Szpitale i przychodnie publiczne muszą wyznaczyć IODO

09 Października 2017, 15:48

Ogólne rozporządzenie o ochronie danych osobowych („RODO”), które zacznie bezpośrodnio obowiązywać w UE od 25 maja 2018 r. zapewni uwspółcześnione ramy ochrony danych osobowych w Europie. Dla wielu organizacji Inspektor ochrony danych („DPO” – Data Protection Officer; „IODO”) będzie ważnym punktem w dostosowaniu się do nowej regulacji. 

Zgodnie z rozporządzeniem obowiązkiem niektórych administratorów i podmiotów przetwarzających dane osobowe będzie powołanie IODO. Taki obowiązek będzie miał miejsce w przypadku wszystkich organów i podmiotów publicznych (niezależnie od zakresu przetwarzanych danych), jak również w stosunku do podmiotów, które w ramach swojej głównej działalności regularnie i na dużą skalę monitorują osoby lub jeżeli działalność podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych. W przypadkach innych niż te, które zostały wymienione powyżej Inspektora Ochrony Danych można wyznaczyć, lecz nie trzeba.

Jednego Inspektora Ochrony Danych można wyznaczyć dla grupy przedsiębiorstw z zastrzeżeniem, że można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Adekwatna sytuacja zachodzi jeżeli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można również wyznaczyć jednego inspektora ochrony danych. Może on być członkiem personelu podmiotu wyznaczającego lub wykonywać zadania na podstawie umowy o świadczeniu usług z zastrzeżeniem iż musi być wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, określonych w Rozporządzeniu. Dlatego ważnym aspektem jest świadomość administratora lub podmiotu przetwarzającego iż ukończone w tym zakresie studia, specjalistyczne szkolenia oraz przede wszystkim doświadczenie, nie tylko pomogą w wypełnienia swojej funkcji przez IODO, ale również są wymaganiami jakie Rozporządzenie wskazuje.

Inspektor Ochrony Danych Osobowych może wykonywać inne zadania i obowiązki lecz administrator lub podmiot przetwarzający muszą zapewnić, by takie zadania i obowiązki nie powodowały konfliktu interesów, jak również dopilnować by dane kontowe Inspektora były opublikowane oraz przekazane do organu nadzorczego.

Do zadań Inspektora Ochrony Danych będzie należeć:

  1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
  2. monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
  3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 Rozporządzenia;
  4. współpraca z organem nadzorczym;
  5. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami (o których mowa w art. 36) oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Decyzja o wyznaczeniu inspektora ochrony danych osobowych będzie musiała być podjęta przy świadomości, że brak wyznaczenia inspektora, tam gdzie jest on wymagany, pociągać może za sobą nałożenie przez organ nadzorczy kary administracyjnej. Jak bowiem wynika z przepisu art. 83 ust. 4a Rozporządzenia, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 –39 oraz 42 i 43, podlegają administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Projekt ustawy o ochronie danych osobowych z 13.09.2017 roku opublikowany przez Ministerstwo Cyfryzacji, zakłada zmniejszenie wysokości kary dla podmiotów i organizacji publicznych do 100 000 PLN. Co nie zmienia faktu, że pozostaje jeszcze odpowiedzialność dyscyplinarna i prawna kierowana do osób, które przyczyniły się do naruszenia związanego z ochroną danych osobowych, niewątpliwie przy obowiązku wyznaczenia IODO przez administratora lub podmiot przetwarzający brak jego powołania będzie takim naruszeniem. Taka odpowiedzialność może wynikać z przeprowadzonej kontroli przez organ nadzorczy i ustalonych w wyniku kontroli faktów.

Redakcja

Dziękujemy! Twój komentarz został pomyślnie dodany i oczekuje na moderację.

Dodaj komentarz