8851686527

www.odo.wip.pl

Dobre prognozy dla ABI

Zgodnie z nowym rozporządzeniem ogólnym o ochronie danych osobowych w UE, powołanie ABI (DPO) dla części podmiotów będzie obowiązkowe.

MACIEJ

BYCZKOWSKI

prezes Zarządu ENSI, ekspert ds. bezpieczeństwa informacji i ochrony danych osobowych, od 2007 roku pełni funkcję prezesa Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji. Pełni funkcję ABI w kilkunastu organizacjach w Polsce

Przyszłość ABI

Dobre wieści dotarły do środowiska ABI pod koniec zeszłego roku. 15 grudnia Komisja Europejska poinformowała o zakończeniu negocjacji (w ramach tzw. trilogu) dotyczących ogólnego rozporządzenia o ochronie danych osobowych, które wejdzie w życie w 2018 lub 2019 roku.

W uzgodnionym tekście rozporządzenia znalazły się zapisy o przyszłej funkcji ABI. Nie czekając na oficjalne tłumaczenie tekstu rozporządzenia, na podstawie tekstu otrzymanego od osób uczestniczących w pracach, na gorąco prześledzimy poniżej nadchodzące zmiany w statusie ABI. Rozporządzenie określa funkcję DPO (data pro-tection officer), którego odpowiednikiem w Polsce jest ABI. Zgodnie z art. 35 rozporządzenia, DPO będzie musiał być obowiązkowo powoływany przez administratora danych osobowych (ADO) oraz podmiot, któremu powierzono przetwarzanie danych osobowych (procesora), w następujących sytuacjach:

•    przetwarzania danych przez podmiot lub organ publiczny, z wyłączeniem sądów w ramach prowadzonych przez nie postępowań;

•    kiedy główne działania dotyczące przetwarzania danych z uwagi na swą naturę, zakres i/lub cel wymagają regularnego i systematycznego monitorowania danych osobowych na dużą skalę;

•    gdy główne działania składają się z operacji przetwarzania danych osobowych wrażliwych (wymienionych w art. 9 rozporządzenia), a także danych dotyczących karalności za przestępstwa i wykroczenia, o których mowa w artykule 9a.

Pozostali ADO lub procesorzy, niewymienieni powyżej, mogą powołać DPO w sposób dobrowolny, chyba że w sytuacjach wymaganych prawem unijnym lub prawem krajowym państwa członkowskiego są zobowiązane wyznaczyć takiego DPO (to akurat nie dotyczy obecnie Polski, ponieważ po ostatniej nowelizacji uodo powołanie ABI jest dobrowolne).

Z tej możliwości będą mogły skorzystać głównie małe, średnie i mikroprzedsiębiorstwa, w tym osoby fizyczne prowadzące jednoosobową działalność gospodarczą.

Ponadto zostały wprowadzone regulacje dotyczące powołania jednego DPO dla kilku podmiotów, w tym:

•    grupa przedsiębiorców może powołać jednego DPO, pod warunkiem że może on wykonywać zadania dla każdego z tych przedsiębiorstw,

•    dla kilku jednostek lub organów publicznych można powołać jednego DPO, uwzględniając ich wielkość i strukturę organizacyjną.

DPO może być pracownikiem ADO lub procesora bądź wypełniać swoje zadania na podstawie umowy cywilnoprawnej o świadczenie usług. Są wprowadzone wymagania powołania DPO na podstawie jego kwalifikacji zawodowych, a w szczególności na podstawie wiedzy eksperckiej z zakresu prawa ochrony danych i stosowanych praktyk oraz posiadanych umiejętności w zakresie wypełnienia zadań wskazanych w art. 37 rozporządzenia. Podobne wymagania odpowiedniej wiedzy dla ABI są w przepisach art. 36a ust. 5 uodo.

Dane kontaktowe do DPO mają być publikowane do powszechnej wiadomości oraz przekazywane do Generalnego Inspektora Ochrony Danych Osobowych (podobne wymaganie jak przy obecnej rejestracji ABI).

Nowe zadania dla ABI

Status DPO określony w rozporządzeniu oraz jego zadania pokrywają się w dużej części ze statusem i zadaniami ABI, które obowiązują w polskich przepisach od początku 2015 roku. Taki był zamysł zespołu ekspertów, który tworzył te przepisy, aby nowy status ABI przygotowywał go do pełnienia funkcji i zadań DPO, które były określone w pierwszym projekcie rozporządzenia z 2012 roku.

Podobnie jak w polskich przepisach, DPO będzie podlegał bezpośrednio pod kierownictwo ADO lub procesora. Zgodnie z art. 36 rozporządzenia ADO lub procesor będą musieli zapewnić niezależność i możliwość wykonywania zadań przez DPO:

•    musi on być właściwie i w odpowiednim czasie angażowany we wszystkie kwestie związane z ochroną danych osobowych;

OCHRONA DANYCH OSOBOWYCH Q LUTY 2016