekty graficzne i poligrafia Realizujemy zadania z zakresu poligrafii i DTP, projektowania 2D/3D. Posiadamy własne wydawnictwo.

Ostatnio w DataForge

DataForge realizuje pełny zakres usług związanych z promocją Twojej firmy w Google. Kampanie reklamowe wsparte profesjonalnym zapleczem analitycznym. Wszystko w przystępnych cenach. czytaj całość >>

Inspektor danych osobowych na gruncie RODO

Zarys prawny – kiedyś fakultatywnie, dzisiaj obowiązkowo

Od dnia 25 maja 2018 r. obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych  w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”).

Rozporządzenie zastępuje dotychczasowego administratora bezpieczeństwa informacji inspektorem ochrony danych osobowych („Inspektor”). Powołanie administratora bezpieczeństwa informacji na gruncie dotychczas obowiązującej do dnia 25.05.2018 r. Ustawy o ochronie danych osobowych było fakultatywne – żaden administrator danych nie miał obowiązku jego powoływania. Odmiennie niż dotychczas, zgodnie z RODO, w określonych przypadkach powołanie Inspektora jest obligatoryjne. Obowiązek ten dotyczy zarówno administratorów danych, jak również podmioty przetwarzające, czyli tzw. procesorów.

Analiza przesłanek obowiązku powołania Inspektora

Zgodnie z art. 37 ust. 1 RODO Inspektora należy wyznaczyć w przypadku, gdy:

przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

O ile analiza przesłanek z w/w ust. 1 a) nie powinna nastręczać trudności, o tyle przesłanki z ust. b) i c) powodują istotne problemy interpretacyjne. W szczególności chodzi o niedookreślone sformułowania jak „duża skala” czy „główna działalność”. Każdy podmiot powinien przeprowadzić analizę jakie dane przetwarza, w jaki sposób są one wykorzystywane i jaka jest skala jego działalności.

Co więcej, zgodnie z wytycznymi Grupy Roboczej Art. 29 (aktualnie jako Europejska Rada Ochrony Danych), gdy z przepisów wprost nie wynika obowiązek wyznaczenia Inspektora, zaleca się administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia Inspektora celem wykazania, że wszelkie czynniki zostały uwzględnione.

Kwalifikacje, pozycja i obowiązki Inspektora

Zgodnie z RODO Inspektor jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań Inspektora. Nie ma konkretnych wytycznych co do wykształcenia, a jedynie ogólne wskazania co do posiadanej wiedzy w zakresie ochrony danych osobowych.

Europejskie wytyczne szczególny nacisk kładą na niezależność Inspektora. Podkreśla się, że administrator lub podmiot przetwarzający powinien zapewnić, aby zadania i obowiązki Inspektora nie powodowały konfliktu interesów. Oznacza to, że Inspektor nie może zajmować w organizacji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. Za powodujące konflikt interesów uważane będą m.in. stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT).

Inspektor ma być zaangażowany we wszystkie sprawy związane z ochroną danych osobowych. Ma mieć odpowiednie zasoby do wykonywania pracy, której wyniki raportuje do najwyższego kierownictwa.

Podsumowanie

Zwracam uwagę, że samo RODO, jak i wytyczne Grupy Roboczej Art. 29, wskazują na dopuszczalne i często uzasadnione względami organizacyjnymi dobrowolne powołanie Inspektora ochrony danych osobowych przez administratora. W sytuacji, w której podmiot dobrowolnie decyduje się na wyznaczenie Inspektora, wymagania dotyczące jego osoby stosuje się odpowiednio do jego wyznaczenia, statusu i zadań tak, jakby wyznaczenie było obowiązkowe.

Audytowe doświadczenia wskazują, że w przypadku niepowołania Inspektora, zadania w zakresie ochrony danych osobowych powinny być przypisane konkretnemu pracownikowi.

Opublikowano: 04.10.2018r.

Autor: r. pr. Jakub Winiecki,

O autorze: Audytor i specjalista w zakresie danych osobowych, e-commerce oraz w sprawach z zakresu prawa handlowego. Współpracuje zarówno z sektorem prywatnym, jak i publicznym.

Tel./kom.: +48 510 185 565

E-mail: j.winiecki@gfkk.pl

Data Forge laureatem elitarnego wyróżnienia - Certyfikat Firma Godna Zaufania

Wyjątkowe wyróżnienie - elitarny certyfikat jakości świadczonych usług - trafił niedawno w nasze ręce. To specjalne wyróżnienie ma dla nas bardzo duże znaczenie, jednocześnie daje ogromną motywację do dalszej pracy. Firma Godna zaufania to program certyfikacyjny w którym uczestniczymy od lat. czytaj więcej >>

Nowi klienci prosto z kieszeni

Lśniące ekrany smartfonów i tabletów to widok, od którego trudno dziś uciec. Żyjemy w ciągłym biegu - kroku dotrzymać muszą nam informacje, sprzęt, a nawet reklama. To już nie reklamowe bilbordy mijane po drodze, a wyspecjalizowane strony mobilne przyciągają i zatrzymują uwagę klientów. Eksperci z RTB House sprawdzili, co decyduje o skuteczności takiej reklamy. czytaj więcej >>

Google kontra agresywne reklamy

Wyciągasz smartfona, wpisujesz w wyszukiwarkę chodzące za Tobą od jakiegoś czasu hasło, aż zderzasz się z wielką reklamą, której nie sposób wyłączyć. Kto z nas tego nie zna? Google mówi stop i zapowiada uporządkowanie sieci w kwestii agresywnych bannerów wyświetlanych na urządzeniach mobilnych. Serwisy, które do tej pory korzystały z takiej strategii, muszą się dostosować - od 10 stycznia mogą ich spotkać kary. I to dotkliwe. czytaj więcej >>

Zdjęciami po większą sprzedaż

Jedno kliknięcie. Tyle wystarczy, by zdjęcie o dowolnie wybranej tematyce - od wypadu do restauracji, po katalogową fotografię produktu - znalazło się w serwisie zrzeszającym, aż 500 milionów zaangażowanych odbiorców. Portal Social Media Now apeluje: użytkownik Instagrama to klient nie tylko zaangażowany, ale i otwarty na nowe marki. Warto przyjrzeć się temu bliżej. czytaj więcej >>