Miesięcznik informatyków i menedżerów IT sektora publicznego

Andrzej Kaczmarek

Rodo a obowiązki informatyków i inspektorów

Nowe rozporządzenie unijne porządkuje zadania stojące przed osobami odpowiedzialnymi za ochronę danych. Istotne jest tutaj rozróżnienie ról, jakie odgrywają administratorzy systemów informatycznych i inspektorzy ochrony danych.

Rys. B. Brosz

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (rodo) weszło w życie w dniu 25 maja 2016 r. Będzie miało zastosowanie od 25 maja 2018 r. Art. 37 rodo wprowadza instytucję Inspektora Ochrony Danych (IOD), którym może być osoba posiadająca kwalifikacje zawodowe w zakresie ochrony danych osobowych, a w szczególności wiedzę fachową na temat prawa i praktyki w dziedzinie ochrony danych (art. 37 ust. 5 rodo). Zadania, jakie rodo stawia przed IOD, są w niektórych obszarach bardzo podobne do zadań, jakie przypisane są administratorom bezpieczeństwa informacji (ABI) w obecnie obowiązującej ustawie o ochronie danych osobowych (patrz: tabela „Porównanie zadań ABI oraz IOD”).

Podział obowiązków wynikających z rodo

W porównaniu z obecnie obowiązującą dyrektywą 95/46/WE rodo stawia administratorom i podmiotom przetwarzającym wiele nowych zadań. Są to m.in. zadania w zakresie:

  • realizacji prawa do „bycia zapomnianym” oraz prawa do przeniesienia danych,
  • wymagań, jakie muszą być spełnione w przypadku, gdy skutkiem przetwarzania jest automatyczne podejmowanie decyzji, w tym profilowanie,
  • obowiązku przeprowadzenia oceny skutków dla ochrony danych, jeśli rodzaj przetwarzania, w tym stosowana technologia, może powodować wysokie ryzyko naruszenia prywatności,
  • obowiązku uwzględnienia ochrony danych w fazie projektowania,
  • zapewnienia takiej konfiguracji systemów, która domyślnie zapewnia ochronę danych.

Kwestią otwartą jest jednak podjęcie decyzji dotyczącej tego, kto poszczególne zadania ma wykonywać, jak one powinny być wykonywane oraz kto ma weryfikować ich wykonywanie. Art. 39 ust. 1 rodo stanowi, że zadaniem IOD jest: „informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tych sprawach” (art. 39 ust. 1 pkt a) oraz „monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty” (art. 39 ust. 1 pkt b).

W praktyce powyższe zadania IOD powinien realizować poprzez monitorowanie zdefiniowanych przez administratora danych lub podmiot przetwarzający operacji przetwarzania danych oraz aktywny udział w ich modyfikacji lub ustanawianiu nowych. Udział ten w odniesieniu do modyfikacji lub ustanawiania nowych operacji przetwarzania nie powinien się ograniczać tylko do kontroli zgodności przedstawionych przez ADO lub informatyków propozycji z przepisami prawa – powinien obejmować także przedstawianie własnych propozycji. 

[...]

Autor jest dyrektorem Departamentu Informatyki w Biurze Generalnego Inspektora Ochrony Danych Osobowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej