Mimo i\u017c od wej\u015bcia przepis\u00f3w w zakresie RODO up\u0142yn\u0119\u0142o ju\u017c kilka lat to nadal niekt\u00f3re praktyki mog\u0105 budzi\u0107 w\u0105tpliwo\u015bci. Dzieje si\u0119 tak dlatego, \u017ce cz\u0119\u015b\u0107 przedsi\u0119biorc\u00f3w – szczeg\u00f3lnie mikro i mali nie do ko\u0144ca wiedz\u0105 jak “ugry\u017a\u0107” temat. Problematyczne z tego co widz\u0119 jest analiza czy inspektor w danym zakresie jest potrzebny. Jednak nale\u017cy zacz\u0105\u0107 od pocz\u0105tku i powiedzie\u0107 kim w\u0142a\u015bciwie jest inspektor ochrony danych o jakim mowa w przepisach RODO. <\/p>\n\n\n\n

RODO to inaczej Rozporz\u0105dzenie Parlamentu Europejskiego i Rady (UE) 2016\/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u00f3b fizycznych w zwi\u0105zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u0142ywu takich danych oraz uchylenia dyrektywy 95\/46\/WE (og\u00f3lne rozporz\u0105dzenie o ochronie danych). Po raz kolejny zach\u0119cam wszystkich przedsi\u0119biorc\u00f3w do tego, aby dok\u0142adnie przeczyta\u0107 owe rozporz\u0105dzenie. Rozumiem, \u017ce kto\u015b mo\u017ce nie mie\u0107 czasu, ale jest to bardzo wa\u017cny akt, z kt\u00f3rym ka\u017cdy kto przetwarza dane powinien si\u0119 zapozna\u0107. <\/p>\n\n\n\n

Artyku\u0142 37 RODO wskazuje na informacje kiedy nale\u017cy wyznaczy\u0107 inspektora ochrony danych<\/strong><\/p>\n\n\n\n

“Administrator i podmiot przetwarzaj\u0105cy wyznaczaj\u0105 inspektora ochrony danych, zawsze gdy:<\/p>

przetwarzania dokonuj\u0105 organ lub podmiot publiczny, z wyj\u0105tkiem s\u0105d\u00f3w w zakresie sprawowania przez nie wymiaru sprawiedliwo\u015bci;<\/p>

g\u0142\u00f3wna dzia\u0142alno\u015b\u0107 administratora lub podmiotu przetwarzaj\u0105cego polega na operacjach przetwarzania, kt\u00f3re ze wzgl\u0119du na sw\u00f3j charakter, zakres lub cele wymagaj\u0105 regularnego i systematycznego monitorowania os\u00f3b, kt\u00f3rych dane dotycz\u0105, na du\u017c\u0105 skal\u0119; lub<\/p>

g\u0142\u00f3wna dzia\u0142alno\u015b\u0107 administratora lub podmiotu przetwarzaj\u0105cego polega na przetwarzaniu na du\u017c\u0105 skal\u0119 szczeg\u00f3lnych kategorii danych osobowych, o kt\u00f3rych mowa w art. 9 ust. 1, oraz danych osobowych dotycz\u0105cych wyrok\u00f3w skazuj\u0105cych i narusze\u0144 prawa, o czym mowa w art. 10.<\/p>

2.Grupa przedsi\u0119biorstw mo\u017ce wyznaczy\u0107 jednego inspektora ochrony danych, o ile mo\u017cna b\u0119dzie \u0142atwo nawi\u0105za\u0107 z nim kontakt z ka\u017cdej jednostki organizacyjnej.<\/p>

3. Je\u017celi administrator lub podmiot przetwarzaj\u0105cy s\u0105 organem lub podmiotem publicznym, dla kilku takich organ\u00f3w lub podmiot\u00f3w mo\u017cna wyznaczy\u0107 \u2013 z uwzgl\u0119dnieniem ich struktury organizacyjnej i wielko\u015bci \u2013 jednego inspektora ochrony danych.<\/p>

4. W przypadkach innych ni\u017c te, o kt\u00f3rych mowa w ust. 1, administrator, podmiot przetwarzaj\u0105cy, zrzeszenia lub inne podmioty reprezentuj\u0105ce okre\u015blone kategorie administrator\u00f3w lub podmiot\u00f3w przetwarzaj\u0105cych mog\u0105 wyznaczy\u0107 lub je\u017celi wymaga tego prawo Unii lub prawo pa\u0144stwa cz\u0142onkowskiego, wyznaczaj\u0105 inspektora ochrony danych. Inspektor ochrony danych mo\u017ce dzia\u0142a\u0107 w imieniu takich zrzesze\u0144 i innych podmiot\u00f3w reprezentuj\u0105cych admini\u00ad strator\u00f3w lub podmioty przetwarzaj\u0105ce.<\/p>

5. Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczeg\u00f3lno\u015bci wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiej\u0119tno\u015bci wype\u0142nienia zada\u0144, o kt\u00f3rych mowa w art. 39.<\/p>

6. Inspektor ochrony danych mo\u017ce by\u0107 cz\u0142onkiem personelu administratora lub podmiotu przetwarzaj\u0105cego lub wykonywa\u0107 zadania na podstawie umowy o \u015bwiadczenie us\u0142ug.<\/strong><\/p>

7. Administrator lub podmiot przetwarzaj\u0105cy publikuj\u0105 dane kontaktowe inspektora ochrony danych i zawiadamiaj\u0105 o nich organ nadzorczy<\/strong>.”<\/p><\/blockquote>\n\n\n\n

<\/p>\n\n\n\n

Natomiast artyku\u0142 38 RODO wskazuje na status Inspektora. Z tego artyku\u0142u dowiemy si\u0119, \u017ce:<\/p>\n\n\n\n

“1. Administrator oraz podmiot przetwarzaj\u0105cy zapewniaj\u0105, by inspektor ochrony danych by\u0142 w\u0142a\u015bciwie i niezw\u0142ocznie w\u0142\u0105czany we wszystkie sprawy dotycz\u0105ce ochrony danych osobowych.<\/p>

2. Administrator oraz podmiot przetwarzaj\u0105cy wspieraj\u0105 inspektora ochrony danych<\/strong> w wype\u0142nianiu przez niego zada\u0144, o kt\u00f3rych mowa w art. 39, zapewniaj\u0105c mu zasoby niezb\u0119dne do wykonania tych zada\u0144 oraz dost\u0119p do danych osobowych i operacji przetwarzania, a tak\u017ce zasoby niezb\u0119dne do utrzymania jego wiedzy fachowej.<\/p>

3. Administrator oraz podmiot przetwarzaj\u0105cy zapewniaj\u0105, by inspektor ochrony danych nie otrzymywa\u0142 instrukcji dotycz\u0105cych wykonywania tych zada\u0144.<\/strong> Nie jest on odwo\u0142ywany ani karany przez administratora ani podmiot przetwa\u00ad rzaj\u0105cy za wype\u0142nianie swoich zada\u0144. Inspektor ochrony danych bezpo\u015brednio podlega najwy\u017cszemu kierownictwu administratora lub podmiotu przetwarzaj\u0105cego.<\/p>

4. Osoby, kt\u00f3rych dane dotycz\u0105, mog\u0105 kontaktowa\u0107 si\u0119 z inspektorem ochrony danych we wszystkich sprawach zwi\u0105zanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przys\u0142uguj\u0105cych im na mocy niniejszego rozporz\u0105dzenia.<\/p>

5. Inspektor ochrony danych jest zobowi\u0105zany do zachowania tajemnicy lub poufno\u015bci co do wykonywania swoich zada\u0144 \u2013 zgodnie z prawem Unii lub prawem pa\u0144stwa cz\u0142onkowskiego.<\/p>

6. Inspektor ochrony danych mo\u017ce wykonywa\u0107 inne zadania i obowi\u0105zki. Administrator lub podmiot przetwarzaj\u0105cy zapewniaj\u0105, by takie zadania i obowi\u0105zki nie powodowa\u0142y konfliktu interes\u00f3w.<\/strong>“<\/p><\/blockquote>\n\n\n\n

Z powy\u017cszego dowiadujemy si\u0119, \u017ce Administrator lub podmiot przetwarzaj\u0105cy zapewniaj\u0105 by takie zadania i obowi\u0105zki jakie ma wype\u0142nia\u0107 Inspektor nie powodowa\u0142y konfliktu interesu. Jak r\u00f3wnie\u017c Inspektora powo\u0142uje Administrator – mo\u017ce to by\u0107 jeden z jego pracownik\u00f3w ale tez mo\u017ce to by\u0107 osoba z zewn\u0105trz po spe\u0142nieniu okre\u015blonych wymog\u00f3w. <\/p>\n\n\n\n

Z artyku\u0142u 39 dowiemy si\u0119 jakie zadania ma inspektor ochrony danych<\/p>\n\n\n\n

Inspektor ochrony danych ma nast\u0119puj\u0105ce zadania:<\/p>

informowanie administratora<\/strong>, podmiotu przetwarzaj\u0105cego oraz pracownik\u00f3w,<\/strong> kt\u00f3rzy przetwarzaj\u0105 dane osobowe, o obowi\u0105zkach spoczywaj\u0105cych na nich na mocy niniejszego rozporz\u0105dzenia oraz innych przepis\u00f3w Unii lub pa\u0144stw cz\u0142onkowskich o ochronie danych i doradzanie im w tej sprawie;<\/p>

monitorowanie przestrzegania niniejszego rozporz\u0105dzenia, innych przepis\u00f3w Unii lub pa\u0144stw cz\u0142onkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzaj\u0105cego w dziedzinie ochrony danych osobowych, w tym podzia\u0142 obowi\u0105zk\u00f3w, dzia\u0142ania zwi\u0119kszaj\u0105ce \u015bwiadomo\u015b\u0107, szkolenia personelu uczestnicz\u0105cego w operacjach przetwarzania oraz powi\u0105zane z tym audyty;<\/p>

udzielanie na \u017c\u0105danie zalece\u0144 co do oceny skutk\u00f3w dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;<\/p>

wsp\u00f3\u0142praca z organem nadzorczym;<\/p>

pe\u0142nienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach zwi\u0105zanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o kt\u00f3rych mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach”<\/p><\/blockquote>\n\n\n\n

Z powy\u017cszego wynika, \u017ce Inspektor Ochrony Danych nie mo\u017ce by\u0107 jednocze\u015bnie Administratorem. Administrator realizuj\u0105c analiz\u0119 weryfikuje r\u00f3wnie\u017c czy musi wyznaczy\u0107 Inspektora czyli inn\u0105 osob\u0119. Wyznaczenie inspektora ma sw\u00f3j uzasadniony cel – okre\u015blon\u0105 piecz\u0119 nad danymi osobowymi. Nie nale\u017cy myli\u0107 tej sytuacji, z sytuacj\u0105, w kt\u00f3rej Administrator samodzielnie zajmuje si\u0119 kwestiami ochrony danych bo z analizy jak\u0105 przeprowadzi\u0142 wysz\u0142o mu, \u017ce taki IOD nie jest mu potrzebny. <\/strong><\/p>\n\n\n\n

Jak mo\u017cna przeczyta\u0107 na stronie UODO “W \u015bwietle RODO DPO ma kluczowe znaczenie w procesie administrowania danymi w zwi\u0105zku z czym w rozporz\u0105dzeniu okre\u015blono warunki jego powo\u0142ania, status i opis zada\u0144. Za\u0142o\u017ceniem niniejszych wytycznych jest wyja\u015bnienie stosownych zapis\u00f3w RODO celem u\u0142atwienia administratorom i podmiotom przetwarzaj\u0105cym dostosowania si\u0119 do przepis\u00f3w prawa, jak r\u00f3wnie\u017c u\u0142atwienia inspektorom ochrony danych wykonywania ich zada\u0144. Wytyczne zawieraj\u0105 r\u00f3wnie\u017c zalecane dobre praktyki, oparte na do\u015bwiadczeniu niekt\u00f3rych pa\u0144stw cz\u0142onkowskich. GR Art. 29 b\u0119dzie na bie\u017c\u0105co monitorowa\u0107 implementacj\u0119 wytycznych i w razie zaistnienia potrzeby wzbogaca\u0107 je o dalsze informacje<\/strong>.” DPO to Data Protection Officer. <\/p>\n\n\n\n

Dodatkowe wytyczne grupy 29 w tym zakresie warto przeczyta\u0107 tu: <\/p>\n\n\n\n

Wytyczne dotycz\u0105ce inspektor\u00f3w ochrony danych (WP 243)<\/a><\/p>\n\n\n\n

Zgodnie z artyku\u0142em 10 Ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. podmiot, kt\u00f3ry wyznaczy\u0142 inspektora ochrony danych lub go zmieni\u0142 ma obowi\u0105zek zg\u0142osi\u0107 ten fakt do UODO w okre\u015blonych terminach ustawowych.<\/p>\n\n\n\n

Dodatkowo nale\u017cy wskaza\u0107, \u017ce salony kosmetyczne, kosmetologiczne przetwarzaj\u0105c dane szczeg\u00f3lnej kategorii uj\u0119te w art. 9 RODO powinny dok\u0142adnie przeanalizowa\u0107 czy Inspektor jest potrzebny – albowiem podejmuj\u0105c decyzj\u0119, \u017ce taki inspektor nie jest potrzebny nale\u017cy mie\u0107 udokumentowan\u0105 analiz\u0119 ryzyka w tym zakresie oraz podstawy dlaczego taka decyzja zosta\u0142a podj\u0119ta.G\u0142\u00f3wnie dlatego, \u017ce w razie kontroli je\u017celi wyjdzie, \u017ce IOD powinien by\u0107 powo\u0142any przez Administratora a nie jest, Administrator powinien wykaza\u0107\/udowodni\u0107 dlaczego go nie powo\u0142a\u0142 -> Rozliczalno\u015b\u0107. <\/p>\n\n\n\n

Ogromne znaczenie ma fakt, \u017ce przetwarzanie danych szczeg\u00f3lnych kategorii cechuje si\u0119 spe\u0142nieniem okre\u015blonych obowi\u0105zk\u00f3w oraz odpowiedniej ochrony. Z racji tego, \u017ce sama definicja “du\u017cej skali” przetwarzania danych nie zosta\u0142a wprost zdefiniowana w przepisach RODO, wi\u0119c trudno oszacowa\u0107 dok\u0142adn\u0105 liczb\u0119 jak\u0105 nale\u017cy uzna\u0107 za “du\u017c\u0105 skal\u0119 danych”, administrator oceniaj\u0105c dan\u0105 skal\u0119 powinien bra\u0107 pod uwag\u0119 takie kwestie jak m.in: dane geograficzne, demograficzne, skala na tle konkurencyjnych przedsi\u0119biorstw (firm)itp. Niestety nie ma sztywnego progu jaka liczba b\u0119dzie wskazywa\u0142a wprost na “du\u017c\u0105 skal\u0119 w bran\u017cy kosmetycznej, ale nale\u017cy mie\u0107 na uwadze, \u017ce du\u017cej skali przetwarzania w salonie kosmetycznym w swojej bran\u017cy i otoczeniu geograficznym itp. nie mo\u017cna por\u00f3wnywa\u0107 z wielkimi korporacjami i “du\u017cej skali” u nich. Mo\u017ce by\u0107 bowiem tak, \u017ce “du\u017ca skala” dla danego salonu w okre\u015blonych okoliczno\u015bciach jeszcze przy przetwarzaniu danych szczeg\u00f3lnych kategorii to b\u0119dzie ju\u017c kilkuset klient\u00f3w, dlatego tak bardzo wa\u017cne jest zrobienie odpowiedniej i rzetelnej inwentaryzacji danych i analizy w tym zakresie bo ka\u017cdy przypadek mo\u017ce by\u0107 inny. Dlatego w razie w\u0105tpliwo\u015bci warto skontaktowa\u0107 si\u0119 z ekspertem w danej dziedzinie. <\/p>\n\n\n\n

Warte uwagi materia\u0142y na stronie UODO:<\/strong><\/p>\n\n\n\n

Podr\u0119cznik Inspektora Ochrony Danych Wytyczne dla inspektor\u00f3w ochrony danych w sektorze publicznym i quasi- publicznym dotycz\u0105ce sposobu zapewnienia zgodno\u015bci z europejskim og\u00f3lnym rozporz\u0105dzeniem o ochronie danych<\/strong> -> https:\/\/uodo.gov.pl\/file\/2788<\/p>\n\n\n\n

Czy inspektor ochrony danych powinien by\u0107 wyznaczany na podstawie takich samych kwalifikacji jak by\u0142o to w przypadku administratora bezpiecze\u0144stwa informacji?<\/strong> -> https:\/\/uodo.gov.pl\/pl\/122\/200<\/p>\n\n\n\n

__________________________________________________<\/p>\n\n\n\n

Podana powy\u017cej tre\u015b\u0107 nie jest opini\u0105 prawn\u0105 ani porad\u0105 prawn\u0105. Wszelkie decyzje powinny by\u0107 podejmowane na podstawie dok\u0142adnej analizy ryzyka oraz weryfikacji prawnej. Tylko dok\u0142adna weryfikacja stanu faktycznego Twojej sprawy umo\u017cliwia wskazanie najlepszych rozwi\u0105za\u0144 prawnych w Twojej sprawie. W tym celu skontaktuj si\u0119 z prawnikiem. Artyku\u0142y zamieszczone na stronie s\u0105 aktualne na dzie\u0144 publikacji, z racji tego, \u017ce prawo cz\u0119sto si\u0119 zmienia mniej na uwadze to, \u017ce podane informacje mog\u0105 by\u0107 ju\u017c nieaktualne.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Mimo i\u017c od wej\u015bcia przepis\u00f3w w zakresie RODO up\u0142yn\u0119\u0142o ju\u017c kilka lat to nadal niekt\u00f3re praktyki mog\u0105 budzi\u0107 w\u0105tpliwo\u015bci. Dzieje si\u0119 tak dlatego, \u017ce cz\u0119\u015b\u0107 przedsi\u0119biorc\u00f3w – szczeg\u00f3lnie mikro i mali nie do ko\u0144ca wiedz\u0105 […]<\/a><\/p>\n<\/div>","protected":false},"author":1,"featured_media":2251,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[368,328,1],"tags":[758,759,695,53],"jetpack_featured_media_url":"https:\/\/kosmetykaprawo.pl\/wp-content\/uploads\/2022\/06\/2.png","_links":{"self":[{"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/posts\/2202"}],"collection":[{"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/comments?post=2202"}],"version-history":[{"count":14,"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/posts\/2202\/revisions"}],"predecessor-version":[{"id":2277,"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/posts\/2202\/revisions\/2277"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/media\/2251"}],"wp:attachment":[{"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/media?parent=2202"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/categories?post=2202"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/tags?post=2202"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}