Zbliża się „Nowy ABI”.

ABIZ wielu źródeł docierają wieści, że rok 2016 będzie przełomowy dla ochrony danych osobowych. Wszystko za sprawą nowego rozporządzenia unijnego, które ma wejść w życie w 2016 roku.

Z dużym zainteresowaniem będziemy na blogu obserwować zmiany, pewnie niejednokrotnie je komentując i oczekując na opinie GIODO czy sądów rozstrzygających konkretne przypadki, a jednocześnie interpretując nowe przepisy. Mechanizmy odpowiedzialności finansowej zawarte w treści rozporządzenia również niewątpliwie wpłyną na wagę ochrony danych osobowych.

Rozpoczniemy jednak od analizy nowego modelu funkcjonowanie obecnego administratora bezpieczeństwa informacji. Według nowego rozporządzenia ma on nosić miano inspektora ochrony danych.

Artykuły 36 i 37 projektu rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich osób określają status i główne zadania inspektora ochrony danych.

Zgodnie z treścią art. 36 administrator lub podmiot przetwarzający dopilnowują, by inspektor ochrony danych był właściwie i terminowo włączany we wszystkie kwestie dotyczące ochrony danych osobowych.
Nadto, administrator i podmiot przetwarzający dopilnowują, by inspektor ochrony danych wykonywał swoje obowiązki i zadania niezależnie i nie otrzymywał żadnych poleceń dotyczących pełnienia swojej funkcji. Inspektor ochrony danych podlega bezpośrednio kierownictwu wykonawczemu administratora lub podmiotu przetwarzającego. Administrator lub podmiot przetwarzający wyznacza do tego celu członka kierownictwa wykonawczego, który odpowiada za zgodność z przepisami niniejszego rozporządzenia.

Co istotne, administrator lub podmiot przetwarzający wspierają inspektora ochrony danych w wykonywaniu przez niego zadań i zapewniają wszelkie środki, w tym personel, pomieszczenia, sprzęt i zasoby niezbędne do wykonywania obowiązków i zadań, o których mowa w art. 37, oraz do utrzymania poziomu jego wiedzy zawodowej.

Administrator lub podmiot przetwarzający powierzają inspektorowi ochrony danych przynajmniej poniższe zadania:
a) upowszechnianie wiedzy, informowanie administratora lub podmiotu przetwarzającego oraz doradzanie im w odniesieniu o ich obowiązkach wynikających z niniejszego rozporządzenia i doradzanie im w tej sprawie, w szczególności w odniesieniu do środków i procedur o charakterze technicznym i organizacyjnym, oraz dokumentowanie tej działalności i uzyskiwanych odpowiedzi;
b) monitorowanie wykonania i stosowania polityki administratora lub podmiotu przetwarzającego w zakresie ochrony danych osobowych, w tym przydział obowiązków, szkolenie personelu zaangażowanego w operacje przetwarzania oraz powiązane kontrole;
c) monitorowanie wykonania i stosowania niniejszego rozporządzenia, w szczególności jeśli chodzi o wymogi dotyczące uwzględnienia ochrony danych już w fazie projektowania, ochrony danych jako opcji domyślnej i bezpieczeństwa danych oraz informowania podmiotów danych, a także wniosków w ramach wykonywania praw przysługujących im na mocy niniejszego rozporządzenia.
d) zapewnienie prowadzenia dokumentacji, o której mowa w art. 28;
e) monitorowanie dokumentacji, zgłoszeń i zawiadomień dotyczących naruszeń ochrony danych osobowych na mocy art. 31 i 32;
f) monitorowanie przeprowadzenia oceny skutków w zakresie ochrony danych przez administratora lub podmiot przetwarzający oraz wniosków o uprzednią konsultację, jeśli są one wymagane na mocy art. 32a, art. 33 i art. 34;
g) monitorowanie odpowiedzi na wnioski organów nadzorczych oraz, w ramach kompetencji inspektora ochrony danych, współpraca z organem nadzorczym na wniosek tego organu lub z inicjatywy inspektora ochrony danych;
h) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem oraz zasięganie opinii organu nadzorczego, w odpowiednich przypadkach, z inicjatywy inspektora ochrony danych;
i) weryfikowanie zgodności z niniejszym rozporządzeniem w ramach mechanizmu uprzedniej konsultacji, o którym mowa w art. 34;
j) informowanie przedstawicieli pracowników o przetwarzaniu danych pracowników.

Wskazane przepisy stanowić mają niezbędne minimum uprawnień i obowiązków inspektora ochrony danych. Z ich treści wynika także informacja na temat nowych obligatoryjnych obowiązków związanych z ochroną danych osobowych. Praktyczną ich realizację poznamy zapewne niedługo.

Tomasz Cygan

4 Comments

  1. fgh

    W 2016 zostanie chyba uchwalone rozporządzenia, a nie wejdzie w życie?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Projekt posługuje się sformułowaniem „wprowadzenie w życie z okresem rozruchu”.

      Pozdrawiam,

      Reply
  2. Dariusz

    Dzień dobry,

    Firma (zakład pracy chronionej) posiada i przetwarza dane swoich pracowników w systemie elektronicznym. Ponadto, firma przetwarza dane osobowe wrażliwe zawarte w kartach medycznych pracowników (w zakładzie zatrudniona jest na stałe pielęgniarka oraz lekarz ). Jednak te dane wrażliwe przetwarza jedynie w formie papierowej: czy i jaki zbiór (zbiory) powinna zarejestrować firma, jeśli ma zgłoszonego ABIego? Czy z lekarzem konieczna jest umowa powierzenia lub jej kluczowe fragmenty w istniejącej umowie B2B ?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Dane przetwarzane w związku z zatrudnieniem u Administratora Danych są zwolnione z rejestracji (art. 43 ust. 1 pkt. 4 UODO) i nie ma tutaj znaczenia czy zawierają dane wrażliwe czy też nie. Jakaś forma umowy z lekarzem powinna być zawarta al nie znam szczegółów Państwa sytuacji. Dodam przykładowo że Lekarz np. nie musi mieć upoważnienia do przetwarzania danych pacjenta w rozumieniu art. 37. Dostęp do danych pacjenta gwarantuje mu to ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Art. 24 ust. 2), ale tylko w zakresie opisanym w Art. 25 tej ustawy. Natomiast umowa z np. przychodnią musi posiadać zapisy o powierzeniu danych.

      Pozdrawiam,

      Reply

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

2 × two =