DLA ADMINISTRATORA
Wyznaczanie i zgłoszenie IOD
Ogólne rozporządzenie o ochronie danych w art. 37 ust 1 RODO przewiduje obowiązek wyznaczenia inspektora ochrony danych dla [ ... ]
Ogólne rozporządzenie o ochronie danych w art. 37 ust 1 RODO przewiduje obowiązek wyznaczenia inspektora ochrony danych dla administratorów i podmiotów przetwarzających wówczas, gdy:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (sądy są zobowiązane do wyznaczenia IOD).
Przez organy i podmioty publiczne obowiązane do wyznaczenia IOD, zgodnie z art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych rozumie się jednostki sektora finansów publicznych (np. jednostki samorządu terytorialnego, uczelnie publiczne, organy władzy, sądy i inne podmioty tworzące sektor finansów publicznych wskazane w art. 9 ustawy o finansach publicznych), instytuty badawcze oraz Narodowy Bank Polski. - główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę.
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO.
W interpretacji terminów użytych w art. 37 ust. 1 lit. b i c RODO („główna działalność”, „regularne i systematyczne monitorowanie” i „na dużą skalę”) pomocne mogą być motywy RODO oraz Wytyczne Grupy Roboczej art. 29 dotyczące inspektora ochrony danych. W Wytycznych zawarto również wiele praktycznych, konkretnych przykładów sytuacji spełniających te kryteria. Podano np., że w przypadku placówek medycznych główną działalnością jest wprawdzie zapewnianie opieki zdrowotnej, ale ta działalność nie byłaby możliwa bez przetwarzania danych w formie dokumentacji medycznej. Jako przykład „działalności głównej polegającej na przetwarzaniu na dużą skalę wrażliwych danych osobowych” jest tam podana działalność szpitali.
Natomiast jako przykład przetwarzania nie mieszczący się w definicji dużej skali - zgodnie z motywem 91 RODO - należy wskazać przetwarzanie danych pacjentów przez pojedynczego lekarza lub innego pracownika służby zdrowia (pielęgniarkę, położną). Wytyczne oparte są na założeniu, że wraz z rozwojem praktyki ukształtują się standardy, które umożliwią bardziej szczegółowe i/lub kwantytatywne zidentyfikowanie „dużej skali” w odniesieniu do określonych rodzajów przetwarzania.
Sposób sformułowania tych przepisów wymaga więc od administratora samodzielnego dokonywania analizy sytuacji i oceny, czy taki obowiązek w jego przypadku istnieje. Co więcej – w Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243) zaleca się, aby przeprowadzenie oceny w zakresie istnienia obowiązku wyznaczenia inspektora udokumentować, a nawet powtarzać taką ocenę w razie potrzeby, co jakiś czas. Sytuacja danego podmiotu może się bowiem zmieniać. Na przykład mała przychodnia może stopniowo rozszerzać swoją działalność, obejmując o nowe usługi i świadczenia i po jakimś czasie stać się dużym podmiotem przetwarzającym dane wrażliwe na dużą skalę.
Warto dodać, że na podstawie tych samych przesłanek RODO przewiduje obowiązek wyznaczenia IOD przez podmioty przetwarzające, czyli podmioty, które np. przetwarzają dane osobowe na zlecenie placówek medycznych w związku ze specjalistycznymi usługami, jakie dla nich świadczą, na przykład przechowują dokumentację medyczną lub serwisują sprzęt informatyczny czy diagnostyczny.
Aby prawidłowo zawiadomić o wyznaczeniu/odwołaniu/zmianie danych IOD (zastępcy IOD) należy pamiętać o poniższych określonych prawem wymaganiach:
- Zawiadomienie dotyczące IOD [ ... ]
Aby prawidłowo zawiadomić o wyznaczeniu/odwołaniu/zmianie danych IOD (zastępcy IOD) należy pamiętać o poniższych określonych prawem wymaganiach:
- Zawiadomienie dotyczące IOD lub jego zastępcy musi mieć postać elektroniczną.
Jedynym prawidłowym i skutecznym sposobem zawiadomienia Prezesa UODO o wyznaczeniu inspektora ochrony danych jest zawiadomienie w postaci elektronicznej(zgodnie z art. 10 ust. 6 ustawy z 10 maja 2018 r. o ochronie danych osobowych oraz z art. 46 ust. 9 ustawy z dnia 14 grudnia 2018 r. o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości).
Analogiczny sposób dotyczy także zawiadomień dotyczących zastępcy inspektora ochrony danych (art. 11a ust. 3 ustawy z 10 maja 2018 r. o ochronie danych osobowych oraz art. 46 ust. 6 ustawy z dnia 14 grudnia 2018 r. o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości) .
Oznacza to, że należy skorzystać z właściwego formularza elektronicznego(dotyczącego IOD bądź zastępcy IOD) odpowiedniego do podstawy ich powołania. Administratorzy wyznaczający IOD/zastępcę IOD na podstawie RODO oraz ustawy z dnia 10 maja 2018 r. powinni bowiem skorzystać z formularzy oznaczonych jako RODO, natomiast administratorzy wyznaczający IOD/zastępcę IOD na podstawie ustawy z dnia 14 grudnia 2018 r., powinni skorzystać z formularzy DODO.
Podkreślić też należy, że niektórzy administratorzy są zobowiązani do wyznaczenia IOD zarówno na podstawie RODO, jak i ustawy z dnia 14 grudnia 2018 r. (np. Policja), a wówczas muszą oni przesłać osobne zawiadomienia, korzystając przy tym z właściwych formularzy.
Odpowiednie elektroniczne formularze znajdziecie Państwo na naszej stronie internetowej: https://uodo.gov.pl/492.
- Wypełniony formularz musi zostać opatrzony kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP osoby uprawnionej do reprezentowania administratora.
-
W zawiadomieniu należy podać wszystkie wymagane przepisami prawa informacje. W ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych są one określone w art. 10 ust. 1 i 3. Natomiast w ustawie z dnia 14 grudnia 2018 r. o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości wymagane informacje wskazane zostały w art. 46 ust. 9.
- Do zawiadomienia składanego przez pełnomocnika należy załączyć pełnomocnictwo udzielone w formie elektronicznej oraz opłatę skarbową od pełnomocnictwa (chyba że przepisy zwalniają od jej uiszczenia).
Więcej na ten temat znaleźć można w materiałach dotyczących zgłaszania IOD przez pełnomocnika.
Zgłoszenia można dokonać na cztery sposoby:
- Elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl będącego odwzorowaniem [ ... ]
Zgłoszenia można dokonać na cztery sposoby:
- Elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl będącego odwzorowaniem formularza dostępnego w załączniku.
- Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: /UODO/SkrytkaESP
- Elektronicznie poprzez wysłanie wypełnionego formularza za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl (Jak znaleźć Urząd w formularzu pisma ogólnego?) lub platformie epuap.gov.pl
- Tradycyjną pocztą wysyłając wypełniony formularz na adres Urzędu.
Zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w sytuacji gdy zaistniałe naruszenie skutkuje ryzykiem naruszenia praw lub [ ... ]
Zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w sytuacji gdy zaistniałe naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych, administratorzy zobligowani są do zgłoszenia naruszenia krajowemu organowi nadzorczemu, którym w Rzeczypospolitej Polskiej jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO).
Jeżeli naruszenie dotyczy danych osób w różnych krajach UE, Prezes UODO może być, ale nie musi być wiodącym (czyli właściwym dla administratora) organem nadzorczym. W przypadku transgranicznego naruszenia danych administrator powinien dokonać analizy, czy wiodącym organem nadzorczym w odniesieniu do czynności przetwarzania, które zostały objęte naruszeniem, jest Prezes UODO, czy też może inny europejski organ nadzorczy.
Kodeksy i certyfikacja
Z wnioskiem o uprzednie konsultacje może wystąpić administrator (art. 36 ust. 1 RODO oraz art. 57 ust. [ ... ]
Z wnioskiem o uprzednie konsultacje może wystąpić administrator (art. 36 ust. 1 RODO oraz art. 57 ust. 1 ustawy o ochronie danych osobowych).
Z wnioskiem o uprzednie konsultacje należy wystąpić w sytuacji, w której w wyniku przeprowadzonej oceny skutków dla ochrony danych na liście badanych operacji przetwarzania znajdą się operacje, dla których ryzyko naruszenia praw i wolności oszacowane zostało jako wysokie i gdy administrator danych nie może znaleźć środków wystarczających do zmniejszenia (zminimalizowania) tego ryzyka do dopuszczalnego poziomu (art. 36 RODO).
Wówczas przed rozpoczęciem przetwarzania danych należy wyniki przeprowadzonej oceny skonsultować z organem nadzorczym, chyba że administrator podejmie decyzję o nieprzetwarzaniu danych, np. niewprowadzaniu nowej usługi.
Podkreślić zatem warto, że jeżeli przeprowadzona ocena skutków dla ochrony danych wykazała, że przetwarzanie nie będzie powodować wysokiego ryzyka, wtedy nie ma podstaw do wystąpienia do organu o uprzednie konsultacje (art. 36 ust. 1 RODO).
Uprzednie konsultacje są narzędziem służącym do współpracy pomiędzy organem nadzorczym oraz administratorem. Celem uprzednich konsultacji jest jak najlepsze zabezpieczenie operacji przetwarzania danych osobowych przez administratora przy współpracy organu nadzorczego.
Zmieniony wykaz rodzajów operacji wymagających oceny skutków.
Czynności przetwarzania związane z oferowaniem towarów lub usług osobom, których dane dotyczą, wymagają przeprowadzenia oceny skutków dla ochrony danych. Wymóg taki istnieje także, gdy administratorzy danych monitorują zachowania osób w kilku państwach członkowskich.
8 lipca 2019 r. w Monitorze Polskim został ogłoszony Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.
Zgodnie z art. 35 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. Ogłoszony wykaz zawiera 12 kategorii rodzajów operacji przetwarzania wraz z przykładami operacji, w których może wystąpić wysokie ryzyko naruszenia praw lub wolności oraz przykładami potencjalnych obszarów obejmujących te operacje.
Co do zasady, przetwarzanie spełniające przynajmniej dwa ze wskazanych kryteriów będzie wymagać oceny skutków dla ochrony danych. W niektórych przypadkach administrator danych może jednak uznać, że przetwarzanie spełniające tylko jedno z wymienionych kryteriów będzie wymagało przeprowadzenia oceny skutków dla ochrony danych. Im więcej kryteriów spełnia przetwarzanie, tym bardziej prawdopodobne jest wystąpienie wysokiego ryzyka naruszenia praw lub wolności podmiotów danych, a w konsekwencji, niezależnie od środków przewidzianych przez administratora do zastosowania, wymagana będzie ocena skutków dla ochrony danych.
Przykład: Administrator oferuje system monitoringu osiągnięć sportowych, wykorzystujący chmurę obliczeniową, współpracujący z inteligentnymi opaskami rejestrującymi dane dotyczące tętna (przetwarzanie szczególnych kategorii danych osobowych – pozycja 4 wykazu) oraz dane lokalizacyjne (przetwarzanie danych lokalizacyjnych – pozycja 12 wykazu).
Wykaz ten został zaktualizowany po uwzględnieniu opinii wydanej przez Europejską Radę Ochrony Danych i obejmuje również czynności przetwarzania związane z oferowaniem towarów lub usług osobom, których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich lub mogące znacznie wpłynąć na swobodny przepływ danych osobowych w Unii Europejskiej.
Podstawą ogłoszenia Komunikatu Prezesa Urzędu Ochrony Danych Osobowych jest art. 54 ust. 1 pkt 1 ustawy o ochronie danych osobowych w związku z art. 35 ust 4 i 6 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. Wykaz stanowi załącznik do Komunikatu Prezesa Urzędu Ochrony Danych Osobowych dostępnego na stronie: http://monitorpolski.gov.pl/MP/2019/666.