Inspektor Ochrony Danych w podmiotach publicznych

background image

Inspektor Ochrony Danych w podmiotach

publicznych

Magdalena Gąsior

Zastępca Administratora Bezpieczeństwa Informacji

Warmińsko-Mazurski Urząd Wojewódzki w Olsztynie

background image

Wyznaczenie IOD

ZAWSZE gdy:

Przetwarzania dokonują organ lub podmiot publiczny – niezależnie od zakresu przetwarzanych
danych

o

Wyjątek: sądy w zakresie sprawowania wymiaru sprawiedliwości

Administrator danych, który wyznaczył IOD, zawiadamia Prezesa Urzędu Ochrony Danych
Osobowych w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko, adres poczty
elektronicznej lub numer telefonu inspektora

Administrator danych podaje dane inspektora ochrony danych do publicznej wiadomości

background image

Podmioty publiczne

W rozumieniu art. 5 § 2 pkt 3 KPA:

ministrowie;

centralne organy administracji rządowej;

Wojewodowie i działające w ich lub we własnym imieniu inne terenowe organy administracji

rządowej (zespolonej i niezespolonej);

organy jednostek samorządu terytorialnego, organy państwowe oraz inne podmioty, gdy są one

powołane z mocy prawa lub na podstawie porozumień.

background image

Podmioty publiczne

W rozumieniu art. 9 ustawy o finansach publicznych:

organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały;

jednostki samorządu terytorialnego oraz ich związki;

związki metropolitalne;

jednostki budżetowe;

samorządowe zakłady budżetowe;

agencje wykonawcze;

instytucje gospodarki budżetowej;

państwowe fundusze celowe;

ZUS i zarządzane przez niego fundusze oraz KRUS i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego;

Narodowy Fundusz Zdrowia;

samodzielne publiczne zakłady opieki zdrowotnej;

uczelnie publiczne;

Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne;

państwowe i samorządowe instytucje kultury;

inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów

badawczych, banków i spółek prawa handlowego.

background image

Wymagania i kwalifikacje

Kwalifikacje

zawodowe

Wiedza fachowa na

temat prawa i

praktyk w dziedzinie

ochrony danych

Umiejętność

wypełniania zadań

background image

Wymagania i kwalifikacje

Odpowiednia wiedza z zakresu krajowych i europejskich przepisów o ochronie danych

osobowych (RODO, KRI, Normy ISO, ePrivacy, dyrektywa policyjna)

Regularne szkolenia dla IOD

Wiedza na temat procesów przetwarzania danych, systemów informatycznych oraz

zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych

Wiedza w zakresie procedur administracyjnych i funkcjonowania jednostki

Umiejętności interpersonalne i umiejętność wykonywania zadań

background image

Status IOD w organizacji

Gwarancje niezależności

bezpośrednia podległość najwyższemu kierownictwu

zapewnienie udziału we wszystkich zagadnieniach związanych z ochroną danych osobowych

wspieranie w wypełnianiu jego zadań

zakaz wydawania instrukcji co do wykonywania przez niego zadań

unikanie konfliktu interesów

(nie może zajmować w organizacji stanowiska związanego z określaniem sposobów i celów

przetwarzania danych)

zakaz odwoływania i karania za wypełnianie zadań

zobowiązanie do zachowania tajemnicy lub poufności co do wykonywania zadań

zorganizowanie systemu ochrony danych osobowych i polityki bezpieczeństwa informacji w
jednostki zależy w dużej mierze od działalności IOD

background image

Wspieranie w wypełnianiu zadań IOD

Wymiar czasu umożliwiający wykonywanie zadań

Wsparcie finansowe, infrastrukturalne i kadrowe (pomieszczenia, sprzęt, wyposażenie,

wynagrodzenie, szkolenia)

Umożliwienie dostępu do innych działów w jednostce: IT, kadry, prawny, ochrona w celu

zapewnienia przepływu informacji i zapewnienia wsparcia IOD

Oficjalne zakomunikowanie pracownikom faktu wyznaczenia IOD

Powołanie zespołu inspektora ochrony danych

Im bardziej skomplikowane procesy przetwarzania danych, tym więcej środków

należy przeznaczyć na IOD.

background image

Gwarancje niezależności

zakaz wydawania instrukcji co do wykonywania przez niego zadań (co robić,

kiedy, w jaki sposób)

zakaz odwoływania i karania za wypełnianie zadań (obawa przed nałożeniem kary

może być wystarczająca do utrudnienia wykonywania zadań)

„Normalne” traktowanie na podstawie odrębnych przepisów (kodeks pracy,

kodeks karny, wewnętrzne regulacje)

background image

Unikanie konfliktu interesów

IOD nie może zajmować w organizacji stanowiska związanego z określaniem sposobów i celów

przetwarzania danych

IOD nie może być:

dyrektor generalny,

dyrektor wydziału (referatu),

sekretarz,

kierownicy komórek organizacyjnych

background image

Status IOD w organizacji

Gwarancje niezależności

bezpośrednia podległość najwyższemu kierownictwu

wspieranie w wypełnianiu jego zadań

zapewnienie udziału we wszystkich zagadnieniach związanych z ochroną danych osobowych

zakaz wydawania instrukcji co do wykonywania przez niego zadań

unikanie konfliktu interesów

(nie może zajmować w organizacji stanowiska związanego z określaniem sposobów i celów

przetwarzania danych)

zakaz odwoływania i karania za wypełnianie zadań

zobowiązanie do zachowania tajemnicy lub poufności co do wykonywania zadań

zorganizowanie systemu ochrony danych osobowych i polityki bezpieczeństwa
informacji w jednostki zależy w dużej mierze od działalności IOD

background image

IOD

forma zatrudnienia

umowa o pracę

zlecenie

umowa z podmiotem

zewnętrznym

background image

Kilka organów lub podmiotów publicznych

- jeden IOD

background image

ZADANIA - katalog otwarty

1.

monitorowanie przestrzegania RODO i dalszych przepisów:

gromadzenie informacji w celu identyfikacji procesów przetwarzania,

analiza i sprawdzanie zgodności tego przetwarzania

informowanie, doradzanie i rekomendowanie

2.

zwiększanie świadomości o obowiązkach spoczywających na nich na podstawie RODO i innych przepisów,

szkolenia personelu oraz powiązane z tym audyty

3.

udzielanie zaleceń, opiniowanie na żądanie oceny skutków przetwarzania (art. 35), np. w zakresie:

czy przeprowadzać ocenę, czy wykonać samemu, czy zlecać

metodologii

zabezpieczeń stosowanych do łagodzenia zagrożeń

prawidłowości przeprowadzonej oceny i zgodności wyników z RODO

4.

współpraca z organem nadzorczym, funkcja punktu kontaktowego, prowadzenie uprzednich konsultacji

5.

działanie w oparciu o analizę ryzyka związanego z operacjami przetwarzania, z uwzględnieniem charakteru,

zakresu, kontekstu i celu przetwarzania

background image

Zadania ABI

Ograniczenie w przepisach do dwóch zadań:

1.

zapewniania przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych
osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2,
oraz przestrzegania zasad w niej określonych,

zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z
przepisami o ochronie danych osobowych;

2.

prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

Przepisy wykonawcze określają sposób i tryb wykonywania zadań

background image

ABI ≠ IOD

Obowiązkowe

powołanie IOD

w podmiotach

publicznych

Odpowiedni

poziom wiedzy

fachowej i

kwalifikacje

współmierne

do procesów

przetwarzania

danych;

umiejętność

wykonywania

zadań

Gwarancja

niezależności

w strukturze

organizacji i w

wykonywaniu

zadań

Jeden IOD

może być

powołany dla

kilku

podmiotów

System

ochrony

danych

wprowadzony

w oparciu o

analizę ryzyka

IOD ma

znaczący

wpływ na

system

ochrony

danych w

jednostce, jest

jego

współtwórcą

background image

Dziękuję za uwagę

Magdalena Gąsior

Zastępca ABI

89 52 32 319

536 513 475

mgasior@uw.olsztyn.pl


Wyszukiwarka

Podobne podstrony:
generalny inspektor ochrony danych osobowych referat
Europejski Inspektor Ochrony Danych, Unia Europejska
Referat pt Generalny Inspektor Ochrony Danych Osobowych, Nauka, Administracja
EUROPEJSKI RZECZNIK PRAW OBYWATELSKICH EUROPEJSKI INSPEKTOR OCHRONY DANYCH protokół ustaleń
Wytyczne dotyczace inspektorow ochrony danych wersja angielska
Generalny Inspektor Ochrony Danych Osobowych
Sprawozdanie Kościelnego Inspektora Ochrony Danych Osobowych 2018 05 02 2019 06 06
Wykonywanie obowiązków ABI, przyszłego inspektora ochrony danych, w świetle GIODO
inspektor sanitarny, Medycyna, Zdrowie Publiczne & Organizacja i ekonomika w ochronie zdrowia
Ochrona-danych-osobowych-1, Notatki z administracji publicznej (studia)
Ochrona danych osobowych 2015 w jednostkach publicznych praktyczne przyklady i wskazowki jak po zmia
BLD ochrona danych osobowych VI ppt

więcej podobnych podstron