ul. Kazimierza Wielkiego 1

Wrocław

+ 71 740 50 00

Obsługa klienta

Pon - Pt: 8:30 - 16:30

Godziny otwarcia

O mnie

Nazywam się Iwo Klisz, jestem adwokatem specjalizującym się w prawie ochrony danych osobowych oraz wspólnikiem zarządzającym w Kancelarii Klisz i Wspólnicy z Wrocławia, a także liderem zespołu prawników specjalistów w zakresie prawnej obsługi przedsiębiorców

więcej …

Kancelaria Klisz i Wspólnicy

ul. Joachima Lelewela 23/7
53-505 Wrocław

tel. kom. 695 560 425
tel. 71 740 50 00

e-mail: i.klisz@adwokat-wroclaw.biz.pl

O blogu

Główne Tematy

ABI a IOD

ABI a IOD

Administrator bezpieczeństwa informacji a inspektor ochrony danych

Nie powołałeś ABI i zastanawiasz się, czy masz obowiązek powołać inspektora ochrony danych? Pełniłeś funkcję ABI i nie wiesz, jak należy postąpić po wejściu w życie RODO? A może szukasz alternatywy dla obu tych stanowisk? Z mojego artykułu dowiesz się:

  • Jakie podmioty mają obowiązek powołać inspektora, nawet jeśli nie miały powołanego ABI,
  • Jakie obowiązki ciążą na administratorze danych, który powołał uprzednio ABI,
  • Jak zastąpić oba te stanowiska osobą dedykowaną do spraw ochrony danych osobowych.

Kto ma obowiązek powołać inspektora

RODO wymienia trzy kategorie podmiotów, w których należy ustanowić stanowisko inspektora ochrony danych osobowych, są to:

  • podmioty publiczne, przez które na gruncie prawa polskiego należy rozumieć jednostki sektora finansów publicznych, instytuty badawcze oraz Narodowy Bank Polski,
  • podmioty, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę – do tej kategorii zalicza się portale internetowe gromadzące dane osobowe znacznej liczby użytkowników, pracodawców gromadzących dane biometryczne dużej liczby pracowników w celu ich identyfikacji, podmioty korzystające z monitoringu wizyjnego na dużą skalę,
  • podmioty, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa – będą to w szczególności szpitale i placówki medyczne (w zakresie szczególnych kategorii danych osobowych), instytucje i podmioty przetwarzające na dużą skalę informacje o wyrokach i innych naruszeniach prawa.

Pamiętaj, że obowiązek wyznaczenia inspektora ochrony danych spoczywać może zarówno na administratorze danych osobowych, jak i na podmiocie przetwarzającym. Stanie się tak, gdy spełniać on będzie co najmniej jedną ze ww. przesłanek. Co ważne, możesz powołać inspektora ochrony danych, także dobrowolnie, gdy nie ciąży na tobie taki obowiązek.

Inspektor zamiast ABI

Jeżeli dotychczas w twojej firmie funkcjonował administrator bezpieczeństwa informacji, dalsze pełnienie przez niego funkcji oraz twoje obowiązki z tym związane wynikają z przepisów przejściowych polskiej ustawy o ochronie danych osobowych. Zgodnie z nimi:

  • osoba pełniąca w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji, stała się, z mocy ustawy, inspektorem ochrony danych i pełni swoją funkcje do dnia 1 września 2018 r., chyba, że do tego dnia administrator zawiadomi Prezesa UODO o wyznaczeniu innej osoby na inspektora ochrony danych,
  • osoba taka może zostać odwołana przez administratora danych bez zawiadomienia Prezesa UODO o wyznaczeniu innej osoby na inspektora ochrony danych, w przypadku gdy na podstawie RODO administrator danych nie ma obowiązku wyznaczenia inspektora ochrony danych,
  • osoba, która stała się inspektorem ochrony danych, pełni swoją funkcję także po dniu 1 września 2018 r. jeżeli do tego dnia administrator zawiadomi o niej Prezesa UODO.

Alternatywa dla inspektora

Wysoce sformalizowana funkcja inspektora ochrony danych zniechęca niektóre podmioty, które nie mają obowiązku jej ustanawiania, do dobrowolnego jego powoływania. Aby jednakże scedować przynajmniej część obowiązków z tej dziedziny na inną osobę, wykorzystuje się instytucję pełnomocnika zarządu. Jest on powoływany do prowadzenia określonych spraw z zakresu ochrony danych osobowych, wskazanych w pełnomocnictwie. Dzięki temu firma ta dużą elastyczność w kreowaniu jego obowiązków, a także łatwość ich zmiany i odwołania pełnomocnika. Co ważne, osoba taka nie podlega zgłoszeniu do Prezesa UODO. Nie ma również przeszkód aby zadania te podzielić pomiędzy dotychczasowych pracowników odpowiednio modyfikując zakres ich obowiązków służbowych.

pozdrawiam, adwokat Iwo Klisz

Mam nadzieję, że wyjaśniłem Tobie kilka rzeczy. Jeżeli zainteresował Cię artykuł, kliknij „Lubię to” lub polub moją stronę na facebooku (Facebook adwokat Wrocław). Dla Ciebie to tylko "kliknięcie", a dla mnie to dowód, że moja praca jest przydatna, co daje mi motywację do dalszego pisania :)