Pobierz plik
Transkrypt
Pobierz plik
Status i zadania inspektora ochrony danych w przyszłych ramach prawnych UE Piotr Drobek Zastępca Dyrektora Departamentu Edukacji Społecznej i Współpracy Międzynarodowej, Biuro GIODO Wydział Prawa i Administracji, UKSW Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa www.giodo.gov.pl [email protected] Art. 16 TFUE 1. Każda osoba ma prawo do ochrony danych osobowych jej dotyczących. 2. Parlament Europejski i Rada, stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określają zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez Państwa Członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. Przestrzeganie tych zasad podlega kontroli niezależnych organów. Zasady przyjęte na podstawie niniejszego artykułu pozostają bez uszczerbku dla zasad szczególnych przewidzianych w artykule 39 Traktatu o Unii Europejskiej. www.giodo.gov.pl WNIOSKI LEGISLACYJNE KOMISJI EUROPEJSKIEJ Projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych COM(2012) 11 z 25 stycznia 2012 r. www.giodo.gov.pl WNIOSKI LEGISLACYJNE KOMISJI EUROPEJSKIEJ Projekt dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy w celu zapobiegania, dochodzenia, wykrywania lub ścigania przestępstw lub wykonywania kar kryminalnych i swobodnego przepływu tych danych COM(2012) 10 z 25 stycznia 2012 r. www.giodo.gov.pl WYZNACZENIE INSPEKTORA OCHRONY DANYCH – ART. 37 RODO • Obowiązek wyznaczenia przez administratora i podmiot przetwarzający, gdy: • przetwarzania dokonują organ lub podmiot publiczny, • z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości www.giodo.gov.pl WYZNACZENIE INSPEKTORA OCHRONY DANYCH – ART. 37 RODO • Obowiązek wyznaczenia przez administratora i podmiot przetwarzający, gdy główna działalność administratora lub podmiotu przetwarzającego polega na: – operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub –przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych szczególnych kategorii oraz danych o wyrokach skazujących i o przestępstwach. • www.giodo.gov.pl WYZNACZENIE INSPEKTORA OCHRONY DANYCH – ART. 37 RODO • Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej [jednostki]. • Jeżeli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych. www.giodo.gov.pl WYZNACZENIE INSPEKTORA OCHRONY DANYCH – ART. 37 RODO • Administrator, podmiot przetwarzający, stowarzyszenia lub inne podmioty reprezentujące różne kategorie administratorów lub podmiotów przetwarzających mogą wyznaczyć lub jeżeli wymaga tego prawo Unii lub prawo krajowe, wyznaczają inspektora ochrony danych. Inspektor ochrony danych może działać w imieniu takich stowarzyszeń i innych podmiotów reprezentujących administratorów lub podmioty przetwarzające. www.giodo.gov.pl WYZNACZENIE INSPEKTORA OCHRONY DANYCH – ART. 37 RODO • Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia swoich zadań. • Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług. www.giodo.gov.pl WYZNACZENIE INSPEKTORA OCHRONY DANYCH – ART. 37 RODO • Administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy. www.giodo.gov.pl STATUS INSPEKTORA OCHRONY DANYCH – ART. 38 RODO • Państwa członkowskie zapewniają, by administrator oraz podmiot przetwarzający gwarantował odpowiednie i niezwłoczne zaangażowanie inspektora ochrony danych we wszystkie sprawy dotyczące ochrony danych osobowych. • Administrator oraz podmiot przetwarzający wspiera inspektora ochrony danych w wypełnianiu jego zadań, zapewniając zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania oraz zasoby niezbędne do podtrzymania jego wiedzy fachowej. www.giodo.gov.pl STATUS INSPEKTORA OCHRONY DANYCH – ART. 38 RODO • Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych oraz z korzystaniem z praw przysługujących im na mocy niniejszego rozporządzenia. • Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. www.giodo.gov.pl STATUS INSPEKTORA OCHRONY DANYCH – ART. 38 RODO • Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem krajowym. • Inspektor ochrony danych może wypełniać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów. www.giodo.gov.pl ZADANIE INSPEKTORA OCHRONY DANYCH – ART. 39 RODO • informowanie administratora lub podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie; • monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym przydział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz www.giodo.gov.pl powiązane z tym kontrole; ZADANIE INSPEKTORA OCHRONY DANYCH – ART. 39 RODO • udzielanie porad na żądanie co do oceny skutków pod kątem ochrony danych oraz monitorowanie jej wykonania; • współpraca z organem nadzorczym; oraz • pełnienie funkcji punktu kontaktowego wobec organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych, w tym z uprzednimi konsultacjami oraz w stosownym przypadku prowadzenie konsultacji we wszelkich innych sprawach. Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem zagrożenia związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. www.giodo.gov.pl WYZNACZENIE INSPEKTORA OCHRONY DANYCH – ART. 32 DODO • Obowiązek wyznaczenia inspektora ochrony danych przez administratora danych. • Możliwość zwolnienia z tego obowiązku sądów i innych niezawisłych organów sądowych w ramach sprawowania przez te organy wymiaru sprawiedliwości. www.giodo.gov.pl WYZNACZENIE INSPEKTORA OCHRONY DANYCH – ART. 32 DODO • Jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności: – wiedzy fachowej na temat prawa i praktyki w dziedzinie ochrony danych – umiejętności wypełnienia swoich zadań. (63) Osoba ta może być członkiem dotychczasowego personelu administratora po odbyciu specjalnego szkolenia z prawa i praktyk w dziedzinie ochrony danych w celu uzyskania wiedzy fachowej w tej dziedzinie. Niezbędny poziom wiedzy fachowej należy ustalić zwłaszcza w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe przetwarzane przez administratora. www.giodo.gov.pl WYZNACZENIE INSPEKTORA OCHRONY DANYCH – ART. 32 DODO • Można wyznaczyć jednego inspektora ochrony danych dla kilku właściwych organów, uwzględniając ich strukturę organizacyjną i wielkość. • (63) Swoje zadania osoba ta może wykonywać w niepełnym lub w pełnym wymiarze czasu pracy. Kilku administratorów może, uwzględniając swoją strukturę organizacyjną i wielkość, wspólnie wyznaczyć jednego inspektora ochrony danych, na przykład w przypadku dzielonych zasobów w jednostkach centralnych. Osoba ta może być również mianowana na różne stanowiska w ramach struktury poszczególnych administratorów. • Państwa członkowskie zapewniają, by administrator opublikował dane kontaktowe inspektora ochrony danych i zawiadomił o nich organ nadzorczy. www.giodo.gov.pl STATUS INSPEKTORA OCHRONY DANYCH – ART. 33 DODO (63) Inspektorzy ochrony danych powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny, zgodnie z prawem krajowym. www.giodo.gov.pl STATUS INSPEKTORA OCHRONY DANYCH – ART. 33 DODO • Państwa członkowskie zapewniają, by administrator gwarantował odpowiednie i niezwłoczne zaangażowanie inspektora ochrony danych we wszystkie sprawy dotyczące ochrony danych osobowych. • Administrator wspiera inspektora ochrony danych w wypełnianiu jego zadań, zapewniając zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania oraz zasoby niezbędne do podtrzymania jego wiedzy fachowej. www.giodo.gov.pl ZADANIE INSPEKTORA OCHRONY DANYCH – ART. 34 DODO • informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszej dyrektywy oraz innych przepisów Unii lub państw członkowskich o ochronie danych i oraz przedstawianie im wytycznych; • monitorowanie przestrzegania niniejszej dyrektywy, innych przepisów Unii lub państw członkowskich o ochronie danych oraz realizowanie strategii administratora w dziedzinie ochrony danych osobowych, w tym przydział obowiązków, działania podnoszące świadomość i szkolenia personelu uczestniczącego w operacjach przetwarzania oraz odnośne kontrole; www.giodo.gov.pl ZADANIE INSPEKTORA OCHRONY DANYCH – ART. 34 DODO • przedstawianie wytycznych, na żądanie, w przedmiocie oceny skutków pod kątem ochrony danych oraz monitorowanie ich wykonania; • współpraca z organem nadzorczym; • pełnienie funkcji punktu kontaktowego wobec organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych, w tym z uprzednimi konsultacjami oraz w stosownym przypadku przedstawianie wytycznych we wszelkich innych sprawach. www.giodo.gov.pl DZIĘKUJĘ ZA UWAGĘ [email protected] http://edugiodo.giodo.gov.pl www.giodo.gov.pl