Pobierz plik

Status i zadania inspektora ochrony danych
w przyszłych ramach prawnych UE
Piotr Drobek
Zastępca Dyrektora Departamentu Edukacji Społecznej
i Współpracy Międzynarodowej, Biuro GIODO
Wydział Prawa i Administracji, UKSW
Generalny Inspektor
Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa
www.giodo.gov.pl
[email protected]
Art. 16 TFUE
1. Każda osoba ma prawo do ochrony danych osobowych jej
dotyczących.
2. Parlament Europejski i Rada, stanowiąc zgodnie ze zwykłą
procedurą ustawodawczą, określają zasady dotyczące ochrony osób
fizycznych w zakresie przetwarzania danych osobowych przez
instytucje, organy i jednostki organizacyjne Unii oraz przez Państwa
Członkowskie w wykonywaniu działań wchodzących w zakres
zastosowania prawa Unii, a także zasady dotyczące swobodnego
przepływu takich danych. Przestrzeganie tych zasad podlega kontroli
niezależnych organów.
Zasady przyjęte na podstawie niniejszego artykułu pozostają bez
uszczerbku dla zasad szczególnych przewidzianych w artykule 39
Traktatu o Unii Europejskiej.
www.giodo.gov.pl
WNIOSKI LEGISLACYJNE
KOMISJI EUROPEJSKIEJ
Projekt rozporządzenia
Parlamentu Europejskiego i Rady
w sprawie ochrony osób fizycznych w
zakresie przetwarzania danych osobowych
i swobodnego przepływu tych danych
COM(2012) 11 z 25 stycznia 2012 r.
www.giodo.gov.pl
WNIOSKI LEGISLACYJNE
KOMISJI EUROPEJSKIEJ
Projekt dyrektywy
Parlamentu Europejskiego i Rady
w sprawie ochrony osób fizycznych w zakresie
przetwarzania danych osobowych przez właściwe
organy w celu zapobiegania, dochodzenia,
wykrywania lub ścigania przestępstw lub
wykonywania kar kryminalnych i swobodnego
przepływu tych danych
COM(2012) 10 z 25 stycznia 2012 r.
www.giodo.gov.pl
WYZNACZENIE INSPEKTORA
OCHRONY DANYCH
– ART. 37 RODO
• Obowiązek wyznaczenia przez administratora
i podmiot przetwarzający, gdy:
• przetwarzania dokonują organ lub podmiot
publiczny,
• z wyjątkiem sądów w zakresie sprawowania przez
nie wymiaru sprawiedliwości
www.giodo.gov.pl
WYZNACZENIE INSPEKTORA
OCHRONY DANYCH
– ART. 37 RODO
• Obowiązek wyznaczenia przez administratora
i podmiot przetwarzający, gdy główna działalność
administratora lub podmiotu przetwarzającego
polega na:
– operacjach przetwarzania, które ze względu na swój
charakter, zakres lub cele wymagają regularnego
i systematycznego monitorowania osób, których dane
dotyczą, na dużą skalę; lub
–przetwarzaniu na dużą skalę szczególnych kategorii
danych osobowych szczególnych kategorii oraz danych
o wyrokach skazujących i o przestępstwach.
•
www.giodo.gov.pl
WYZNACZENIE INSPEKTORA
OCHRONY DANYCH
– ART. 37 RODO
• Grupa przedsiębiorstw może wyznaczyć jednego
inspektora ochrony danych, o ile można będzie
łatwo nawiązać z nim kontakt z każdej
[jednostki].
• Jeżeli administrator lub podmiot przetwarzający
są organem lub podmiotem publicznym, dla kilku
takich organów lub podmiotów można wyznaczyć
– z uwzględnieniem ich struktury organizacyjnej
i wielkości – jednego inspektora ochrony danych.
www.giodo.gov.pl
WYZNACZENIE INSPEKTORA
OCHRONY DANYCH
– ART. 37 RODO
• Administrator, podmiot przetwarzający,
stowarzyszenia lub inne podmioty reprezentujące
różne kategorie administratorów lub podmiotów
przetwarzających mogą wyznaczyć lub jeżeli
wymaga tego prawo Unii lub prawo krajowe,
wyznaczają inspektora ochrony danych. Inspektor
ochrony danych może działać w imieniu takich
stowarzyszeń i innych podmiotów
reprezentujących administratorów lub podmioty
przetwarzające.
www.giodo.gov.pl
WYZNACZENIE INSPEKTORA
OCHRONY DANYCH
– ART. 37 RODO
• Inspektor ochrony danych jest wyznaczany na
podstawie kwalifikacji zawodowych,
a w szczególności wiedzy fachowej na temat
prawa i praktyk w dziedzinie ochrony danych oraz
umiejętności wypełnienia swoich zadań.
• Inspektor ochrony danych może być członkiem
personelu administratora lub podmiotu
przetwarzającego lub wykonywać zadania na
podstawie umowy o świadczenie usług.
www.giodo.gov.pl
WYZNACZENIE INSPEKTORA
OCHRONY DANYCH
– ART. 37 RODO
• Administrator lub podmiot przetwarzający
publikują dane kontaktowe inspektora ochrony
danych i zawiadamiają o nich organ nadzorczy.
www.giodo.gov.pl
STATUS INSPEKTORA OCHRONY
DANYCH
– ART. 38 RODO
• Państwa członkowskie zapewniają, by administrator oraz
podmiot przetwarzający gwarantował odpowiednie i
niezwłoczne zaangażowanie inspektora ochrony danych
we wszystkie sprawy dotyczące ochrony danych
osobowych.
• Administrator oraz podmiot przetwarzający wspiera
inspektora ochrony danych w wypełnianiu jego zadań,
zapewniając zasoby niezbędne do wykonania tych zadań
oraz dostęp do danych osobowych i operacji przetwarzania
oraz zasoby niezbędne do podtrzymania jego wiedzy
fachowej.
www.giodo.gov.pl
STATUS INSPEKTORA OCHRONY
DANYCH
– ART. 38 RODO
• Osoby, których dane dotyczą, mogą kontaktować się
z inspektorem ochrony danych we wszystkich sprawach
związanych z przetwarzaniem ich danych oraz
z korzystaniem z praw przysługujących im na mocy
niniejszego rozporządzenia.
• Administrator oraz podmiot przetwarzający zapewniają, by
inspektor ochrony danych nie otrzymywał instrukcji
dotyczących wykonywania tych zadań. Nie jest on
odwoływany ani karany przez administratora ani podmiot
przetwarzający za wypełnianie swoich zadań. Inspektor
ochrony danych bezpośrednio podlega najwyższemu
kierownictwu administratora lub podmiotu
przetwarzającego.
www.giodo.gov.pl
STATUS INSPEKTORA OCHRONY
DANYCH
– ART. 38 RODO
• Inspektor ochrony danych jest zobowiązany do
zachowania tajemnicy lub poufności co do wykonywania
swoich zadań – zgodnie z prawem Unii lub prawem
krajowym.
• Inspektor ochrony danych może wypełniać inne zadania i
obowiązki. Administrator lub podmiot przetwarzający
zapewniają, by takie zadania i obowiązki nie powodowały
konfliktu interesów.
www.giodo.gov.pl
ZADANIE INSPEKTORA
OCHRONY DANYCH
– ART. 39 RODO
• informowanie administratora lub podmiotu
przetwarzającego oraz pracowników, którzy przetwarzają
dane osobowe, o obowiązkach spoczywających na nich na
mocy niniejszego rozporządzenia oraz innych przepisów
Unii lub państw członkowskich o ochronie danych
i doradzanie im w tej sprawie;
• monitorowanie przestrzegania niniejszego rozporządzenia,
innych przepisów Unii lub państw członkowskich
o ochronie danych oraz polityk administratora lub
podmiotu przetwarzającego w dziedzinie ochrony danych
osobowych, w tym przydział obowiązków, działania
zwiększające świadomość, szkolenia personelu
uczestniczącego w operacjach przetwarzania oraz
www.giodo.gov.pl
powiązane z tym kontrole;
ZADANIE INSPEKTORA
OCHRONY DANYCH
– ART. 39 RODO
• udzielanie porad na żądanie co do oceny skutków pod
kątem ochrony danych oraz monitorowanie jej wykonania;
• współpraca z organem nadzorczym; oraz
• pełnienie funkcji punktu kontaktowego wobec organu
nadzorczego w kwestiach związanych z przetwarzaniem
danych osobowych, w tym z uprzednimi konsultacjami
oraz w stosownym przypadku prowadzenie konsultacji we
wszelkich innych sprawach.
Inspektor ochrony danych wypełnia swoje zadania
z należytym uwzględnieniem zagrożenia związanego
z operacjami przetwarzania, mając na uwadze charakter,
zakres, kontekst i cele przetwarzania.
www.giodo.gov.pl
WYZNACZENIE INSPEKTORA
OCHRONY DANYCH
– ART. 32 DODO
• Obowiązek wyznaczenia inspektora ochrony
danych przez administratora danych.
• Możliwość zwolnienia z tego obowiązku sądów
i innych niezawisłych organów sądowych
w ramach sprawowania przez te organy wymiaru
sprawiedliwości.
www.giodo.gov.pl
WYZNACZENIE INSPEKTORA
OCHRONY DANYCH
– ART. 32 DODO
• Jest wyznaczany na podstawie kwalifikacji zawodowych,
a w szczególności:
– wiedzy fachowej na temat prawa i praktyki w dziedzinie
ochrony danych
– umiejętności wypełnienia swoich zadań.
(63) Osoba ta może być członkiem dotychczasowego personelu administratora po odbyciu
specjalnego szkolenia z prawa i praktyk w dziedzinie ochrony danych w celu uzyskania
wiedzy fachowej w tej dziedzinie.
Niezbędny poziom wiedzy fachowej należy ustalić zwłaszcza w świetle prowadzonych
operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe przetwarzane
przez administratora.
www.giodo.gov.pl
WYZNACZENIE INSPEKTORA
OCHRONY DANYCH
– ART. 32 DODO
• Można wyznaczyć jednego inspektora ochrony danych dla
kilku właściwych organów, uwzględniając ich strukturę
organizacyjną i wielkość.
• (63) Swoje zadania osoba ta może wykonywać w niepełnym lub w pełnym
wymiarze czasu pracy. Kilku administratorów może, uwzględniając swoją
strukturę organizacyjną i wielkość, wspólnie wyznaczyć jednego inspektora
ochrony danych, na przykład w przypadku dzielonych zasobów w
jednostkach centralnych. Osoba ta może być również mianowana na różne
stanowiska w ramach struktury poszczególnych administratorów.
• Państwa członkowskie zapewniają, by administrator
opublikował dane kontaktowe inspektora ochrony danych
i zawiadomił o nich organ nadzorczy.
www.giodo.gov.pl
STATUS INSPEKTORA OCHRONY
DANYCH
– ART. 33 DODO
(63) Inspektorzy ochrony danych powinni być
w stanie wykonywać swoje obowiązki i zadania
w sposób niezależny, zgodnie z prawem krajowym.
www.giodo.gov.pl
STATUS INSPEKTORA OCHRONY
DANYCH
– ART. 33 DODO
• Państwa członkowskie zapewniają, by
administrator gwarantował odpowiednie i
niezwłoczne zaangażowanie inspektora ochrony
danych we wszystkie sprawy dotyczące ochrony
danych osobowych.
• Administrator wspiera inspektora ochrony danych
w wypełnianiu jego zadań, zapewniając zasoby
niezbędne do wykonania tych zadań oraz dostęp
do danych osobowych i operacji przetwarzania
oraz zasoby niezbędne do podtrzymania jego
wiedzy fachowej.
www.giodo.gov.pl
ZADANIE INSPEKTORA
OCHRONY DANYCH
– ART. 34 DODO
• informowanie administratora oraz pracowników, którzy
przetwarzają dane osobowe, o obowiązkach
spoczywających na nich na mocy niniejszej dyrektywy
oraz innych przepisów Unii lub państw członkowskich o
ochronie danych i oraz przedstawianie im wytycznych;
• monitorowanie przestrzegania niniejszej dyrektywy,
innych przepisów Unii lub państw członkowskich o
ochronie danych oraz realizowanie strategii administratora
w dziedzinie ochrony danych osobowych, w tym przydział
obowiązków, działania podnoszące świadomość i
szkolenia personelu uczestniczącego w operacjach
przetwarzania oraz odnośne kontrole;
www.giodo.gov.pl
ZADANIE INSPEKTORA
OCHRONY DANYCH
– ART. 34 DODO
• przedstawianie wytycznych, na żądanie, w przedmiocie
oceny skutków pod kątem ochrony danych oraz
monitorowanie ich wykonania;
• współpraca z organem nadzorczym;
• pełnienie funkcji punktu kontaktowego wobec organu
nadzorczego w kwestiach związanych z przetwarzaniem
danych osobowych, w tym z uprzednimi konsultacjami
oraz w stosownym przypadku przedstawianie wytycznych
we wszelkich innych sprawach.
www.giodo.gov.pl
DZIĘKUJĘ ZA UWAGĘ
[email protected]
http://edugiodo.giodo.gov.pl
www.giodo.gov.pl