GIODO
15 marca komunikuje: Od 25 maja 2018 r. inspektor ochrony danych
obowiązkowy we wszystkich w podmiotach publicznych.
W tytule komunikatu
GIODO zwraca uwagę słowo „obowiązkowy”
– obowiązkowy w podmiocie publicznym (i to w każdym). Dalej w komunikacie
GIODO można przeczytać: „Wszystkie podmioty sektora publicznego od 25 maja 2018 r.,
czyli od dnia, w którym zaczniemy w Polsce stosować RODO, będą zobowiązane do posiadania inspektora
ochrony danych i udzielania mu wsparcia w zakresie wykonywania jego
zadań.” (https://giodo.gov.pl/pl/1520281/10423). Czyli w zgodności z tą treścią, podmiot publiczny (każdy)
będzie zobowiązany „do posiadania”
inspektora ochrony danych. Czyli razem do daje coś na kształt „obowiązkowego posiadania” inspektora
ochrony danych osobowych.
Obowiązkowe posiadanie
IODo (DPO)
Musze
to skomentować. Darzę ogromnym szacunkiem, estymą i atencją GIODO, ale
chyba coś tam się chwilowo źle dzieje (?) – daje się to bardziej wyczuć, niż
zauważyć, zwłaszcza po publikacji „Wdrożenie RODO w Polsce zagrożone” (https://giodo.gov.pl/pl/1520281/10380).
Nie
ma mowy o „obowiązkowym posiadaniu”
inspektora ochrony danych. W Artykule 37 (RODO) stanowi się o „Wyznaczeniu inspektora ochrony danych”.
Co prawda w angielskiej wersji stoi „Designation
of the data protection oficer”, czyli bardziej nie tyle „wyznaczenie”, co bardziej „oznaczenie,
określenie, nominacja, desygnowanie – inspektora ochrony danych” (w wersji
niemieckiej: "Benennung eines
Datenschutzbeauftragten", czyli "Mianowanie
inspektora ochrony danych"; w wersji czeskiej "Jmenování pověřence pro ochranu
osobních údajů", czyli także "Mianowanie
inspektora ochrony danych" – z tymi językami „troszkę” sobie radzę.
Czyli
chyba nie należy używać zwrotu o „obowiązkowym
posiadaniu inspektora ochrony danych”. Warto jednocześnie zauważyć, że
oficjalnie konieczny do stosowania zwrot „wyznaczenie”
nie jest równoważny ze znaczeniem określenia „zatrudnienie” ani nawet „powołanie”
(ten ostatni jest zawarty w jeszcze obowiązującej ustawie o ochronie
danych osobowych i dotyczy administratora bezpieczeństwa informacji –
„Art. 36a. 1. Administrator danych może powołać administratora bezpieczeństwa
informacji.”.
I
wreszcie w projekcie „nowej ustawy o ochronie danych osobowych” (wersja
projektu z 3 marca) projektuje się w art. 6: „Administrator
i podmiot przetwarzający obowiązany jest do wyznaczenia inspektora ochrony danych, zwanego dalej „inspektorem”
w przypadkach i zasadach określonych w art. 37
rozporządzenia 2016/679.” – rozporządzenie 2016/679, to tyle co RODO.
Czyli
wszystkie podmioty publiczne będą musiały nie tyle zatrudnić lub powołać
inspektora ochrony danych, co go wyznaczyć (czyli określić, nominować,
desygnować, mianować) – czyli we wskazywanych sensach istotnie będą musiały go
„posiadać” na zasadzie „wyznaczenia”, czyli czegoś w rodzaju od „wskazania
palcem z jednoczesnym stwierdzeniem – robisz to ty”, poprzez zatrudnienie
„człowieka od tego”, do wynajęcia podmiotu zewnętrznego.
Status inspektora
ochrony danych
Niezależnie
od tego, jak zostanie zrealizowane owo „wyznaczenie”, to status inspektora
ochrony danych (Artykuł 38 RODO) ma być następujący:
1. Administrator
oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był
właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony
danych osobowych.
2. Administrator
oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu
przez niego zadań, o których mowa w art. 39, zapewniając mu
zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych
i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego
wiedzy fachowej.
3. Administrator
oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie
otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on
odwoływany ani karany przez administratora ani podmiot przetwarzający za
wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega
najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.
4. Osoby, których
dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we
wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz
z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.
5. Inspektor
ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do
wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa
członkowskiego.
6. Inspektor
ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub
podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie
powodowały konfliktu interesów.
Ze
swej strony uważam, że pogodzenie z tak zdefiniowanym statusem, w kontekście
całości RODO, wynajęcia podmiotu zewnętrznego, jest najbardziej dyskusyjne
i przyszła praktyka dopiero pokaże skuteczność lub jej brak w takim
modelu realizacji „wyznaczenia”.
Wszystkie podmioty
sektora publicznego, czyli które?
Kolejnym
„ciekawym” zagadnieniem jest pytanie: wszystkie podmioty sektora publicznego
będą zobowiązane do posiadania inspektora ochrony danych – czyli które?
We
wskazywanym projekcie ustawy projektuje się odpowiedź w art. 6: „Przez
organy i podmioty publiczne obowiązane do wyznaczenia inspektora, o których
mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679,
rozumie się organy oraz podmioty publiczne wskazane w art. 9 ustawy
z dnia 27 sierpnia 2009 r. o finansach publicznych oraz
instytuty badawcze w rozumieniu ustawy z dnia 30 kwietnia 2010 r.
o instytutach badawczych (Dz. U. z 2017 r. poz. 1158 oraz 1452
i 2201).”
W
przywołanej publikacji GIODO napisano: „Jak wskazuje projekt nowej ustawy
o ochronie danych osobowych (wersja z 3 marca 2018 r.), przez
organy i podmioty publiczne zobowiązane do wyznaczenia inspektora ochrony
danych rozumiane będą organy oraz podmioty publiczne wskazane w art. 9
ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych oraz
instytuty badawcze w rozumieniu ustawy z dnia 30 kwietnia 2010 r.
o instytutach badawczych. Jeśli przepis w takim brzmieniu zostanie
uchwalony, to obowiązek wyznaczenia inspektora ochrony danych, będą miały,
m.in: organy władzy publicznej, w tym organy administracji rządowej,
organy kontroli państwowej i ochrony prawa oraz sądy i trybunały,
jednostki samorządu terytorialnego oraz ich związki, samodzielne publiczne
zakłady opieki zdrowotnej, uczelnie publiczne, inne państwowe lub samorządowe
osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania
zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych,
banków i spółek prawa handlowego, instytuty badawcze w rozumieniu
ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych.
Przepis taki wyraźnie przesądzałby o obowiązku wyznaczenia inspektora
ochrony danych również przez sądy i trybunały, przy czym w ich
przypadku - ze względu na ochronę niezawisłości sędziowskiej - z zakresu
kompetencji inspektora będą wyłączone operacje przetwarzania danych mieszczące
się w czynnościach orzeczniczych (sprawowania wymiaru sprawiedliwości).”.
Zrodziło
mi się pytanie: …a na przykład szkoły i przedszkola, domy pomocy
społecznej, straż miejska, straż pożarna, policja, zakłady karne, domy kultury,
domy dziecka – to też będą musiały wyznaczać inspektora ochrony danych czy tez
może nie? Wymienione nie są wymienione przez GIODO i nie mają wszak
wskazywanej w wymienieniu GIODO osobowości prawnej.
W
ustawie o finansach publicznych (Dz. U. 2017.2077 t.j. z dnia
2017.11.10) w art. 9 jest jednak troszkę inaczej.
Art. 9. Sektor
finansów publicznych tworzą:
1) organy władzy
publicznej, w tym organy administracji rządowej, organy kontroli
państwowej i ochrony prawa oraz sądy i trybunały;
2) jednostki
samorządu terytorialnego oraz ich związki;
2a) związki
metropolitalne;
3) jednostki budżetowe;
4) samorządowe
zakłady budżetowe;
5) agencje
wykonawcze;
6) instytucje
gospodarki budżetowej;
7) państwowe
fundusze celowe;
8) Zakład
Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa
Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa
Kasy Rolniczego Ubezpieczenia Społecznego;
9) Narodowy Fundusz
Zdrowia;
10) samodzielne
publiczne zakłady opieki zdrowotnej;
11) uczelnie
publiczne;
12) Polska Akademia
Nauk i tworzone przez nią jednostki organizacyjne;
13) państwowe
i samorządowe instytucje kultury;
14) inne państwowe
lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu
wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów
badawczych, banków i spółek prawa handlowego.
Zwracam
uwagę (czego brakło w publikacji GIODO, choć usprawiedliwieniem
wystarczającym jest użycie skrótu „m.in.:”), że we wskazanym art. 9
wymienia się w szczególności „jednostki budżetowe”, a jednostka
budżetowa to jednostka organizacyjna sektora finansów publicznych, która nie ma
osobowości prawnej, czyli właśnie szkoły i przedszkola, domy pomocy
społecznej, straż miejska, straż pożarna, policja, zakłady karne, domy kultury
i domy dziecka też będą musiały wyznaczać inspektora ochrony danych
osobowych (jak słusznie zauważa GIODO – „jeśli przepis w takim brzmieniu
zostanie uchwalony”, a projektodawca – wynika to z obserwacji
ewolucji projektu – wyjątkowo siermiężnie się waha (?).
IODo (DPO) w przedszkolu?
Oczywiście
fatalnym (ze względu na w pełni świadome i całościowe pojmowanie
RODO) rozwiązaniem będzie, jeżeli na przykład w każdej szkole i przedszkolu
(generalnie w każdej na przykład jednostce organizacyjnej jednostki
samorządu terytorialnego) będzie się „wyznaczać” inspektora ochrony danych. To
jest kolejny i bardzo obszerny wątek, który dotyczy przede wszystkim
świadomości pojmowania prawa ochrony danych osobowych w ujęciu RODO
(rozporządzenia 2016/679). Trochę na ten temat opublikowałem pod adresem https://goo.gl/fPsXvc.
Moc RODO
I
na zakończenie taki jeszcze mały niuansik. Z angielskiego DPO, z niemieckiego
DSB, z czeskiego POOU (choć już z pominięciem „pro”), a po
polsku IOD – tu z pominięciem „osobowych”. Dlaczego tak? Bo gdyby trzeba
było wyznaczać „inspektora ochrony danych osobowych”, to skrótem będzie IODO,
czytany jako „jodo”, co się będzie kojarzyć z Yodo – małym, zielonym, ale
potężnym mistrzem Jedi…
Zatem
przedstawiciele wszystkich podmiotów publicznych – wyznaczajcie sobie mistrzów
IODo ze starożytnego zakonu skupiającego „wrażliwych na Moc RODO” (ang. GDPR
Force Sensitive), czyli istoty, w których organizmach występuje
nadnaturalne stężenie midichlorianów, czyli nanoorganizmów występujących
w każdym żywym organizmie i umożliwiających odczuwanie Mocy RODO –
z poczuciem humoru pewnie będzie prościej uwrażliwić się stosownie,
koniecznie i wystarczająco na Moc RODO.
Krzysztof
Sługocki, 16.03.2018
Treści
uzupełniające – lektura przedmiotu dodatkowa
Przekazuję i udostępniam
także treści dodatkowe i uzupełniające zakres definiowanych wyżej działań oraz
przyszłe ewentualne zamierzenia. Proszę skorzystać z prezentowanych
i udostępnianych zasobów. Jeżeli w Państwa uznaniu wskazane niżej
zasoby mogą być pożytecznie wykorzystane po Państwa stronie oraz także po
stronie podmiotów, z którymi Państwo współpracujecie, to proszę z tego
korzystać; udostępniane treści mogą być wykorzystane dowolnie i zgodnie
z uznaniem względem celów i potrzeb w szczególności w zakresie
modyfikowania i rozpowszechniania w rozumieniu postanowień
licencyjnych zgodnych z https://creativecommons.org/licenses/by/4.0/pl/
Adresy udostępnień są podane
w postaci skrótów (w przypadku trudności skorzystania z tych skrótów
- proszę o informację zwrotną; podam pełne adresy...)
·
Pod
adresem https://goo.gl/tBonf4
dostępne są różne treści (korzystam z niektórych z nich w czasie
obecnych szkoleń; około 70MB, plik skompresowany w formacie ZIP;
prezentacje, opracowania, wybrane dokumenty,...);
·
Pod
adresem https://goo.gl/8zgiAB
dostępne są różne treści (korzystam z niektórych z nich w czasie
obecnych szkoleń; około 20MB, plik skompresowany w formacie ZIP;
opracowania, wybrane dokumenty,...);
·
Pod
adresem https://goo.gl/vLuBJA
udostępniam opracowanie dotyczące opisywanego wyżej rejestru czynności
przetwarzania. Przygotowanie rejestru czynności przetwarzania opiera się
o konieczność dokonania (zapewne staje się to koniecznością w wielu
organizacjach) przeglądu zasobów/procesów względem celów przetwarzania danych
osobowych w odniesieniu do zakresów danych osobowych (kategorie danych
osobowych, kategorie osób, kategorie odbiorców) oraz czasu przetwarzania
(ograniczonego ze względu na cel przetwarzania) z jednoczesnym
wskazywaniem (ze względu głównie na ocenę skutków dla ochrony danych) podstawy
prawnej upoważniającej do realizacji rejestrowanych czynności przetwarzania.
W tym przygotowaniu należy się wspierać istniejącym (w rozumieniu
bieżącego stanu prawnego) wykazem zbiorów danych osobowych (część polityki
bezpieczeństwa) oraz istniejącym ewentualnie rejestrem zbiorów danych
osobowych.
·
Pod
adresem https://goo.gl/3M8p2x
udostępniam jedno z opracowań dotyczących aktualnych problemów związanych z UODO/RODO.
Rzecz dotyczy głośnego obecnie („znakomity” przykład negatywnych działań)
wysyłania przez firmę TAURON "Ważnej informacji w sprawie
aktualizacji danych osobowych".
·
Pod
adresem https://goo.gl/v5rF3W
udostępniam kolejne opracowanie. Jest to pierwsza część opracowania dotyczącego
„przygotowywania się do RODO”. Część ta dotyczy „przygotowania do przeglądu
zasobów/procesów – przegląd (zmapowanie) zbiorów danych osobowych”. Część
kolejna będzie dotyczy właśnie budowania "rejestru czynności
przetwarzania" jako najważniejszego dowodu dokumentującego pożądany stan
świadomości i postępowania w zakresie podstawowym.
·
Pod
adresem https://goo.gl/PXiu5x
udostępniam kolejne (dość mocno robocze - brakło czasu na dopracowanie
szczegółów) opracowanie. Powstało ono przy okazji mego krótkiego wystąpienia na
spotkaniu zorganizowanym głównie dla reprezentantów podmiotów publicznych
(urzędów). Zawiera jednak kilka treści, które w moim uznaniu mogą być
wskazywane jako obiecująco pożądane także po stronie nie tylko podmiotów
publicznych.
·
Pod
adresem https://goo.gl/NbUiE1
udostępniam jeden z wybranych tu komentarzy do wybranych kwestii
procedowanego projektu krajowej ustawy o ochronie danych osobowych oraz
projektu ustawy wprowadzającej ustawę o ochronie danych osobowych –
uznanie nazwania tych ustaw tak, jak zostały nazwane, za „mało fortunne” – jest
jedynie „pieszczotliwym dźgnięciem” – ale to dobrze, tacy jak ja będą mieli
jeszcze więcej „roboty”…
·
Pod
adresem https://goo.gl/TEJ53u
zawarta jest propozycja trzech warsztatowych (kolejne są w trakcie
przygotowywania) realizacji szkoleń dotyczących wybranych praktycznych
czynności (obowiązków) pojmowania i stosowania zmienianego prawa ochrony
danych osobowych. Najistotniejszym elementem warsztatów są propozycje bardzo
szczegółowego omówienia, przedyskutowania, przećwiczenia, przepracowania
i wypracowania wybranych w danym warsztacie dokumentów (dowodów
rozliczalności) najwłaściwszych z perspektywy Organizacji reprezentowanej
przez uczestnika szkolenia. Warsztaty są planowane we współpracy z firmą
Altkom (https://www.altkomakademia.pl/).
Więcej informacji dotyczących w szczególności już przygotowanych
propozycji warsztatów oraz innych propozycji z zakresu ochrony danych
osobowych w kontekście RODO można uzyskać kierując wiadomości i pytania
do: Malgorzata.Libuda@altkom.pl
(tel. 735 208 493), Anna.Osinska@altkom.pl
(tel. 664 002 456), Krzysztof.Slugocki@altkom.pl
(tel. 501 091 995).
·
Pod
adresem https://goo.gl/4umbT2
tłumaczę, że tak trochę między „baśnie i bajki” (chodź jednak w cudzysłowie)
można kłaść myślenie, że w wyniku działań podmiotów uprawnionych do
kontrolowania z zakresu ochrony danych osobowych „będą się sypać” kary
finansowe – raczej chyba wyjdzie na to, że trzeba będzie sobie wręcz życzyć
takiej kontroli podmiotu uprawnionego (?!). Tak właśnie, bo oto z „pierwszej
i najlepszej ręki” będzie można otrzymać informację zwrotną (wniosek
pokontrolny?), co i w jakim zakresie nie jest tak, jak być powinno.
A „bać się”, to trzeba będzie „klienta świadomego swych praw”. Zawarto tam
także opis i przywołanie wyroku o fundamentalnym znaczeniu dla
podmiotów przetwarzających dane osobowe (wyrok SN z 1 czerwca 2017 r.,
sygn. akt I CSK 597/16).
·
Pod
adresem https://goo.gl/fPsXvc
wskazuję kolejne konieczne etapy wprowadzenia w RODO (przed 25 maja 2018
roku), które muszą być podporządkowane zasadzie „rozliczalności”. Dość
szczegółowo opisałem pierwsze działanie (etap) „wdrażania RODO”, którym jest
zbudowanie stanu zaistnienia świadomości pojmowania prawa ochrony danych
osobowych, tak w bieżącym i obowiązującym jeszcze stanie prawnym –
UODO, jak i w przyszłym (choć także już obowiązującym – co dla wielu brzmi
niespodziewanie jakoś „odkrywczo”) stanie prawnym – RODO. Wbrew mocno wyolbrzymionym
doniesieniom medialnym – nie ma tu żadnej „rewolucji” (…a to kolejne „ciekawe
odkrycie”). Mamy jednak do czynienia z dość istotną ewolucją pojęcia
„chronić dane osobowe”.
Krzysztof
Sługocki, 16.03.2018
Komentarze
Prześlij komentarz