Good Stuff Happens in 1:1 Meetings: Why you need them and how to do them well
DPOS.PL – Data Protection Officer Services
1. Grupa Robocza Art. 29 "Funkcja inspektora ochrony danych nie może być łączona ze
stanowiskami jak np.: dyrektor generalny, dyrektor ds. operacyjnych, dyrektor ds.
medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT, ale
również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania
danych"
DPO Services
Legis Profile Sp. z o.o.
ul.Kopalniana 22A/7
01-321 Warszawa
NIP: 522-302-50-86
KRS: 0000549436
Infolinia: 22 487 86 70
M: +48 664 484 218
E: biuro@rbdo.pl
https://rbdo.pl
2. Legis Profile Sp. z o.o. - ul.Kopalniana 22A/7 - 01-321 Warszawa - NIP: 522-302-50-86 - KRS: 0000549436
Infolinia: 22 487 86 70 - M: +48 664 484 218 - E: biuro@dpos.pl - https://dpos.pl
WSTĘP
25 maja 2018 roku zostaną przyjęte do stosowania nowe przepisy Rozporządzenia UE z 27 kwietnia 2016 r.
(RODO). Toczą się też prace na nową ustawą o ochronie danych osobowych oraz pakietem nowelizującym
przepisy ponad 130 innych ustaw – między innymi kodeks pracy – przepisy krajowe będą przyjęte
najpóźniej do 25 maja 2018 roku.
Nowe przepisy o ochronie danych przewidują administracyjne kary
pieniężne za naruszenia obowiązków przewidzianych w RODO do 20
mln EURO lub wysokości do 4 % całkowitego rocznego światowego
obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma
kwota wyższa).
W wielu firmach pojawi się obowiązek powołania stanowiska
niezależnego Inspektora Ochrony Danych
Pojawi się wiele nowych obowiązków, m .in. wprowadzenie procedur
oceny ryzyka związanego z przetwarzaniem danych osobowych,
prowadzenia rejestrów czynności przetwarzania czy zgłaszania
naruszeń ochrony danych w 72 h Urzędu Ochrony Danych.
3. Legis Profile Sp. z o.o. - ul.Kopalniana 22A/7 - 01-321 Warszawa - NIP: 522-302-50-86 - KRS: 0000549436
STANOWISKO DPO – w przypadku, gdy w stosunku do konkretnego podmiotu zachodzi obowiązek
powołania Inspektora Ochrony Danych określony w art. 37 ust. 1 lit. a-c RODO, brak powołania takiej osoby
zagrożony będzie (od 25 maja 2018 roku) karą do 10 mln euro, a w przypadku przedsiębiorstwa – w wysokości do
2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma
kwota wyższa – zgodnie z art. 83 ust. 4 lit. a RODO
Art. 37 ust. 1 RODO wskazuje na obowiązek wyznaczenia inspektora ochrony danych gdy:
a)przetwarzania dokonuje organ lub podmiot publiczny;
b)główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania,
które ze względu na swój charakter, zakres lub cel wymagają regularnego i systematycznego
monitorowania osób, których dane dotyczą, na dużą skalę;
c)główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę
szczególnych kategorii danych osobowych (np. danych o stanie zdrowia) oraz danych osobowych
dotyczących wyroków skazujących i naruszeń prawa
Możliwe jest wyznaczenie jednego inspektora ochrony danych przez grupę organizacji pod warunkiem, że będzie łatwo
nawiązać z nim kontakt z każdej organizacji.
Rozporządzenie określa warunki obligatoryjnego powołania Inspektora w sposób nieostry – nie istnieje np. ścisła definicja
„dużej skali przetwarzania”, dlatego biorąc pod uwagą wysokie ryzyko związane z pojawieniem się nowych kar pieniężnych,
w podmiotach, które zatrudniają znaczną liczbę pracowników lub działają w ramach grup kapitałowych należy zalecać
powołanie inspektora ochrony danych jako elementy minimalizującego ryzyko nałożenia kar pieniężnych na naruszenie
przepisów dotyczących ochrony danych osobowych.
Infolinia: 22 487 86 70 - M: +48 664 484 218 - E: biuro@dpos.pl - https://dpos.pl
4. Legis Profile Sp. z o.o. - ul.Kopalniana 22A/7 - 01-321 Warszawa - NIP: 522-302-50-86 - KRS: 0000549436
MONITORING WIZYJNY STANOWI FORMĘ PRZETWARZANIA
DANYCH OSOBOWYCH KWALIFIKOWANĄ JAKO „REGULARNE I
SYSTEMATYCZNE MONITOROWANIE” – CO STANOWI JEDNĄ Z
PRZESŁANEK USTANOWIENIA INSPEKTORA OCHRONY
DANYCH
Grupa Robocza (która po 24 maja 2018 roku zostanie przekształcona w EROD, czyli
Europejską Radę Ochrony Danych Osobowych) w części 2.2 wytycznych w sprawie DPO
wskazuje, że :
ŚREDNIEJ WIELKOŚCI SPÓŁKA PRODUKUJĄCA GLAZURĘ „NIEKONIECZNIE” BĘDZIE
PODLEGAŁA POD OBOWIĄZEK WYZANCZENIA DPO
Z czego można wnioskować, że nawet w przypadku zakładu zajmującego się wyłącznie produkcją – o ile jest
przedsiębiorstwo o większej skali działania niż „średnia” – należy wyznaczyć DPO
Wytyczne Grupy Roboczej nie dają konkretnych i jednoznacznych odpowiedzi na pytanie, kiedy administrator lub
podmiot przetwarzający powinien wyznaczyć inspektora ochrony danych – np. jaka jest ścisła definicja „dużej skali”
przetwarzania. Dlatego jeżeli spółka działa w wymiarze większym niż lokalny, i zatrudnia/prowadzi procesy
rekrutacyjne dotyczące setek osób, należy rekomendować powołanie DPO nawet jeżeli jej działalność dotyczy samej
produkcji.
Warto pamiętać, że brak powołanego DPO w sytuacji, w której obowiązek jego powołania wynika z przepisu art. 37 ust.
1 RODO zagrożony jest karą pieniężną w wysokości do 10 milionów euro lub w wysokości do 2 % całkowitego
rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Infolinia: 22 487 86 70 - M: +48 664 484 218 - E: biuro@dpos.pl - https://dpos.pl
5. Legis Profile Sp. z o.o. - ul.Kopalniana 22A/7 - 01-321 Warszawa - NIP: 522-302-50-86 - KRS: 0000549436
KTO NIE MOŻE PEŁNIĆ FUNKCJI DPO W
FIRMIE?
Grupa Robocza Art. 29 wskazuje, że funkcja inspektora ochrony
danych nie powinna być łączona ze stanowiskami kierowniczymi,
jak np.: dyrektor generalny, dyrektor ds. operacyjnych, dyrektor
ds. medycznych, kierownik działu marketingu, kierownik działu
HR, kierownik działu IT, ale również niższe stanowiska, jeśli biorą
udział w określaniu celów i sposobów przetwarzania danych
KOMPETENCJE DPO - WĄSKA
SPECJALIZACJA
Wybór DPO musi być decyzją dobrze przemyślaną – zarząd będzie rozliczany np. z tego, czy osoba powołana jako
DPO jest istotnie specjalistą posiadającym odpowiednie kwalifikacje, czy osobą „przypadkową”, im lepiej zarząd
będzie potrafił uzasadnić wybór konkretnej osoby, tym mniejsze ryzyko zakwestionowania tego wyboru przez
organ nadzorczy. Inspektor musi posiadać doświadczenie zawodowe i wiedzę specjalistyczną w dziedzinie
ochrony danych, w tym dogłębne rozumienie rozporządzenia unijnego o ochronie danych (GDPR). Wymagany
poziom wiedzy nie jest ściśle określony, ale na pewno powinien być współmierny do charakteru i zakresu
przetwarzanych danych, poziomu zaawansowania procesów przetwarzania danych, a także samej skali organizacji
przedsiębiorcy.
Inspektor ochrony danych powinien posiadać odpowiednią wiedzę na temat operacji przetwarzania danych,
systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony
danych.
Infolinia: 22 487 86 70 - M: +48 664 484 218 - E: biuro@dpos.pl - https://dpos.pl
6. Legis Profile Sp. z o.o. - ul.Kopalniana 22A/7 - 01-321 Warszawa - NIP: 522-302-50-86 - KRS: 0000549436
ZADANIA DPO
Minimalny zakres obowiązków DPO został określony w art. 39 ust. 1 lit. a-e RODO
Informowanie ADO (doradzanie ADO) w zakresie zwi ązanym z przetwarzaniem danych osobowych (np. czy w
przypadku zaistnienia konkretnego naruszenia należy je zgłosić do Urzędu Ochrony Danych, czy nie).
Monitorowanie przestrzegania RODO przepisów krajowych i wewnętrznych (szkolenia, audyty, czuwanie nad
podziałem obowiązków w zakresie ochrony danych, uczestnictwo w ewidencjonowaniu aktywów) – przejawem tej roli
może być prowadzenie rejestru czynności lub wewnętrznej ewidencji naruszeń.
Udzielanie zaleceń na żądanie przy procedurze „oceny skutków dla ochrony danych” DPIA (w tym „przed-DPIA” –
analizy ryzyka).
Pełnienie funkcji punktu kontaktowego (zarówno dla organu nadzorczego jak i osób, których dane są przetwarzane).
RODO nakłada obowiązek działania DPO w oparciu o analizę ryzyka (ust. 2), z czego wynika obowiązek ustalenia
hierarchii zadań, priorytetów, które zostaną uregulowane w pierwszej kolejności – co zostało doprecyzowane w pkt 4.3
Wytycznych dotyczących DPO
Pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z
Przetwarzaniem, w tym z uprzednimi konsultacjami, oraz w stosownych przypadkach
Prowadzenia konsultacji we wszystkich innych sprawach.
Infolinia: 22 487 86 70 - M: +48 664 484 218 - E: biuro@dpos.pl - https://dpos.pl
7. Legis Profile Sp. z o.o. - ul.Kopalniana 22A/7 - 01-321 Warszawa - NIP: 522-302-50-86 - KRS: 0000549436
Organizacja powinna zapewnić inspektorowi ochrony danych między innymi:
udział w spotkaniach przedstawicieli wyższego i średniego szczebla
organizacji;
uczestnictwo przy podejmowaniu decyzji dotyczących przetwarzania danych
osobowych,
odpowiednie wsparcie finansowe, infrastrukturalne (pomieszczenia, sprzęt,
wyposażenie) i kadrowe, gdy to właściwe
możliwość ciągłego aktualizowania wiedzy z zakresu ochrony danych
osobowych,
umożliwienie dostępu do innych działów organizacji, np. HR, działu prawnego,
IT, ochrony etc., celem stworzenia przepływu informacji między tymi
jednostkami a DPO i zapewnienia mu niezbędnego wsparcia
oficjalne zakomunikowanie wszystkim pracownikom faktu wyznaczenia DPO,
tak aby wiedzieli o jego istnieniu oraz o pełnionych przez niego funkcjach
udział w szkoleniach, warsztatach, forach poświęconych ochronie danych;
Zgodnie z pkt 3.2 Wytycznych dotyczących DPO „w przypadku wyznaczenia DPO spoza organizacji,
zespół pracowników podmiotu zewnętrznego powołany do wypełniania obowiązków związanych z
ochroną danych osobowych może efektywnie wypełniać zadania DPO, gdy wyznaczona zostanie osoba
odpowiedzialna za kontakt z klientem”
Infolinia: 22 487 86 70 - M: +48 664 484 218 - E: biuro@dpos.pl - https://dpos.pl
8. Legis Profile Sp. z o.o. - ul.Kopalniana 22A/7 - 01-321 Warszawa - NIP: 522-302-50-86 - KRS: 0000549436
DPOS – Data Protection Officer Services
Ul. Kopalniana 22a /7
01-0321 Warszawa
tel.: (22) 487 86 70
biuro@dpos.pl
Godziny pracy: 9.00 – 17.00
W celu usprawnienia kontaktu z DPOS, prosimy o kontakt na Infolinię Prawną
– (22) 487 86 70.
NIP: 522-302-50-86 KRS: 0000549436
Infolinia: 22 487 86 70 - M: +48 664 484 218 - E: biuro@dpos.pl - https://dpos.pl