RODO w firmie

Pełnomocnictwo w formie elektronicznej to np. dokument w formacie DOC opatrzony podpisem potwierdzonym profilem zaufanym ePUAP lub kwalifikowanym podpisem elektronicznym przez osoby upoważnione do reprezentowania administratora/podmiotu przetwarzającego.

Uwaga: Dokument podpisany własnoręcznie i zeskanowany nie będzie uznany za prawidłową formę pełnomocnictwa. Skan pełnomocnictwa nieopatrzony podpisem potwierdzonym profilem zaufanym ePUAP lub kwalifikowanym podpisem elektronicznym przez osoby upoważnione do reprezentowania administratora/podmiotu przetwarzającego, nie będzie miał właściwej formy.

Do wniosku o uprzednie konsultacje należy załączyć pełną ocenę skutków dla ochrony danych dotyczącą przetwarzania, którego dotyczy wniosek (art. 36 ust. 3 lit. e RODO).

Ponadto, jeżeli wniosek podpisuje pełnomocnik należy załączyć oryginał bądź urzędowo poświadczony odpis pełnomocnictwa (art. 33 § 3 i § 3a pkt 1 Kodeksu postępowania administracyjnego) oraz dowód zapłaty należnej opłaty skarbowej w wysokości 17 zł (§ 3 ust. 1 rozporządzenia Ministra Finansów z dnia 28 września 2007 r. w sprawie zapłaty opłaty skarbowej, Dz. U. Nr 187, poz. 1330). Opłatę skarbową należy uiścić w kasie lub na konto Dzielnicy Śródmieście m. st. Warszawy, ul. Nowogrodzka 43, 00 – 691 Warszawa, Nr konta: 60 1030 1508 0000 0005 5001 0038.

Dzięki „cookie” korzystanie ze stron internetowych jest łatwiejsze i przyjemniejsze a ich zawartość – teksty, zdjęcia, ankiety, sondy, ale również reklamy – jest lepiej dopasowana do oczekiwań i preferencji każdego użytkownika internetu.

Źródło: wszystkoociasteczkach.pl

Zgodnie z art. 3 ust. 4 rozporządzenia Komisji (UE) Nr 611/2013, w powiadomieniu skierowanym do abonenta lub osoby fizycznej dostawca zawiera takie informacje, jak:

1. nazwa dostawcy;
2. imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, w którym można uzyskać więcej informacji;
3. streszczenie zdarzenia, w wyniku którego doszło do naruszenia danych osobowych;
4. przybliżona data zdarzenia;
5. charakter i treść danych osobowych, zgodnie z art. 3 ust. 2 rozporządzenia;
6. prawdopodobne konsekwencje naruszenie danych osobowych dla danego abonenta lub osoby fizycznej, zgodnie z art. 3 ust. 2 rozporządzenia;
7. okoliczności naruszenia danych osobowych, zgodnie z art. 3 ust. 2 rozporządzenia;
8. środki wprowadzone przez dostawcę w celu zaradzenia naruszeniu ochrony danych osobowych;
9. środki zalecane przez dostawcę w celu złagodzenia ewentualnych niekorzystnych skutków.

Biuro SIRENE (Supplementary Information REquest at the National Entries) jest organem powoływanym na podstawie art. 108 Konwencji Wykonawczej do Układu z Schengen (KWS) przez każde państwo będące stroną tej Konwencji jako organ odpowiedzialny za moduł krajowy Systemu Informacyjnego Schengen. Art. 108 Zgodnie z treścią art. 108 KWS został następnie zastąpiony przez art. 7 ust. 2 Decyzji Rady 2007/533/WSiSW z dnia 12 czerwca 2007 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen drugiej generacji (SIS II) oraz art. 7 ust. 2 Rozporządzenia (WE) 1987/2006 Parlamentu Europejskiego i Rady z dnia 20 grudnia 2006 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen drugiej generacji (SIS II). Biuro SIRENE jest jedynym organem uprawnionym do wprowadzania danych do Systemu Informacyjnego Schengen, a jego podstawową funkcją  jest wymiana dodatkowych informacji niezbędnych ze względu na dotyczące osób i przedmiotów wpisy przetwarzane w Systemie Informacyjnym Schenegen.

Zadania Biur SIRENE obejmują trzy obszary: wymiana informacji uzupełniających niezbędnych przy wprowadzaniu wpisów i w celu umożliwienia podjęcia odpowiednich działań w przypadku trafienia w SIS, (czyli gdy w wyniku sprawdzenia w Systemie Informacyjnym Schengen (SIS) odnaleziono osoby lub przedmioty wprowadzone do systemu), przestrzeganie określonych przepisów rozporządzenia i decyzji o SIS II (w tym weryfikacja jakości danych wprowadzanych do SIS II) oraz służenie jako punkt łącznikowy pomiędzy służbami krajowymi oraz organami międzynarodowymi odpowiedzialnymi za bezpieczeństwo publiczne (np. Interpolem).

Co do zasady działania Biur SIRENE regulowane są w Podręczniku SIRENE, który szczegółowo opisuje procedury dotyczące poszczególnych kategorii wpisów w SIS II. Podręcznik SIRENE został przyjęty jako Decyzja wykonawcza Komisji z dnia 29 stycznia 2015r. zastępująca załącznik do decyzji wykonawczej 2013/115/UE w sprawie przyjęcia podręcznika SIRENE i innych środków wykonawczych dla systemu informacyjnego Schengen drugiej generacji (SIS II) (notyfikowana jako dokument nr C(2015) 326).

Polskie Biuro SIRENE zostało utworzone na podstawie art. 35 ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczpospolitej Polskiej w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym w ramach struktury Komendy Głównej Policji.  Zgodnie z art. 36 ww. ustawy szefa biura SIRENE powołuje i odwołuje Komendant Główny Policji po uzyskaniu zgody ministra właściwego do spraw wewnętrznych. Natomiast art. 37 stanowi, że wszystkie organy uprawnione do dostępu do SIS są obowiązane, w zakresie swojego działania, do współpracy z biurem SIRENE w celu realizacji jego zadań związanych z udziałem w Systemie Informacyjnym Schengen, w tym do wymiany informacji uzupełniających.

Pisma do Biura SIRENE należy kierować na adres: 

Biuro Współpracy Międzynarodowej Policji
Biuro SIRENE
Komenda Główna Policji
ul. Puławska 148/150
02-624 Warszawa

Źródło: uodo.gov.pl

Europejski Zautomatyzowany System Rozpoznawania Odcisków Palców (Eurodac) jest systemem informatycznym pierwotnie utworzonymna podstawie rozporządzenia Rady (WE) nr 2725/2000 z dnia 11 grudnia 2000 r. dotyczące ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania Konwencji Dublińskiej, które zostało zmienione rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 603/2013 z dnia 26 czerwca 2013 r. w sprawie ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania rozporządzenia (UE) nr 604/2013 w sprawie ustanowienia kryteriów i mechanizmów ustalania państwa członkowskiego odpowiedzialnego za rozpatrzenie wniosku o udzielenie ochrony międzynarodowej złożonego w jednym z państw członkowskich przez obywatela państwa trzeciego lub bezpaństwowca oraz w sprawie występowania o porównanie z danymi Eurodac przez organy ścigania państw członkowskich i Europol na potrzeby ochrony porządku publicznego, oraz zmieniające rozporządzenie (UE) nr 1077/2011 ustanawiające Europejską Agencję ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (rozporządzenie o Eurodac).

Celem tego systemu jest umożliwienie wskazania państwa właściwego do badania wniosków o azyl wniesionych w Państwie Członkowskim, zgodnie z przepisami Konwencji określającej Państwo właściwe dla rozpatrywania wniosków o udzielenie azylu wniesionych w Państwie Członkowskim Wspólnot Europejskich, podpisanej w dniu 15 czerwca 1990 r. w Dublinie, oraz w celu ułatwienia stosowania tej Konwencji. Konwencja dublińska została zastąpiona przez rozporządzenie Rady (WE) nr 343/2003 z dnia 18 lutego 2003 r. ustanawiające kryteria i mechanizmy określania Państwa Członkowskiego właściwego dla rozpatrywania wniosku o azyl, wniesionego w jednym z Państw Członkowskich przez obywatela państwa trzeciego, które zostało zmienione rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 604/2013 z dnia 26 czerwca 2013 r. w sprawie ustanowienia kryteriów i mechanizmów ustalania państwa członkowskiego odpowiedzialnego za rozpatrzenie wniosku o udzielenie ochrony międzynarodowej złożonego w jednym z państw członkowskich przez obywatela państwa trzeciego lub bezpaństwowca. 

System Eurodac składa się z:

• jednostki centralnej wyposażonej w skomputeryzowany system rozpoznawania odcisków palców ustanowionej w ramach Komisji Europejskiej;
• skomputeryzowanej centralnej bazy danych, w której dane określone w rozporządzeniu o Eurodac są przetwarzane dla celów porównywania odcisków palców osób ubiegających się o azyl oraz cudzoziemców zatrzymanych w związku z nielegalnym przekroczeniem granicy zewnętrznej oraz cudzoziemców przebywających nielegalnie w Państwie Członkowskim;
• środków służących do przesyłania danych pomiędzy Państwami Członkowskimi i centralną bazą danych.

Źródło: uodo.gov.pl

Przez pojęcie „naruszenia ochrony danych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO). 

Aby zaistniało naruszenie muszą być spełnione łącznie trzy przesłanki:

• naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
• skutkiem naruszenia musi być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
• naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.

Jednocześnie jak wskazuje Grupa Robocza Art. 29 można wyróżnić trzy typy naruszenia ochrony danych osobowych:

• naruszenie poufności – polega na ujawnieniu danych osobowych nieuprawnionej osobie;

• naruszenie dostępności – polega na trwałej utracie lub zniszczeniu danych osobowych;

• naruszenie integralności – polega na zmianie treści danych osobowych w sposób nieautoryzowany.

Ogólne rozporządzenie o ochronie danych, inaczej rozporządzenie o ochronie danych osobowych, RODO (ang. General Data Protection Regulation, GDPR) – rozporządzenie unijne, zawierające przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.

Źródło: wikipedia.pl

W dniu 14 czerwca 1985 r. pięć Państw Członkowskich Unii Europejskiej: Belgia, Holandia, Luksemburg, Niemcy oraz Francja podpisały umowę o stopniowym znoszeniu kontroli na granicach wewnętrznych znaną jako Układ z Schengen (O.JL.2000.239.13) mający urzeczywistnić zasadę swobodnego przepływu osób. W kolejnych latach do Układu z Schengen przystępowały kolejne Państwa Członkowskie Unii Europejskiej za wyjątkiem Irlandii i Zjednoczonego Królestwa. Do układu przystąpiły również dwa kraje nienależące do Unii Europejskiej: Islandia i Norwegia. 

Dnia 19 czerwca 1990 r. podpisana została Konwencja Wykonawcza do Układu z Schengen, która dając podstawę prawną do stworzenia Systemu Informacyjnego Schengen umożliwiła w praktyce zrealizowanie postulatu swobody przepływu osób tworząc Obszar Schengen. Krąg państw będących stronami Konwencji Wykonawczej do Układu z Schengen z biegiem czasu rozszerzał się, aby ostatecznie wszystkie państwa będące stronami Układu z Schengen stały się stronami tej Konwencji. 

System Informacyjny Schengen (zwany również SIS) ustanowiony został jako narzędzie rekompensujące zniesienie kontroli na granicach pomiędzy państwami Obszaru Schengen. Jego istota polega na zapewnieniu, aby każde z państw będących stroną Konwencji Wykonawczej do Układu z Schengen posiadało ten sam zestaw informacji pozwalający na dostęp, przy pomocy zautomatyzowanych środków wyszukiwania, do wpisów dotyczących osób i przedmiotów w celu kontroli granicznej oraz innych kontroli policyjnych i celnych prowadzonych w ramach danego kraju oraz w celu wydawania wiz, dokumentów pobytowych i wykonywania przepisów prawnych o cudzoziemcach w kontekście stosowania Konwencji Wykonawczej do Układu z Schengen. Powyższy wymóg zapewniony został przez przyjęcie szczególnej struktury systemu polegającej na utworzeniu jednostki centralnej systemu (C-SIS) oraz modułów krajowych (N-SIS) działających w każdym państwie będącym stroną Konwencji Wykonawczej.

W związku ze stworzeniem Systemu Informacyjnego Schengen drugiej generacji (SIS II) zmieniony zostały podstawy działania sytemu na:

• Rozporządzenie (WE) nr 1987/2006 Parlamentu Europejskiego i Rady z dnia 20 grudnia 2006 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen drugiej generacji (SIS II), który reguluje zasady wprowwadzania i dokonywania sprawdzeń przez służby graniczne i organy wizowe wpisów do celów odmowy pozwolenia na wjazd lub pobyt na terytorium UE;
• Decyzja Rady 2007/533/WSiSW z dnia 12 czerwca 2007 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen drugiej generacji (SIS II), która reguluje zasady wprowadzania i dokonywania sprawdzeń przez organy policyjne i celne wpisów dotyczących osób poszukiwanych do zatrzymania, osób zaginionych oraz przedmiotych powiązanych z popełnionymi czynami zabronionymi.

Więcej informacji o Systemie Informacyjnym Schengen można znaleźć na stronie internetowej Europejskiego Inspektora Ochrony Danych Osobowych, w zakładce dotyczącej Grupy koordynującej nadzór nad SIS II: https://secure.edps.europa.eu/EDPSWEB/edps/site/mySite/CSIS oraz stronie Komisji Europejskiej http://ec.europa.eu/dgs/home-affairs/what-we-do/policies/borders-and-visas/schengen-information-system/index_en.htm. Informacje te dostępne są w języku angielskim.

Źródło: uodo.gov.pl

UODO  to skrót od Urzędu Ochrony Danych Osobowych.

Prezes Urzędu Ochrony Danych Osobowych – organ właściwy do spraw ochrony danych osobowych na terytorium Polski, utworzony ustawą z 10 maja 2018 roku o ochronie danych osobowych. Jest również organem nadzorczym w rozumieniu ogólnego rozporządzenia o ochronie danych (RODO).

Prezes Urzędu jest prawnym kontynuatorem Generalnego Inspektora Ochrony Danych Osobowych. Zachował jego majątek, wierzytelności oraz przejął wszczęte przez niego postępowania.

Źródło: wikipedia.pl

Jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych nie zawiadomił abonenta lub użytkownika końcowego będącego osobą fizyczną o fakcie naruszenia danych osobowych, Prezes UODO może nałożyć, w drodze decyzji, na dostawcę obowiązek przekazania abonentom lub użytkownikom końcowym będącym osobami fizycznymi takiego zawiadomienia, biorąc pod uwagę możliwe niekorzystne skutki naruszenia.

Niedopuszczalne jest powołanie na IOD osoby będącej kierownikiem (zarządzającym) podmiotem posiadającym status administratora lub podmiotu przetwarzającego, takich jak np. członka zarządu stowarzyszenia, dyrektora szkoły, wójta, członka zarządu spółki. Przyjęcie odmiennego stanowiska prowadziłoby do sytuacji, w których IOD w zakresie przestrzegania przepisów o ochronie danych osobowych - oceniałby i monitorował samego siebie.

Zgodnie z art. 38 ust. 3 RODO, IOD ma podlegać bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego, nie zaś być członkiem organu zarządzającego tym podmiotem.

RODO nie określa wprost, jak należy udokumentować organizację przetwarzania i zarządzanie bezpieczeństwem przetwarzanych danych, w tym instrukcji zarządzania systemami informatycznymi. Wymaga jednak, aby zastosowane środki bezpie­czeństwa i wszystkie podejmowane w tym zakresie działania można było wykazać. Jak stanowi art. 24 RODO, wykazując zgodność przetwarzania z obowiązującymi wymaganiami należy uwzględnić:

1. charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
3. Stosowanie zatwierdzonych kodeksów postępowania, o których mowa w art. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

Ponadto obowiązek prowadzenia dokumentacji przetwarzania danych wynika pośrednio również z art. 32 RODO dotyczącego bezpieczeństwa przetwarzania, który stanowi, że: „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…).”

Biorąc zaś pod uwagę fakt, że jednym z najważniejszych, powszechnie akceptowanych dokumentów prezentujących aktualny stan wiedzy technicznej w zakresie stosowania środków bezpieczeństwa i zarządzania bezpieczeństwem są m.in. normy ISO/IEC z serii 27000, w tym: norma PN-EN ISO/IEC 27001:2017 Technologia informacyjna - Techniki zabezpieczeń, oraz norma PN-EN ISO/IEC 27002:2017 Technika informatyczna - Technika bezpieczeństwa - Praktyczne zasady zabezpieczania informacji, warto zaznaczyć, że wyraźnie podkreśla się w nich fakt, że polityka bezpieczeństwa informacji powinna być: dostępna w formie udokumentowanej informacji, ogłoszona wewnątrz organizacji oraz dostępna dla zainteresowanych stron, jeśli jest to właściwe.

Jeśli chodzi o zawartość dokumentacji przetwarzania, to należy mieć na uwadze zawarte m.in. w art. 24 i 32 RODO wymaganie wskazujące, że opracowana polityka bezpieczeństwa powinna uwzględniać zakres, kontekst i cele przetwarzania oraz ryzyka naruszenia praw i wolności, w tym prawdopodobieństwo ich wystąpienia. Odwołując się w powyższym zakresie do aktualnego stanu wiedzy, można się posłużyć z kolei normą PN-EN ISO/IEC 27002:2017, która zaleca w tym zakresie uwzględnić takie elementy, jak:

• zarządzanie aktywami (przetwarzanymi zbiorami danych),
• kontrole dostępu (rejestrowanie i wyrejestrowywanie użytkowników, zarządzanie hasłami, użycie uprzywilejowanych programów narzędziowych),
• środki ochrony kryptograficznej (polityka stosowania zabezpieczeń, zarządzanie kluczami),
• bezpieczeństwo fizyczne i środowiskowe oraz bezpieczeństwo eksploatacji (zarządzanie zmianami, zarządzanie pojemnością, zapewnienie ciągłości działania, rejestrowanie zdarzeń i monitorowanie),
• bezpieczeństwo komunikacji (zabezpieczenie, rozdzielenie sieci),
• pozyskiwanie, rozwój i utrzymywanie systemów,
• relacje z dostawcami (umowy, w tym umowy powierzenia przetwarzania),
• zarządzanie incydentami związanymi z bezpieczeństwem informacji,
• zarządzanie ciągłością działania,
• zgodność z wymaganiami prawnymi i umownymi.

Część z wymienionych wyżej elementów zgodnie z obowiązującymi dotychczas wymaganiami powinna być zawarta w prowadzonej dotychczas instrukcji zarządzania systemami informatycznymi. Tak więc elementy te również można wykorzystać dla wykazania w nowej dokumentacji zgodności, o której mowa art. 24 RODO.

Źródło: uodo.gov.pl

Administratorzy nie zawsze będą dysponować wszystkimi wymaganymi informacjami dotyczącymi naruszenia w ciągu 72 godzin od jego stwierdzenia. W związku z tym, zgodnie z art. 33 ust. 4 RODO, administrator może udzielać informacji sukcesywnie. W takim przypadku administrator powinien przekazać brakujące informacje, jak tylko wejdzie w ich posiadanie. Zawiadamianie „sukcesywne” jest dopuszczalne pod warunkiem, że administrator poda organowi nadzorczemu przyczyny opóźnienia.

Źródło: uodo.gov.pl

Dostawca publicznie dostępnych usług telekomunikacyjnych prowadzi rejestr naruszeń danych osobowych, w tym faktów towarzyszących naruszeniom, ich skutków i podjętych działań. Rejestr ten powinien obejmować następujące elementy:

1. opis charakteru naruszeń danych osobowych;
2. informacje o zaleconych przez dostawcę usług środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków naruszeń danych osobowych;
3. informacje o działaniach podjętych przez dostawcę usług telekomunikacyjnych;
4. informacje o fakcie poinformowania lub braku poinformowania abonenta o wystąpieniu naruszenia danych osobowych;
5. opis skutków naruszenia danych osobowych;
6. opis zaproponowanych przez „dostawcę" środków naprawczych.

Obecnie prowadzona dokumentacja, na którą składają się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, z powodzeniem może być wykorzystana w celu stworzenia dokumentacji, której celem będzie wykazanie zgodności realizowanych procesów przetwarzania z wymaganiami RODO. Obowiązek wykazania przestrzegania stosowania przepisów RODO wynikający z art. 24 RODO nie określa bowiem w jaki sposób, poprzez jakie dokumenty, czy inne instrumenty zarządzania powinien być zrealizowany. Przepis art. 24 RODO stanowi jedynie, że administrator ma wykazać, że wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Opracowana w powyższy sposób dokumentacja, powinna zatem opisywać zastosowane w powyższym celu procedury i środki techniczne.

Jeśli zatem prowadzona wg. dotychczas obowiązujących wymagań dokumentacja zawierała wymagane elementy, takie jak inwentaryzacja zasobów informacyjnych, opis przepływy danych między systemami czy specyfikacje środków organizacyjnych i technicznych zastosowanych do ochrony przetwarzanych danych, czego wymagała polityka bezpieczeństwa to w pełni można je przenieść do nowej dokumentacji.

Nie ma również przeszkód, aby do problemu nowej dokumentacji, która będzie spełniała nowe wymagania, o których mowa wyżej podejść w sposób odwrotny, t.j uzupełnić dotychczas stosowaną dokumentacje o nowe elementy wymienione w rozdziale 1 takie jak:

1. rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
2. procedury dotyczące zgłaszanie naruszeń ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
3. procedury dotyczące prowadzenia wewnętrznego rejestru naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
4. raporty dokumentujące wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.

• jeśli zgodnie z przepisami RODO są wymagane (dotyczy punktu 4).

Należy dodatkowo pamiętać, że dokumentując przyjęte procedury i wymagania dotyczące przetwarzania danych osobowych, zgodnie z art. 32 ust 1 RODO, powinniśmy mieć na uwadze, aby przyjęte rozwiązania były adekwatne do obecnego stanu wiedzy technicznej. Dotyczy to nie tylko wiedzy technicznej w zakresie dostępnych środków bezpieczeństwa, ale również wiedzy w zakresie systemów zarządzania bezpieczeństwem, do którego należą takie elementy jak standardy w zakresie zarzadzania, dokumentowania zmian, konfiguracji i innych elementów, które powinny być zawarte w dokumentacji przetwarzania.

Należy przy tym pamiętać również o innych obowiązujących wymaganiach prawnych nadal obowiązujących takich jak wymagania określone w takich przepisach jak:

• ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jednolity Dz. U. z 2014 r. poz. 1114) oraz wydane do niej
• rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (tekst jednolity Dz. U. z 2016 r. poz. 113), nazywanym w skrócie Rozporządzeniem KRI.

W wyżej wymienionych dokumentach, w kontekście dokumentacji przetwarzania warto zwrócić uwagę w szczególności na § 20ust. 1 KRI, który stanowi, że:

„Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność”.

W odniesieniu natomiast do działań jakie chcemy wykazać w kontekście wykazania dbałości o bezpieczeństwo przetwarzanych danych, warto skorzystać z zaleceń wymienionych w § 20 ust 2 rozporządzenia KRI odnoszących się do zarządzania bezpieczeństwem, które stanowi, że powinno to być zapewniane poprzez:

1. zapewnienie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
2. utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
3. przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
4. podejmowanie działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;
5. bezzwłoczna zmiana uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4;
6. zapewnienie szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
   1. zagrożenia bezpieczeństwa informacji,
   2. skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
   3. stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;
7. zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
   1. monitorowanie dostępu do informacji,
   2. czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
   3. zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;
8. ustanowienie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
9. zabezpieczenie informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;
10. zawieranie w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;
11. ustalenie zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;
12. zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
    1. dbałości o aktualizację oprogramowania,
    2. minimalizowaniu ryzyka utraty informacji w wyniku awarii,
    3. ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
    4. stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
    5. zapewnieniu bezpieczeństwa plików systemowych,
    6. redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
    7. niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
    8. kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;
13. bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących;
14. zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Źródło: uodo.gov.pl

Funkcja inspektora ochrony danych osobowych może być w Polsce pełniona przez obcokrajowca. Należy jednak podkreślić, iż jednym z ważnych zadań IOD jest pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą (art. 38 ust. 4 RODO) oraz dla organu nadzorczego (art. 39 ust. 1 lit. e RODO). Grupa Robocza art. 29 ds. ochrony danych w Wytycznych dotyczących inspektorów ochrony danych (str. 11) wskazuje, że IOD „powinien mieć możliwość sprawnego komunikowania się z osobami, których dane dotyczą i współpracy z właściwymi organem nadzorczym. Oznacza to również, że komunikacja musi odbywać się w języku lub językach używanych przez organy nadzorcze i osoby, których dane dotyczą.”

W konsekwencji należy uznać, że administrator zobowiązany jest zapewnić sprawną i efektywną komunikacją pomiędzy IOD a organem nadzorczym oraz osobami, których dane dotyczą, w języku polskim. 

Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów. Możliwe będzie więc nadal pełnienie funkcji inspektora ochrony danych w modelu outsourcingu, na podstawie umowy o świadczenie usług. Podkreślenia wymaga jednak, że osoba wykonująca funkcję IOD na podstawie umowy o świadczenie usług musi spełniać wszystkie wymogi stawiane przez przepisy RODO, np. wymogi dotyczące unikania konfliktu interesów, gwarancji niezależności, łatwości nawiązania z nim kontaktu, właściwego i terminowego włączania go we wszystkie sprawy dotyczące ochrony danych osobowych.

Podkreślenia wymaga fakt, iż konieczne będzie zawiadomienie organu nadzorczego przez każdego z administratorów/podmiotów przetwarzających o wyznaczeniu konkretnej osoby oraz jak wynika z art. 10 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, podania następujących informacji tj.: imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora.

Wymogi stawiane inspektorom ochrony danych przez przepisy RODO są podobne do tych stawianych wcześniej ABI, ale nie są identyczne. Zgodnie z art. 36a ust. 5 pkt 2 ustawy o ochronie danych osobowych, osoba powoływana na stanowisko ABI powinna była posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych. RODO zaś w art. 37 ust. 5 stanowi, iż inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 ogólnego rozporządzenia.

Wymagany od inspektora poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale zgodnie z Wytycznymi Grupy Roboczej Art. 29 dotyczącymi inspektorów ochrony danych (WP 243) musi być on współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Wyższy poziom wiedzy powinien być wymagany np. w przypadku wyjątkowo skomplikowanych procesów przetwarzania, przetwarzania dużej ilości danych szczególnych kategorii, podmiotów regularnie przekazujących dane do państw trzecich.

Inspektor ochrony danych powinien mieć odpowiednią wiedzę z zakresu krajowych, europejskich oraz sektorowych przepisów i praktyk w zakresie ochrony danych osobowych, a także dogłębną znajomość RODO. Jednocześnie powinien posiadać odpowiednią wiedzę na temat: procesów przetwarzania, systemów informatycznych oraz zabezpieczeń stosowanych u administratora, sektora w którym działa administrator, procedur administracyjnych i funkcjonowania jednostki.

Ocena umiejętności wykonywania zadań wymaga uwzględnienia charakteru i zakresu zadań inspektora, spośród których kilka stanowi nowość w stosunku do wymogów stawianych ABI. Zgodnie z przepisami RODO, inspektor będzie miał m.in. obowiązek identyfikowania poszczególnych obowiązków ciążących na mocy RODO na administratorze (w tym kierownictwie i wszystkich osobach przetwarzających dane) oraz podmiocie przetwarzającym (w tym kierownictwie i wszystkich osobach przetwarzających dane osobowe), informowania o nich oraz doradzania w zakresie tych obowiązków. Specjalnego merytorycznego przygotowania wymagać będzie udzielanie administratorowi i podmiotowi przetwarzającemu zaleceń co do oceny skutków dla ochrony danych (więcej na temat roli inspektora w ocenie skutków dla ochrony danych w Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243) oraz w Wytycznych Grupy Roboczej Art. 29 dotyczących oceny skutków dla ochrony danych). Nowym, ważnym zadaniem będzie obowiązek pełnienia roli punktu kontaktowego dla organu nadzorczego i punktu kontaktowego dla osób, których dane dotyczą (art. 38 ust. 4 RODO).

Grupa Robocza Art. 29 w Wytycznych dotyczących inspektorów ochrony danych w odniesieniu do umiejętności wykonywania zadań inspektora wskazuje, że priorytetem dla niego powinno być zapewnienie przestrzegania rozporządzenia. DPO ma zatem odgrywać kluczową rolę w zakresie wspierania „kultury ochrony danych” oraz pomagać w implementacji niezbędnych elementów RODO, w tym zwłaszcza nowych obowiązków tj., np. ochrony danych w fazie projektowania oraz domyślnej ochrony danych, rejestru czynności przetwarzania, zgłaszania naruszeń.

Znaczenie fachowej wiedzy w zakresie prawa i praktyk zostało dodatkowo podkreślone przez zobowiązanie administratorów danych i podmiotów przetwarzających do zapewnienia inspektorowi ochrony danych zasobów niezbędnych do utrzymania wysokiego i aktualnego poziomu wiedzy (art. 38 ust. 2 RODO). Mimo iż ogólne rozporządzenie o ochronie danych bardzo mocno akcentuje wymóg wiedzy i fachowości DPO, nie reguluje zasad czy trybu weryfikacji spełnienia tego wymogu. Niemniej certyfikaty, dyplomy oraz inne dokumenty poświadczające wiedzę i doświadczenie inspektora niewątpliwie w większości przypadków będą ważnym kryterium kwalifikacyjnym i argumentem przemawiającym na korzyść osoby wyznaczanej do pełnienia tej funkcji.

Źródło: uodo.gov.pl

Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów (outsourcing).

Źródło: uodo.gov.pl

Zgodnie z art. 38 ust. 6 RODO IOD może wykonywać inne zadania i obowiązki przy czym administrator lub podmiot przetwarzający powinni zapewnić, by takie zadania i obowiązki nie powodowały konfliktu interesów. Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. Oznacza to, że IOD nie może zajmować w organizacji stanowiska, na którym określa się sposoby i cele przetwarzania danych. W Wytycznych Grupy Roboczej Art. 29 dotyczące inspektorów ochrony danych (DPO) wskazane zostały przykłady takich stanowisk. Należą do nich: stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli sprawujące je osoby biorą udział w określaniu celów i sposobów przetwarzania danych (Wytyczne Grupy Roboczej art. 29).

Powołanie na IOD kierownika komórki w organizacji, np. dyrektora departamentu IT, który jako kierownik decydowałby o sposobach zabezpieczeń systemów informatycznych, projektowałby systemy służące przetwarzaniu danych osobowych, bądź dyrektora działu kadr, który decydowałby np. jakie dane są zbierane od potencjalnych kandydatów do pracy, a z drugiej strony – jako IOD badałby zgodność przetwarzania danych z przepisami o ochronie danych osobowych spowoduje, że osoba taka będzie sama kontrolowała procesy przetwarzania danych, o których jako kierownik danej komórki będzie jednocześnie decydować. Warto zaznaczyć, że nawet jeśli osoba ta osobiście nie tworzyłaby wskazanych systemów, ale np. projektowałby je pracownik danej komórki, to fakt ten byłby bez znaczenia, ponieważ to kierownik odpowiada za całość działań komórki, w tym podległych mu pracowników.

Ponadto administrator, rozważając wyznaczenie na IOD kierownika komórki w organizacji, powinien uwzględnić, co najmniej trzy kryteria:

• organizacyjne (IOD powinien podlegać bezpośrednio najwyższemu kierownictwu jednostki organizacyjnej),
• merytoryczne (inne obowiązki nie powinny negatywnie wpływać na niezależne wykonywanie zadań IOD),
• czasowe (IOD powinien dysponować czasem wystarczającym do wykonywania swoich zadań, przy uwzględnieniu m.in. liczby obowiązków czy stopnia ich skomplikowania).

Uwzględnienie kryterium czasowego powinno obejmować analizę, czy IOD pełniący jednocześnie inną funkcję, będzie w stanie wykonywać swoje obowiązki we właściwy sposób, biorąc pod uwagę w szczególności stopień skomplikowania i liczbę innych zadań. IOD powinien dysponować czasem pozwalającym mu na prawidłowe realizowanie wszystkich zadań.

Reasumując, jednoczesne pełnienie funkcji IOD i funkcji kierownika komórki w organizacji nie jest w RODO wprost zakazane, lecz nieprzeprowadzenie analizy w tym zakresie przez administratora oraz nieuwzględnienie wskazanych kryteriów może w konsekwencji spowodować naruszenie przepisów o ochronie danych osobowych.

Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów (outsourcing).

RODO nie zakazuje wprost łączenia obu tych funkcji. W każdym konkretnym przypadku konieczne jest jednak dokonanie rzetelnej oceny pod kątem spełnienia wszystkich warunków gwarantujących IOD niezależne i prawidłowe wykonywanie swoich zadań.

Po pierwsze, powyższe rozwiązanie nie może wpływać na prawidłowe umiejscowienie IOD w strukturze administratora i wykonywanie jego zadań w sposób niezależny. W zakresie zapewniania przestrzegania przepisów o ochronie danych osobowych, IOD nie może podlegać ani otrzymywać poleceń od jakichkolwiek innych osób niż kierownika jednostki organizacyjnej lub osoby fizycznej będącej administratorem. Analogiczny wymóg dotyczy pełnomocnika ds. ochrony informacji niejawnych, który zgodnie z art. 14 ust. 2 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, powinien podlegać bezpośrednio kierownikowi jednostki organizacyjnej, w której wykonuje swoje obowiązki.

Po drugie, łączenie tych funkcji nie może prowadzić do konfliktu interesów (art. 38 ust 6 RODO). Wystąpienie sprzecznych priorytetów skutkować mogłoby zaniedbaniem obowiązków pełnionych przez IOD. W każdej konkretnej sytuacji należy zatem starannie przeanalizować (podobnie zresztą jak w przypadku łączenia funkcji IOD z jakimikolwiek innymi zadaniami), czy IOD jest w stanie wykonywać swoje zadania w sposób prawidłowy przy pełnieniu obu funkcji jednocześnie. Należy zatem przemyśleć ilość czasu potrzebnego na wykonywanie poszczególnych obowiązków (w tym na współpracę z innymi służbami kontrolnymi), stopień skomplikowania i ważności zadań, rezerwę czasową na nieplanowane zadania, ilość i rodzaj danych osobowych oraz procesów i systemów informatycznych służących do ich przetwarzania, obszary ryzyka, związane z tymi procesami. Pod rozwagę należy brać również wiele innych czynników, takich jak np. struktura, wielkość i zasoby kadrowe danego podmiotu (w tym również pod kątem obowiązku prowadzenia szkoleń personelu). W szczególności, w przypadku IOD zatrudnionego w niepełnym wymiarze czasu pracy, albo łączącego obowiązki IOD z innymi zadaniami, priorytetem powinno być zapewnienie IOD odpowiedniej ilości czasu na wykonywanie powierzonych zadań.

Zdaniem Grupy Roboczej art. 29 dobrą praktyką byłoby wskazanie czasu, który należy poświęcić na obowiązki IOD. Takiego samego uwzględnienia i analizy wymagają obowiązki związane z pełnieniem funkcji pełnomocnika do spraw informacji niejawnych. Starannie należy rozważyć ilość informacji niejawnych oraz ich rodzaj, a także czas i możliwości wykonywania wszystkich zadań określonych w art. 15 ustawy o ochronie informacji niejawnych, do których należy m.in. zapewnienie ochrony informacji niejawnych, w tym stosowanie środków bezpieczeństwa fizycznego, zapewnienie ochrony systemów teleinformatycznych, w których są przetwarzane informacje niejawne, zarządzanie ryzykiem bezpieczeństwa, w szczególności szacowanie ryzyka, kontrola ochrony informacji niejawnych oraz przestrzegania przepisów o ochronie tych informacji.

W świetle art. 38 ust. 2 RODO administrator oraz podmiot przetwarzający zapewniają inspektorowi zasoby niezbędne do wykonywania zadań wskazanych w art. 39 RODO oraz zasoby niezbędne do utrzymania jego fachowej wiedzy. Obowiązek ten oznacza, że IOD powinien posiadać takie środki organizacyjne, techniczne, technologiczne oraz finansowe, aby móc efektywnie realizować ciążące na nim obowiązki związane z pełnioną funkcją.

Ustawa o ochronie informacji niejawnych przewiduje natomiast w art. 15 ust. 2, że pełnomocnik ds. informacji niejawnych realizuje swoje zadania przy pomocy wyodrębnionej i podległej mu komórki organizacyjnej do spraw ochrony informacji niejawnych, jeżeli jest ona utworzona w jednostce organizacyjnej. Komórką taką może być też kancelaria tajna zgodnie z art. 42 ust. 4 ustawy o ochronie informacji niejawnych. W przypadku utworzenia takiej komórki, pełnomocnik ds. informacji niejawnych może dysponować pomocą i wsparciem pracowników „pionu ochrony” przy realizacji swoich zadań w związku z pełnioną funkcją, co w konkretnych, uzasadnionych przypadkach może pozytywnie wpłynąć na ocenę możliwości łączenia obu omawianych funkcji. IOD również może być wspierany przez zespół IOD.

Warto zaznaczyć, że zadania IOD dotyczą wszystkich danych osobowych przetwarzanych przez administratora, natomiast zadania pełnomocnika ds. informacji niejawnych koncentrują się na szczególnej kategorii informacji, jakimi są informacje niejawne. Niemniej zadania przypisywane obu funkcjom wykazują pewne podobieństwa, a wiedza i doświadczenie potrzebne do pełnienia jednej z tych funkcji mogą być pomocne w pełnieniu drugiej.

Wymogi stawiane inspektorom ochrony danych przez przepisy RODO są podobne do tych stawianych wcześniej ABI, ale nie są identyczne. Zgodnie z art. 36a ust. 5 pkt 2 ustawy o ochronie danych osobowych, osoba powoływana na stanowisko ABI powinna była posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych. RODO zaś w art. 37 ust. 5 stanowi, iż inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 ogólnego rozporządzenia.

Wymagany od inspektora poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale zgodnie z Wytycznymi Grupy Roboczej Art. 29 dotyczącymi inspektorów ochrony danych (WP 243) musi być on współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Wyższy poziom wiedzy powinien być wymagany np. w przypadku wyjątkowo skomplikowanych procesów przetwarzania, przetwarzania dużej ilości danych szczególnych kategorii, podmiotów regularnie przekazujących dane do państw trzecich.

Inspektor ochrony danych powinien mieć odpowiednią wiedzę z zakresu krajowych, europejskich oraz sektorowych przepisów i praktyk w zakresie ochrony danych osobowych, a także dogłębną znajomość RODO. Jednocześnie powinien posiadać odpowiednią wiedzę na temat: procesów przetwarzania, systemów informatycznych oraz zabezpieczeń stosowanych u administratora, sektora w którym działa administrator, procedur administracyjnych i funkcjonowania jednostki.

Ocena umiejętności wykonywania zadań wymaga uwzględnienia charakteru i zakresu zadań inspektora, spośród których kilka stanowi nowość w stosunku do wymogów stawianych ABI. Zgodnie z przepisami RODO, inspektor będzie miał m.in. obowiązek identyfikowania poszczególnych obowiązków ciążących na mocy RODO na administratorze (w tym kierownictwie i wszystkich osobach przetwarzających dane) oraz podmiocie przetwarzającym (w tym kierownictwie i wszystkich osobach przetwarzających dane osobowe), informowania o nich oraz doradzania w zakresie tych obowiązków. Specjalnego merytorycznego przygotowania wymagać będzie udzielanie administratorowi i podmiotowi przetwarzającemu zaleceń co do oceny skutków dla ochrony danych (więcej na temat roli inspektora w ocenie skutków dla ochrony danych w Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243) oraz w Wytycznych Grupy Roboczej Art. 29 dotyczących oceny skutków dla ochrony danych). Nowym, ważnym zadaniem będzie obowiązek pełnienia roli punktu kontaktowego dla organu nadzorczego i punktu kontaktowego dla osób, których dane dotyczą (art. 38 ust. 4 RODO).

Grupa Robocza Art. 29 w Wytycznych dotyczących inspektorów ochrony danych w odniesieniu do umiejętności wykonywania zadań inspektora wskazuje, że priorytetem dla niego powinno być zapewnienie przestrzegania rozporządzenia. DPO ma zatem odgrywać kluczową rolę w zakresie wspierania „kultury ochrony danych” oraz pomagać w implementacji niezbędnych elementów RODO, w tym zwłaszcza nowych obowiązków tj., np. ochrony danych w fazie projektowania oraz domyślnej ochrony danych, rejestru czynności przetwarzania, zgłaszania naruszeń.

Znaczenie fachowej wiedzy w zakresie prawa i praktyk zostało dodatkowo podkreślone przez zobowiązanie administratorów danych i podmiotów przetwarzających do zapewnienia inspektorowi ochrony danych zasobów niezbędnych do utrzymania wysokiego i aktualnego poziomu wiedzy (art. 38 ust. 2 RODO). Mimo iż ogólne rozporządzenie o ochronie danych bardzo mocno akcentuje wymóg wiedzy i fachowości DPO, nie reguluje zasad czy trybu weryfikacji spełnienia tego wymogu. Niemniej certyfikaty, dyplomy oraz inne dokumenty poświadczające wiedzę i doświadczenie inspektora niewątpliwie w większości przypadków będą ważnym kryterium kwalifikacyjnym i argumentem przemawiającym na korzyść osoby wyznaczanej do pełnienia tej funkcji.

Zawiadomienie może zostać dokonane przez pełnomocnika administratora/podmiotu przetwarzającego (art. 10 ust. 2 ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000)

Tak. Pamiętaj, że masz możliwość samodzielnego zarządzania plikami „cookies”. Umożliwiają to np. przeglądarki internetowe, z których korzystasz.

Źródło: wszystkoociasteczkach.pl

W większości przypadków zakres obowiązków związanych z pełnieniem funkcji ASI jest uregulowany jedynie w sferze wewnętrznej danego administratora, np. w polityce bezpieczeństwa lub wynika z zakresu obowiązków pracownika bądź z umowy o świadczenie usług zawartej z osobą spoza określonej organizacji. Zdarza się, że zadania ASI w odniesieniu do konkretnych systemów wskazane są w szczególnych przepisach prawa, np. art. 10 ust. 2 ustawy z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego; art. 2 pkt 2 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia. Pełnienie funkcji ASI jest najczęściej powierzane informatykowi lub kierownikowi działu IT, a do jego głównych zadań należy: administrowanie serwerami służącymi przetwarzaniu danych, wdrożenie zabezpieczeń systemów informatycznych, identyfikacja potencjalnych zagrożeń i podatności dla systemów informatycznych, wykrycia nieautoryzowanego dostępu do systemu, zachowanie ciągłości ich funkcjonowania, konfigurowanie kont użytkowników.  Z tego powodu, łączenie funkcji IOD i ASI w konkretnych przypadkach może być uznane za niezgodne z RODO. Oceny w tym zakresie należy dokonywać z punktu widzenia spełnienia wymogów, jakie w RODO wskazano w odniesieniu do IOD, w tym w szczególności jego niezależności, właściwego umiejscowienia w strukturze organizacyjnej administratora oraz realnej możliwości prawidłowego wykonywania wyznaczonych mu zadań. Z tej perspektywy konsolidacja funkcji IOD z funkcją ASI może powodować zagrożenia dla bezpieczeństwa przetwarzania danych osobowych. Osoba odpowiadająca za bieżące prowadzenie przetwarzania danych osobowych i bezpieczeństwo danych w systemach informatycznych będzie bowiem sprawować jednocześnie nadzór nad zgodnością z prawem wykonywanych przez siebie działań. Sytuacja taka powoduje zatem faktyczny brak nadzoru nad zgodnością przetwarzania danych z przepisami prawa, w tym przepisami określającymi wymogi co do bezpieczeństwa danych osobowych.

IOD nie może podlegać jakimkolwiek innym osobom niż najwyższe kierownictwo (art. 38 ust. 3 RODO), co ma mu gwarantować niezależne, prawidłowe i skuteczne wykonywanie funkcji. Najwyższym kierownictwem jednostki organizacyjnej - w zależności od jej rodzaju – może być osoba lub osoby (np. wchodzące w skład organu), które kierują jej pracami (np. ministrowie kierujący działami administracji rządowej, dyrektorzy szkół), prowadzą jej sprawy (np. zarząd spółki) albo podejmują zarobkową działalność (np. przedsiębiorcy jednoosobowi), działając jako administrator. W przypadku jednoczesnego pełnienia funkcji IOD i ASI wykluczone jest rozwiązanie, w którym osoba taka podlegałaby np. dyrektorowi ds. informatycznych, kierownikowi działu IT lub jakiejkolwiek innej osobie (np. dyrektorowi generalnemu urzędu publicznego), która nie jest najwyższym kierownictwem w rozumieniu art. 38 ust. 3 RODO.

Zgodnie z art. 38 ust. 6 RODO IOD może wykonywać inne zadania i obowiązki przy czym administrator lub podmiot przetwarzający powinni zapewnić, by takie zadania i obowiązki nie powodowały konfliktu interesów. RODO nie precyzuje w jakich sytuacjach będzie zachodził, wskazany w art. 38 ust. 6 RODO, konflikt interesów. Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. Oznacza to, że IOD nie może zajmować w organizacji stanowiska, na którym określa się sposoby i cele przetwarzania danych.

Za powodujące konflikt interesów uważane będą stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT) oraz niższe stanowiska, jeśli osoby je piastujące biorą udział w określaniu celów i sposobów przetwarzania danych.

Dlatego też ww. konflikt interesów może obejmować również stanowiska związane z bezpieczeństwem w organizacji, o ile z ich piastowaniem wiąże się decydowanie - w jakikolwiek sposób o sposobach i celach przetwarzania danych osobowych w organizacji.

Podsumowując, ocena czy w przypadku konkretnej osoby i wykonywanych przez nią zadań nie występuje konflikt interesów, powinna być dokonywana indywidualnie z uwzględnieniem konkretnych okoliczności. Oznacza to, że możliwość zaistnienia konfliktu powinna być stale monitorowana, ponieważ przyczyny zaistnienia takiego konfliktu mogą występować również w późniejszym czasie, po rozpoczęciu pełnienia funkcji przez IOD.

Przepisy o ochronie danych osobowych nie przewidują możliwości wyznaczenia więcej niż jednego IOD. Zarówno wewnątrz podmiotu będącego administratorem danych, jak  w relacjach zewnętrznych, dla wszystkich musi być jasne, kto pełni tę ważną funkcję i jest odpowiedzialny za monitorowanie zgodności przetwarzania danych osobowych z przepisami prawa. Innymi słowy: osoba ta powinna być wyraźnie wskazana przez kierownictwo jednostki zarówno wszystkim zatrudnionym przy przetwarzaniu danych osobowych, jak i - na zewnątrz organizacji - osobom, których dane dotyczą oraz organowi nadzorczemu. Dla osób, których dane dotyczą, oraz dla organu nadzorczego IOD jest punktem kontaktowym zgodnie z art. 38 ust 4 i art. 39 ust 1 lit. e RODO. Przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (art. 11) zobowiązują administratora i podmiot przetwarzający, którzy wyznaczyli IOD, by udostępnili imię i nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora na swojej stronie internetowej. Jeżeli administrator lub podmiot przetwarzający nie prowadzi własnej strony, udostępnia informacje o IOD w sposób ogólnie dostępny w miejscu prowadzenia działalności. Dane inspektora w powyższym zakresie muszą być przekazane również Prezesowi UODO (art. 10 tej ustawy).

Jeśli zgłoszenia o wyznaczeniu IOD dokonuje pełnomocnik, do zgłoszenia należy dołączyć podpisane pełnomocnictwo w formie elektronicznej oraz dowód dokonania opłaty skarbowej w postaci dokumentu wykonania zlecenia przelewu przez system bankowości elektronicznej lub w postaci skanu otrzymanego dowodu wpłaty (w przypadku wpłaty za pośrednictwem poczty lub w kasie urzędu).

Zgodnie z przepisami RODO (art. 37 ust. 1) obowiązek wyznaczenia IOD występuje gdy:

• przetwarzania dokonują organ lub podmiot publiczny,
• główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
• główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

Sposób sformułowania przepisu określającego obowiązek wyznaczenia inspektora jest mało precyzyjny, ale takie sformułowanie zostało użyte celowo, właśnie po to, aby administrator danych samodzielnie dokonywał analizy sytuacji i ocenił, czy taki obowiązek w jego przypadku istnieje.

Co więcej – w Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243) zaleca się, aby przeprowadzenie oceny w zakresie istnienia obowiązku wyznaczenia inspektora udokumentować, a nawet powtarzać taką ocenę w razie potrzeby, co jakiś czas. Sytuacja danego podmiotu może się bowiem zmieniać. Na przykład mała przychodnia może stopniowo rozszerzać swoją działalność, obejmując o nowe usługi i świadczenia i po jakimś czasie stać się dużym podmiotem przetwarzającym dane wrażliwe na dużą skalę.

W celu ułatwienia administratorowi dokonania oceny, czy jest zobowiązany do wyznaczenia IOD, Grupa Robocza Artykułu 29 w powołanych wyżej wytycznych zawarła wskazówki, jak należy rozumieć „główną działalność” czy „dużą skalę”, a także wiele praktycznych, konkretnych przykładów sytuacji spełniających te kryteria. Wskazówki oparte są na założeniu, że wraz z rozwojem praktyki ukształtują się standardy, które umożliwią bardziej szczegółowe i/lub kwantytatywne zidentyfikowanie „dużej skali” w odniesieniu do określonych rodzajów przetwarzania.

W Wytycznych zaznaczono, że w przypadku placówek medycznych główną działalnością jest wprawdzie zapewnianie opieki zdrowotnej, ale ta działalność nie byłaby możliwa bez przetwarzania danych w formie dokumentacji medycznej. Jako przykład „działalności głównej polegającej na przetwarzaniu na dużą skalę wrażliwych danych osobowych” jest tam podana działalność szpitali. Natomiast jako przykład przetwarzania nie mieszczący się w definicji dużej skali - zgodnie z motywem 91 RODO - należy wskazać przetwarzanie danych pacjentów przez pojedynczego lekarza lub innego pracownika służby zdrowia (pielęgniarkę, położną).

Warto dodać, że na podstawie tych samych przesłanek RODO przewiduje obowiązek wyznaczenia IOD przez tzw. podmioty przetwarzające, czyli podmioty, które przetwarzają dane osobowe na zlecenie placówek medycznych w związku ze specjalistycznymi usługami, jakie dla nich świadczą, na przykład przechowują dokumentację medyczną lub serwisują sprzęt informatyczny czy diagnostyczny.

Stosownie do art. 83 ust. 4 lit. a ogólnego rozporządzenia o ochronie danych osobowych (RODO), naruszenia obowiązków administratora i podmiotu przetwarzającego odnoszących się do inspektorów ochrony danych (art. 37–39 RODO) podlegają administracyjnej karze pieniężnej do 10 mln euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Warto sobie uświadomić, że karami administracyjnymi obwarowane są zatem obowiązki administratorów danych i podmiotów przetwarzających dotyczące nie tylko wyznaczania inspektora ochrony danych, posiadania przez niego właściwych kwalifikacji i gwarancji niezależności, ale też zapewnienia, aby wyznaczony inspektor prawidłowo mógł realizować swoje zadania.

Źródło: uodo.gov.pl

Tak, osoba działająca w imieniu administratora/podmiotu przetwarzającego, może do zawiadomienia o wyznaczeniu inspektora ochrony danych załączyć pełnomocnictwo, które będzie uwierzytelnione elektronicznie przez notariusza. W takim przypadku do zawiadomienia należy załączyć pełnomocnictwo poświadczone za zgodność przez notariusza i opatrzone jego kwalifikowanym podpisem elektronicznym (art. 97 § 2 ustawy z dnia 14 lutego 1991 r. Prawo o notariacie, t.j. Dz. U. z 2017 r. poz. 2291 z późn. zm.).

Tak. Opłatę skarbową w kwocie 17 zł uiszcza się w kasie Urzędu Dzielnicy Śródmieście, przy ul. Nowogrodzkiej 43 w Warszawie lub na konto Urzędu Dzielnicy Śródmieście m. st. Warszawy, ul. Nowogrodzka 43, 00 – 691 Warszawa,

Nr konta: 60 1030 1508 0000 0005 5001 0038

W tytule wpłaty, wraz z treścią – opłata skarbowa za pełnomocnictwo - należy zamieścić skrót UODO.

Tak, pełnomocnik ujawniony w CEIDG może dokonać zawiadomienia o wyznaczeniu inspektora ochrony danych. Taki pełnomocnik nie musi przesyłać pełnomocnictwa z uwagi na ww. wpis w CEIDG.

Centra Usług Wspólnych (CUW) są tworzone jako osobne podmioty, a domeną ich działań są najczęściej działania pomocnicze, wykonywane zarówno w odniesieniu do organów wykonawczych, jak i uchwałodawczych samorządu terytorialnego, jak również do obsługi poszczególnych jednostek organizacyjnych, między innymi urzędów, zakładów i jednostek budżetowych. Ostateczną decyzję, zarówno co do powołania samorządowego centrum usług wspólnych, jak i jego kształtu oraz zakresu realizowanych przez niego zadań, podejmuje organ stanowiący danej jednostki samorządu terytorialnego.

CUW nie jest administratorem danych przekazanych przez jednostki obsługiwane. Może je przetwarzać w zakresie i celu niezbędnym do wykonywania zadań w ramach wspólnej obsługi tych jednostek (zgodnie z art. 10d ustawy z dnia 8 marca 1990 r. o samorządzie gminnym, art. 6d ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym i art. 8f ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa). W zależności od różnych możliwych rozwiązań stosowanych przez konkretne samorządy, CUW może być natomiast administratorem danych np. swoich pracowników.

Na gruncie ogólnego rozporządzenia o ochronie danych obowiązek wyznaczenia inspektora ochrony danych w sektorze publicznym dotyczyć będzie wszystkich organów i podmiotów publicznych (art. 9 u.o.d.o.), zarówno tych będących administratorami danych, jak i podmiotami przetwarzającymi.

Niemniej nawet w sytuacji, gdyby miał być nim pracownik jednej z tych jednostek, np. pracownik CUW, konieczne jest osobne wyznaczenie IOD przez każdą z tych jednostek, np. każdą szkołę, dom kultury – jako osobnych administratorów. Zatem nawet jeżeli CUW świadczy obsługiwanym podmiotom usługi związane z szeroko rozumianą ochroną danych osobowych, nie jest uprawniony do wyznaczania inspektora ochrony danych w tych podmiotach. Obowiązek wyznaczania inspektora ochrony danych nie może być przeniesiony, np. w drodze uchwały czy porozumienia, na inną jednostkę organizacyjną, np. na CUW.

Każdy z podmiotów zobowiązanych do wyznaczenia inspektora ochrony danych (niezależnie, czy będzie to jedna, ta sama osoba, czy różne osoby) będzie również  zobowiązany - zgodnie z art. 37 ust. 7 RODO  - do opublikowania danych kontaktowych inspektora i zawiadomienia o nich organu nadzorczego. Tak jak obowiązek wyznaczenia inspektora, tak i obowiązek powiadomienia o danych kontaktowych dotyczy zatem każdej jednostki samorządu terytorialnego, o której mowa w art. 37 ust. 1 lit. a RODO.

Zgodnie z art. 37 ust. 3 RODO jednego inspektora będzie mogło powołać - przy uwzględnieniu ich struktury organizacyjnej i wielkości - kilku administratorów danych będących podmiotami publicznymi, np. publiczne placówki oświatowe, muzea. Podmioty takie, np. ze względu na realizowanie zadań publicznych w tym samym obszarze, mogą przyjmować podobne rozwiązania organizacyjne i korzystać z tych samych procedur.

Przepisy RODO nie zawierają wyrażonego wprost zakazu wyznaczania przez kilka podmiotów publicznych tej samej osoby na inspektora ochrony danych poza sytuacją wskazaną w art. 37 ust. 3. Skorzystanie z takiego rozwiązania wymaga dokonania starannej analizy, czy wyznaczona osoba będzie w stanie prawidłowo wypełniać wszystkie swoje obowiązki wobec każdego administratora danych.

Trzeba mieć przy tym świadomość, że wiele z obowiązków inspektorów przewidzianych w RODO wymaga stałego zaangażowania na rzecz administratora, który inspektora wyznaczył oraz tzw. „efektywnej dostępności” inspektora dla osób z danej organizacji. Do zadań IOD należy np. bieżące monitorowanie zgodności przetwarzania danych osobowych z przepisami prawa oraz udzielanie informacji i rad w zakresie obowiązków wynikających z tych przepisów. Zwłaszcza w pierwszych latach stosowania nowych przepisów inspektorzy będą odgrywać ważną rolę we wspieraniu „kultury ochrony danych” i pomagać w zrozumieniu i implementacji wszystkich elementów unijnego rozporządzenia, spośród których wiele jest w naszym systemie prawa nowością.

Trudno będzie również wykonywać równolegle w wielu podmiotach zadania w zakresie punktu kontaktowego dla osób, których dane dotyczą oraz punktu kontaktowego dla organu nadzorczego. Na mocy rozporządzenia każda osoba w każdej sprawie dotyczącej jej danych ma prawo kontaktować się z wyznaczonym dla danej organizacji inspektorem. Organ nadzorczy będzie natomiast mógł wymagać od inspektora gotowości do współpracy w związku z realizacją zadań i uprawnień organu w zakresie prowadzonych postępowań, a także tzw. „uprzednich konsultacji”.

Każda osoba pełniąca funkcję DPO musi unikać konfliktu interesów. Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. Zatem z pełnieniem funkcji inspektora wiążą się bardzo konkretne wymagania prawne i wymagań tych trzeba będzie sumiennie przestrzegać.

Źródło: uodo.gov.pl

Podobnie jak w przypadku każdego incydentu związanego z bezpieczeństwem, administrator powinien ustalić, czy naruszenie było wynikiem błędu ludzkiego lub problemu systemowego i zobaczyć w jaki sposób można zapobiec powtórce incydentu - czy to poprzez lepsze procesy, dalsze szkolenia lub inne kroki naprawcze. W celu sprawnej realizacji przez administratorów i podmioty przetwarzające obowiązków w zakresie naruszeń ochrony danych zalecane jest wdrożenie procedur. Ponadto procedura zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o naruszeniach podmiotów danych, powinna być elementem kodeksu postępowania, zgodnie z art. 40 ust. 2 lit. i RODO.

Źródło: UODO

Art. 37 ust. 2 RODO wyraźnie przewiduje możliwość powołania jednego inspektora ochrony danych przez administratorów tworzących grupę przedsiębiorstw, np. grupę kapitałową, o ile będzie można nawiązać z nim kontakt z każdej jednostki organizacyjnej. Grupa przedsiębiorstw została zdefiniowana w przepisach rozporządzenia jako przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane.

Prawodawca europejski w art. 37 ust. 2 RODO przyjął model niejako „wspólnego wyznaczenia inspektora ochrony danych” przez grupę przedsiębiorstw, ze względu na wzajemne powiązania tych przedsiębiorstw, wspólne regulacje wewnętrzne, podobne zasady i sposoby postępowania z danymi osobowymi.

Każde z przedsiębiorstw, wyznaczając na swojego inspektora tę samą osobę, będzie miało możliwość pozostawania jednocześnie w zgodzie nie tylko z warunkiem wskazanym w tym przepisie (łatwości nawiązania kontaktu z inspektorem), ale też ze wszystkimi innymi wymaganiami określonymi w przepisach prawa co do inspektorów ochrony danych. Co bardzo ważne - w takiej sytuacji możliwe będzie np. racjonalne i wspólne określenie zasad dotyczących zapewnienia takiemu inspektorowi wystarczającej ilości czasu na wypełnianie jego obowiązków, pomoc w stworzeniu planu jego pracy, a w razie potrzeby wsparcie jego funkcjonowania zespołem odpowiednich specjalistów. Inspektor obsługujący grupę podobnie funkcjonujących podmiotów ma możliwość rzetelnego poznania szczegółów ich funkcjonowania oraz obowiązujących je przepisów. Z powyższych powodów rozwiązanie przyjęte w art. 37 ust. 2 wydaje się racjonalne i uzasadnione, i można przypuszczać, że grupy przedsiębiorstw będą chciały z niego korzystać.

Regulacja przyjęta w tym przepisie nie oznacza jednak, że nie jest dopuszczalne wyznaczenie jednej osoby przez kilku administratorów danych poza wskazanym przypadkiem, czyli poza grupą przedsiębiorstw. Przepisy RODO nie zawierają bowiem zakazu w tym zakresie. W każdym przypadku skorzystania z takiego rozwiązania bezwzględnym warunkiem jest to, żeby ta osoba była w stanie autentycznie wypełniać swoje obowiązki wobec każdej obsługiwanej przez niego organizacji i to w sposób w pełni odpowiadający przepisom prawa i potrzebom konkretnego administratora danych (zobacz też odpowiedź na pytanie „Czy podmioty publiczne mogą powołać jednego IOD poza sytuacją uregulowaną w art. 37 ust. 2 RODO?”).

Źródło: uodo.gov.pl

Tak. Rozróżniamy trzy rodzaje cookies:

„Cookies” sesyjne – są to tymczasowe przechowywane w pamięci przeglądarki do momentu zakończenia sesji przeglądarki, czyli do momentu jej zamknięcia. Te cookie są obowiązkowe, aby niektóre aplikacje lub funkcjonalności działały poprawnie.

„Cookies” stałe – dzięki nim korzystanie z często odwiedzanych stron jest łatwiejsze (np. zapewniają optymalną nawigację, zapamiętują wybraną rozdzielczość, układ treści etc.). Te pliki pozostają pamięci przeglądarki przez dłuższy okres. Czas ten zależy od wyboru, którego można dokonać w ustawieniach przeglądarki.

„Cookies” podmiotów zewnętrznych – (ang. third parties cookies) – to pliki pochodzące np. z serwerów reklamowych, serwerów firm i dostawców usług (np. wyszukiwania albo map umieszczanych na stronie) współpracujących z właścicielem danej strony internetowej. Te pliki pozwalają dostosowywać reklamy – dzięki którym korzystanie ze stron internetowych może być bezpłatne – do preferencji i zwyczajów ich użytkowników. Pozwalają również ocenić skuteczność działań reklamowych (np. dzięki zliczaniu, ile osób kliknęło w daną reklamę i przeszło na stronę internetową reklamodawcy).

Źródło: wszystkoociasteczkach.pl

Nie, pliki „cookies” to małe kawałki tekstu. Nie są programami komputerowymi i nie mogą być wykorzystywane jako kody. Ponadto, nie mogą być także wykorzystywane do rozpowszechniania wirusów i każdy użytkownik ma możliwość samodzielnego zarządzania plikami „cookies”. Umożliwiają to np. przeglądarki internetowe, z których korzystamy.

Źródło: wszystkoociasteczkach.pl

W systemie Eurodac odnotowuje się odciski palców następujących kategorii osób, które mają co najmniej 14 lat życia:

1. cudzoziemców ubiegających się o azyl,
2. osób zatrzymanych przez właściwe organy kontrolne w związku z nielegalnym przekroczeniem granicy lądowej, morskiej lub powietrznej Państwa Członkowskiego przybywającej z terytorium państwa trzeciego i nie podlegających zawróceniu,
3. cudzoziemców nielegalnie przebywających na terytorium Państwa Członkowskiego, w celu sprawdzenia czy cudzoziemiec ten nie złożył wcześniej wniosku o udzielenie azylu w innym Państwie Członkowskim,

W systemie oznaczane są dodatkowo dane osób, którym jedno z państw członkowskich UE przyznało ochronę międzynarodową.

Rozporządzenie Eurodac ustanawia ponadto warunki, na jakich wyznaczone organy państw członkowskich oraz Europejski Urząd Policji (Europol) mogą występować z wnioskiem o porównanie danych daktyloskopijnych z danymi przechowywanymi w systemie centralnym na potrzeby ochrony porządku publicznego.

 Źródło: uodo.gov.pl

To niewielkie informacje nazywane ciasteczkami (z ang. cookie – ciastko), wysyłane przez serwis internetowy, który odwiedzamy i zapisywane na urządzeniu końcowym (komputerze, laptopie, smartfonie), z którego korzystamy podczas przeglądania stron internetowych.

Wszystkie działające w internecie serwisy – wyszukiwarki, strony informacyjne, newsowe, sklepy internetowe, strony urzędów państwowych i innych instytucji publicznych, mogą prawidłowo działać dzięki wykorzystaniu „cookies”.

Ciasteczka umożliwiają m.in. zapamiętanie naszych preferencji i personalizowanie stron internetowych w zakresie wyświetlanych treści oraz dopasowania reklam. Dzięki „cookies” możliwe jest też rejestrowanie produktów i usług czy głosowanie w internetowych ankietach.

Źródło: wszystkoociasteczkach.pl

Przyjęcie procedury pozyskiwania zgody na stosowanie  „cookies” wynika z przepisów znowelizowanej ustawy Prawa Telekomunikacyjnego, która weszła w życie 22 marca 2013 roku. Nowelizacja ta bazuje na ogólnych wytycznych Parlamentu Europejskiego, jednak poszczególne kraje Unii Europejskiej samodzielnie wypracowują przepisy szczegółowe. Podobna nowelizacja, jaka ma miejsce teraz w Polsce, nastąpiła już w innych krajach europejskich, jak Wielka Brytania czy Francja.

Źródło: wszystkoociasteczkach.pl

Ani przepisy rozporządzenia ogólnego, ani ich interpretacje wydawane np. przez Grupę Roboczą Art. 29 w postaci wytycznych, nie dają odpowiedzi na takie pytanie. Stosowanie tego rozwiązania będzie mogło jednak następować jedynie w uzasadnionych przypadkach, a liczba obsługiwanych podmiotów musi się mieścić w racjonalnych granicach. Ocena tej kwestii zależna jest od wielu czynników, w tym m.in. od: efektywnej dostępności inspektora, możliwości uzyskania przez niego szczegółowej wiedzy na temat funkcjonowania podmiotu, dysponowania przez niego odpowiednią do zakresu zadań i specyfiki procesów przetwarzania danych ilością czasu, konieczności unikania konfliktu interesów oraz wielkości i struktury organizacyjnej jednostki będącej administratorem danych. Na powyższe pytanie konkretnie będzie można zatem odpowiedzieć jedynie w kontekście konkretnych sytuacji. Niemniej tak jak każda decyzja dotycząca przyjmowanych rozwiązań w zakresie ochrony danych osobowych, również decyzja w zakresie wyboru odpowiedniej osoby do pełnienia funkcji inspektora, musi być podejmowana z pełną świadomością ciążącej na administratorze danych odpowiedzialności za prawidłowe przestrzeganie przepisów prawa.

Źródło: uodo.gov.pl

Rozporządzenie SIS II (art. 29) i Decyzja SIS II (art. 44) stanowią, że dane osobowe przetwarzane w celu wykrywania osób powinny być przechowywane jedynie przez okres konieczny do osiągnięcia celów, dla których zostały wprowadzone. Państwo członkowskie, które wprowadziło wpis, musi najdalej w ciągu 3 lat od dnia wprowadzenia danych ocenić ich dalszą przydatność. W przypadku nadzoru niejawnego osób prowadzonego na podstawie art. 36 decyzji SIS II okres ten został zawężony do roku od dnia wprowadzenia danych. Wskazać przy tym należy, że zarówno okres 3-letni, jak i roczny nie wyznaczają czasu dozwolonego przetwarzania danych, ale jedynie wprowadzają konieczność okresowej oceny niezbędności danych w stosunku do celu ich przetwarzania. Rzeczywisty czas przetwarzania danych w Systemie Informacyjnym Schengen może być zatem krótszy bądź dłuższy od terminu 3-letniego czy rocznego i uzależniony jest od tego czy udało się zrealizować cel, w jakim dane są przetwarzane w systemie.

Powyższe terminy okresowego badania dopuszczalności przetwarzania danych należy uznać za okresy maksymalne, gdyż w myśl art. 29 ust. 2 rozporządzenia SIS II i art. 44 ust. 3 decyzji SIS II państwa członkowskie  mogą w prawie krajowym wprowadzić okresy krótsze.

Na miesiąc przed zamierzonym usunięciem danych z systemu jednostka centralna systemu automatycznie informuje o tym państwo wprowadzające wpis. W ciągu tego okresu państwo to może podjąć decyzję o zachowaniu wpisu. Wpisy, w stosunku do których państwo wprowadzające dany wpis nie uzna dalszej konieczności przetwarzania danych, są automatycznie usuwane.

Na marginesie powyższych uwag wskazać należy, że dane osobowe wymieniane w związku z wpisem za pośrednictwem Biur SIRENE powinny zostać usunięte po osiągnięciu celu przetwarzania, najpóźniej w rok od dnia usunięcia wpisu z Systemu Informacyjnego Schengen.

Źródło: uodo.gov.pl

Zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) Nr  603/2013 z dnia 11 grudnia 2000 r. w sprawie ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania rozporządzenia (UE) nr 604/2013 w sprawie ustanowienia kryteriów i mechanizmów ustalania państwa członkowskiego odpowiedzialnego za rozpatrzenie wniosku o udzielenie ochrony międzynarodowej złożonego w jednym z państw członkowskich przez obywatela państwa trzeciego lub bezpaństwowca oraz w sprawie występowania o porównanie z danymi Eurodac przez organy ścigania państw członkowskich i Europol na potrzeby ochrony porządku publicznego, oraz zmieniające rozporządzenie (UE) nr 1077/2011 ustanawiające Europejską Agencję ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości, okres przechowywania danych zebranych na potrzeby systemu Eurodac uzależniony jest od kategorii osób, których dane dotyczą.

W odniesieniu do osób ubiegających się o azyl okres przechowywania danych w centralnej bazie danych został ograniczony do 10 lat od daty pobrania odcisków linii papilarnych (art. 12 rozporządzenia). Po upływie tego okresu jednostka centralna automatycznie usuwa te dane z centralnej bazy danych. 

Jednakże dane dotyczące osoby, która uzyskała obywatelstwo któregokolwiek z Państw Członkowskich przed upływem wskazanego powyżej okresu usuwa się z centralnej bazy danych zaraz po tym, gdy Państwo Członkowskie, które przesyła dane osobowe do jednostki centralnej, zostanie powiadomione, że osoba ta uzyskała obywatelstwo.

Dane o cudzoziemcach, którzy nielegalnie przekroczyli granicę lądowa, morską lub powietrzną i nie zostali zawróceni na terytorium państwa trzeciego, z którego przybyli, są przechowywane przez 18 miesięcy od daty pobrania odcisków linii papilarnych cudzoziemca (art. 16 rozporządzenia). Po upływie tego okresu dane usuwane są automatycznie z centralnej bazy danych. Przed upływem tego okresu dane mogą zostać usunięte przez Państwo Członkowskie przesyłające dane do jednostki centralnej jeżeli:

1. cudzoziemcowi wydano dokument pobytowy,
2. cudzoziemiec opuścił terytorium Państw Członkowskich,
3. uzyskał obywatelstwo któregokolwiek z Państw Członkowskich.

Dane o odciskach palców cudzoziemca przebywającego nielegalnie na terytorium Państwa Członkowskiego przesyłanych w celu sprawdzenia, czy ten cudzoziemiec złożył wcześniej wniosek o udzieleniu azylu nie są zapisywane w centralnej bazie danych. Po przesłaniu wyników porównania do Państwa Członkowskiego przesyłającego dane osobowe do jednostki centralnej, jednostka ta bezzwłocznie usuwa dane o odciskach linii papilarnych oraz inne przesłane do niej dane i niszczy nośniki wykorzystywane przez Państwo Członkowskie przesyłające dane, chyba że państwo to wystąpiło o ich zwrot.

W systemie oznaczane są dodatkowo dane osób, którym jedno z państw członkowskich UE przyznało ochronę międzynarodową przez okres trzech lat po dniu udzielenia osobie, której dane dotyczą, ochrony międzynarodowej.

Źródło: uodo.gov.pl

Umożliwiają to formularze zawiadomień znajdujące się na platformie biznes.gov.pl. Po prawidłowym wypełnieniu formularza zawiadomienia istnieje możliwość złożenia więcej niż jednego podpisu.

Urząd Ochrony Danych Osobowych nie narzuca konkretnego wzoru pełnomocnictwa udzielonego osobie zawiadamiającej o wyznaczeniu IOD. Ważne jest, aby z treści pełnomocnictwa wynikało upoważnienie do wykonania takiej czynności. Pełnomocnictwo może mieć charakter ogólny i obejmować wiele różnych czynności dokonywanych przed organem lub dotyczyć tej konkretnej czynności. W każdym przypadku musi być ono udzielone przez osobę uprawnioną do reprezentowania administratora.

Ponadto, jeżeli zawiadomienie o wyznaczeniu IOD ma być dokonane przez pełnomocnika, to pełnomocnictwo powinno zostać udzielone w formie elektronicznej (art. 10 ust. 2 ustawy o ochronie danych osobowych). Oznacza to, że pełnomocnictwo (np. dokument w formie DOC.) winno być opatrzone kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP przez osobę upoważnioną do reprezentowania administratora.

Wszelkie potrzebne informacje, wraz z podanym numerem konta, na które należy uiścić opłatę skarbową, można znaleźć tutaj: https://uodo.gov.pl/pl/121/193. Natomiast inne wskazówkiułatwiające przesyłanie zawiadomień dotyczących IOD dostępne są tutaj: https://uodo.gov.pl/pl/121/502

Zgodnie z RODO, każdy podmiot musi samodzielnie oceniać ryzyko, jakie przetwarzanie danych osobowych może spowodować dla praw i wolności osób, których te dane dotyczą. To właśnie te wartości należy przede wszystkim brać pod uwagę.

Ogólne rozporządzenie o ochronie danych (RODO) nie odnosi się wprost do procesu zarządzania ryzykiem i nie wskazuje konkretnej metody przeprowadzania oceny w tym zakresie. Każdy podmiot musi dokonywać jej samodzielnie, uwzględniając wiele specyficznych dla niego czynników, takich jak: wielkość, struktura organizacyjna, możliwości techniczne czy zakres i rodzaj danych oraz cel ich przetwarzania. Jednym ze skutecznych systemowych sposobów dokonywania oceny ryzyka jest wdrożenie w danej jednostce procesu zarządzania ryzykiem.

Źródło: uodo.gov.pl

Plik zawierający treść pełnomocnictwa, np. w formacie DOC, należy opatrzyć podpisem potwierdzonym profilem zaufanym ePUAP lub kwalifikowanym podpisem elektronicznym.

Zgodnie z art. 33 ust. 1 RODO, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Jak wynika z ww. artykułu, zgłoszenie naruszenia powinno być przesłane do właściwego organu nadzorczego, bez zbędnej zwłoki. To czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą.

Ponadto administrator musi zgłosić naruszenie nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Według Grupy Roboczej Art. 29 administrator „stwierdza” naruszenie, kiedy ma on wystarczający stopień pewności co do tego, że miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych.  

Termin wskazany w art. 33 ust. 1 RODO nie powinien być przekraczany przez administratorów, jednakże RODO przewiduje pewne okoliczności, gdy zgłoszenie naruszenia organowi nadzorczemu może nastąpić po 72 godzinach od stwierdzeniu naruszenia. W takim przypadku, administrator jest zobligowany do podania przyczyn opóźnienia (więcej w pkt. „Czy dopuszczalne jest przekazywanie informacji o naruszeniu po upływie 72 godzin od stwierdzenia naruszenia?”).

Źródło: uodo.gov.pl

“Cookies” składają się z szeregu liter i cyfr, w których zapisane są różne informacje niezbędne do prawidłowego funkcjonowania serwisów internetowych.

Źródło: wszystkoociasteczkach.pl

W przypadku niedających się rozwiązać problemów z wysłaniem zawiadomienia przez platformę biznes.gov.pl, zawiadomienie można wysłać przez platformę epuap.gov.pl (użytkownik po zalogowaniu i wybraniu formularza przekierowywany jest na portal obywatel.gov.pl), wskazując w piśmie dane wymagane przez art. 10 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Artykuł 59 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych przewiduje współpracę Prezesa Urzędu z niezależnymi organami nadzorczymi powołanymi na podstawie art. 91 RODO. Polski ustawodawca przewidział także możliwość zawierania przez Prezesa UODO porozumień o współpracy i wzajemnym przekazywaniu informacji z tymi organami nadzorczymi.

W lutym 2019 roku Prezes UODO kończy spotkania konsultacyjne z przedstawicielami poszczególnych kościołów i związków wyznaniowych, które zadeklarowały stosowanie autonomicznych regulacji w zakresie ochrony danych osobowych. W najbliższym czasie Prezes UODO zamierza zawrzeć odpowiednie porozumienia o współpracy z poszczególnymi kościelnymi organami nadzorczymi.

W odniesieniu do kościołów i związków wyznaniowych, które nie stosują autonomicznych regulacji w zakresie ochrony danych osobowych, Prezes UODO ma pełne kompetencje nadzorcze, które będzie realizował przy poszanowaniu konstytucyjnej autonomii kościołów i związków wyznaniowych.

Prezes UODO wspiera wszelkie działania mające na celu zwiększanie świadomości w zakresie ochrony danych osobowych w kościołach i związkach wyznaniowych. Jedną z takich inicjatyw było objęcie przez Prezesa UODO patronatem honorowym prowadzonych na Uniwersytecie Kardynała Wyszyńskiego w Warszawie studiów podyplomowych poświęconych ochronie danych osobowych w Kościele.

Źródło: https://uodo.gov.pl/pl/138/721

SIS II zawiera wpisy dotyczące osób lub przedmiotów, które podlegają następującym kategoriom:

• Odmowa pozwolenia na wjazd lub pobyt (Art. 24 rozporządzenia SIS II) – wpisy te dotyczą obywateli państw trzecich, którzy nie są uprawnienie do wjazdu bądź pobytu na terytorium strefy Schengen;
• Osoby poszukiwane w celu aresztowania (Art. 26 Decyzji SIS II) – wpisy te dotyczą osób, wobec których wydano Europejski Nakaz Aresztowaania lub wniosek ws. ekstradycji;
• Osoby zaginione (Art. 32 Decyzji SIS II) – celem tych wpisów jest odnalezienie osób zaginionych, w tym dzieci, i objęcie ich odpowiednią ochroną, jeśli jest to konieczne;
• Osoby, których obecność jest wymagana do celów procedury sądowej (Art. 34 Decyzji SIS II) –  celem tych wpisów jest miejsca zamieszkania lub pobytu osób, których obecność jest wymagana do celów procedury sądowej np. świadków lub osób, którym ma zostać doręczone wezwanie do stawienia się w celu odbycia kary pozbawienia wolności;
• Osoby lub przedmioty wprowadzane w celu przeprowadzania kontroli niejawnych lub kontroli szczególnych (Art. 36 Decyzji SIS II). – celem tych wpisów jest uzyskanie informacji o osobach lub przedmiotach w celu ścigania przestępstw oraz zapobiegania zagrożeniom bezpieczeństwa publicznego lub narodowego;
• Przedmioty przeznaczonych do zajęcia lub wykorzystania jako dowód w postępowaniu karnym (Art. 38 Decyzji SIS II) – wpisy te dotyczą przedmiotów np. pojazdów, dokumentów podróżnych, kart kredytowych, tablic rejestracyjnych, które są poszukiwanych w celu ich zajęcia lub wykorzystania jako dowód w postępowaniu karnym.

Zgodnie z art. 20 Decyzji SIS II i art. 20 Rozporządzenia SIS II informacje o osobach, w odniesieniu do których dokonano wpisu, nie zawierają innych danych niż:

1. imię i nazwisko, pseudonimy;
2. wszelkie szczególne, obiektywne cechy fizyczne niepodlegające zmianom;
3. miejsce i data urodzenia;
4. płeć;
5. fotografie;
6. odciski palców;
7. obywatelstwo;
8. informacja, czy dana osoba jest uzbrojona, agresywna lub czy jest uciekinierem;
9. powód wpisu;
10. organ dokonujący wpisu;
11. odesłanie do decyzji będącej powodem wpisu;
12. działania, jakie należy podjąć;
13. odsyłacz do innych wpisów dokonanych w SIS II;
14. rodzaj przestępstwa.

Źródło: uodo.gov.pl

Zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) Nr 603/2013 z dnia 11 grudnia 2000 r. w sprawie ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania rozporządzenia (UE) nr 604/2013 w sprawie ustanowienia kryteriów i mechanizmów ustalania państwa członkowskiego odpowiedzialnego za rozpatrzenie wniosku o udzielenie ochrony międzynarodowej złożonego w jednym z państw członkowskich przez obywatela państwa trzeciego lub bezpaństwowca oraz w sprawie występowania o porównanie z danymi Eurodac przez organy ścigania państw członkowskich i Europol na potrzeby ochrony porządku publicznego, oraz zmieniające rozporządzenie (UE) nr 1077/2011 ustanawiające Europejską Agencję ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości, zakres danych przetwarzanych na potrzeby systemu Eurodac jest zróżnicowany w zależności od kategorii osób, których dane wprowadzane są do centralnej bazy danych.

W odniesieniu do osób ubiegających się o azyl w centralnej bazie danych zapisuje się następujące dane (art. 11 rozporządzenia):

1. Państwo Członkowskie pochodzenia (państwo, które przesyła dane osobowe do jednostki centralnej i otrzymuje wynik porównania) miejsce i data złożenia wniosku o azyl;
2. dane o odciskach (wszystkich ) palców;
3. płeć;
4. numer referencyjny użyty przez Państwo Członkowskie pochodzenia;
5. data pobrania odcisków palców;
6. data przesłania danych do jednostki centralnej;
7. data wprowadzeni danych do centralnej bazy danych;
8. szczegóły dotyczące odbiorcy (odbiorców) przesłanych danych oraz datę (daty) przesłania;
9. numer identyfikacyjny operatora;
10. w stosownych przypadkach dodatkowo: data przybycia danej osoby po jej udanym przekazaniu, data opuszczenia przez daną osobę terytorium państwa członkowskiego lub jej wydalenia z jego terytorium lub data podjęcia decyzji o rozpatrzeniu wniosku.

W odniesieniu do cudzoziemców zatrzymanych w związku z nielegalnym przekroczeniem granicy lądowej, morskiej lub powietrznej, którzy nie zostali zawróceni na terytorium państwa trzeciego, z którego przybyli, w centralnej bazie danych zapisuje się następujące dane (art. 14 rozporządzenia):

1. Państwo Członkowskie pochodzenia (państwo, które przesyła dane osobowe do jednostki centralnej), miejsce i data zatrzymania,
2. dane o odciskach (wszystkich) palców,
3. płeć;
4. numer referencyjny użyty przez Państwo Członkowskie pochodzenia;
5. data pobrania odcisków palców,
6. data przesłania danych do jednostki centralnej;
7. numer identyfikacyjny operatora.

Dane te są zapisywane wyłącznie w celu porównania z danymi dotyczącymi osób ubiegających się o azyl, przesyłanymi kolejno do jednostki centralnej.

Państwo członkowskie zamierzające dokonać sprawdzenia czy przybywający nielegalnie na jego terytorium cudzoziemiec złożył wniosek o udzielenie azylu przesyła do jednostki centralnej dane o odciskach wszystkich palców lub przynajmniej palców wskazujących, a w przypadku ich braku dane o odciskach wszystkich pozostałych palców. Dane te nie są zapisywane w centralnej bazie danych (art. 17 rozporządzenia).

Dodatkowo zgodnie z art. 18 rozporządzenia w przypadku przyznania osobie ochrony międzynarodowej, której dane zostały uprzednio zapisane w systemie Eurodac, państwo członkowskie UE, które udzieliło takiej ochrony  oznacza takie dane w systemie.

Rozporządzenie Eurodac ustanawia ponadto warunki, na jakich wyznaczone organy państw członkowskich oraz Europejski Urząd Policji (Europol) mogą występować z wnioskiem o porównanie danych daktyloskopijnych z danymi przechowywanymi w systemie centralnym na potrzeby ochrony porządku publicznego.

Źródło: uodo.gov.pl

Warunkiem koniecznym do wystąpienia z wnioskiem o uprzednie konsultacje do organu nadzorczego jest wcześniejsze dokonanie przez administratora oceny skutków dla ochrony danych w celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi ryzyka naruszenia praw i wolności osób fizycznych. Ocena ta powinna w szczególności obejmować planowane środki, zabezpieczenia i mechanizmy mające zminimalizować to ryzyko.

RODO zapewnia administratorom swobodę w wyborze metodyki przeprowadzenia oceny skutków dla ochrony danych, lecz metodyka ta powinna być zgodna z kryteriami określonymi w załączniku nr 2 do Wytycznych Grupy Roboczej Art. 29 dotyczących oceny skutków dla ochrony danych oraz pomagających ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679. (WP 248). Kryteria można wykorzystać do wykazania, że konkretna metodyka oceny skutków dla ochrony danych spełnia standardy przewidziane w RODO.

Pomocne informacje można znaleźć również w przygotowanym przez GIODO poradniku Jak rozumieć i stosować podejście oparte na ryzyku?, w którym przedstawione zostały kolejne możliwe etapy działań podejmowanych w celu przeprowadzania ogólnej oceny ryzyka oraz szczegółowej oceny ryzyka.

Wskazana jest ścisła współpraca pomiędzy administratorem, inspektorem ochrony danych oraz podmiotem przetwarzającym na każdym z etapów dokonywania oceny skutków dla ochrony danych. 

Jeżeli przeprowadzona ocena skutków dla ochrony danych wykaże, że przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a administrator wyraża opinię, że ryzyka tego nie da się zminimalizować środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia - administrator ma obowiązek skonsultować się z organem nadzorczym, czy zamierzone przetwarzanie danych jest zgodne z RODO.

Jak już wspomniano zatem, nieprawdą jest, jak twierdzą wprost niektórzy eksperci, że RODO znosi „uciążliwy dotąd” obowiązek prowadzenia dokumentacji przetwarzania danych tj. dokumentacji, na która składa się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.

Obecnie, w nowym systemie prawnym dotyczącym przetwarzania danych osobowych, nie wymienia się dokumentów jakie administrator powinien posiadać, aby wykazać zgodność realizowanych czynności przetwarzania, poza elementami wymienionymi w rozdziale 1. Z treści art. 24 ust 1 RODO wynika jednak, że administrator danych ma być w stanie wykazać całościowo zgodność przetwarzania danych. W praktyce oznacza to, że administrator ma obowiązek wykazać, że:

1. stosuje się do ogólnych zasad przetwarzania określonych w art. 5 RODO,
2. zapewnia, aby dane przetwarzane były zgodnie z prawem – art. 6 – 11 RODO,
3. zapewnia, aby przestrzegane były prawa osób, których dane są przetwarzane – art. 12-23 RODO
4. zapewnia wypełnianie ogólnych obowiązków w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzającym – art. 24 – 31 RODO,
5. zapewnia bezpieczeństwo przetwarzania danych uwzględniając charakter zakres, kontekst i cele przetwarzania danych – art. 32- 36 RODO,
6. zapewnia kontrolę nad przetwarzaniem danych w postaci monitorowanie przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych lub podmioty certyfikujące, czy monitorujące przestrzeganie przyjętych kodeksów postepowania – art. 27- 43,
7. stosuje się do wymagań w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych – art. 44 – 49 RODO.

Należy jednak zaznaczyć, że zgodnie z art. 24 oraz art. 32 RODO przy wykonywaniu wyżej wymienionych obowiązków w zakresie zapewniania zgodności należy uwzględniać stan wiedzy technicznej, koszty, charakter, zakres, kontekst, cele przetwarzania a także ryzyka na jakie są narażone przetwarzane dane.

Źródło: uodo.gov.pl

Inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora, czy też nie – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny (motyw 97 RODO).

W celu zapewnienia niezależności inspektorowi ochrony danych ogólne rozporządzenie o ochronie danych, wprowadza kilka szczegółowych rozwiązań, które pozwalają na osiągnięcie ww. celu, a mianowicie:

a) bezpośrednia podległość IOD najwyższemu kierownictwu,

b) wspieranie IOD w wypełnianiu jego zadań,

c) zapewnienie udziału IOD we wszystkich zagadnieniach związanych z ochroną danych osobowych,

d) zakaz wydawania instrukcji IOD co do wykonywania przez niego zadań,

e) unikanie konfliktu interesów IOD,

f) zakaz odwoływania i karania IOD,

g) obowiązek zachowania tajemnicy lub poufności co do wykonywania zadań przez IOD,

Jako dobrą praktykę Grupa Robocza art. 29 w swoich wytycznych dotyczących IOD, wskazuje wprowadzenie wewnętrznych regulacji (regulaminów, statutów) gwarantujących inspektorowi ochrony danych niezależność w wykonywaniu przez niego zadań.

a) bezpośrednia podległość IOD najwyższemu kierownictwu

Jednym ze szczegółowych rozwiązań służących niezależności IOD jest umieszczenie go w strukturze organizacyjnej administratora danych lub podmiotu przetwarzającego bezpośrednio pod najwyższym kierownictwem. Zgodnie z art. 38 ust. 3 RODO IOD podlega bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Podległość najwyższemu kierownictwu jest jedną z gwarancji niezależnej, wysokiej pozycji inspektora ochrony danych w strukturze administratora danych, a ponadto skraca drogę raportowania, co ma istotne znaczenie w razie konieczności podejmowania szybkich działań naprawczych w sytuacji naruszenia ochrony danych osobowych.

Bezpośrednia podległość oznacza, że w ramach podejmowanych przez siebie czynności IOD nie może podlegać jakimkolwiek innym osobom lub jednostkom organizacyjnym wchodzącym w skład struktury administratora danych (art. 38 ust. 3 RODO).

Sposób rozumienia terminu najwyższe kierownictwo na pewno zależy od typu podmiotu jakim jest administrator lub podmiot przetwarzający. Tytułem przykładu wskazać można, że „najwyższym kierownictwem” będzie osoba lub osoby wchodzące w skład organu, które kierują jej pracami (ministrowie kierujący działami administracji rządowej, dyrektorzy szkół), albo prowadzą jej sprawy (zarząd spółki, wspólnicy spółki jawnej, właściciel jednoosobowej działalności gospodarczej).

b) wspieranie IOD w wypełnianiu jego zadań

Administrator danych i podmiot przetwarzający są zobowiązani do wspierania  inspektora ochrony danych poprzez m.in. zapewnienie mu zasobów niezbędnych do wykonania tych zadań.

Grupa Robocza art. 29 w Wytycznych dotyczących inspektora ochrony danych opowiada się za szerokim rozumieniem zasobów:
- wsparcie IOD ze strony kadry kierowniczej (np. na poziomie zarządu),
- wymiar czasu umożliwiający IOD wykonywanie zadań,
- odpowiednie wsparcie finansowe, infrastrukturalne (pomieszczenia, sprzęt, wyposażenie) i kadrowe, gdy to właściwe,
- oficjalne zakomunikowanie wszystkim pracownikom faktu wyznaczenia IOD i jego zadaniach,
- umożliwienie dostępu do innych działów organizacji, np. HR, działu prawnego, IT itd.
- ciągłe szkolenie. DPO powinien mieć możliwość ciągłego aktualizowania wiedzy z zakresu ochrony danych osobowych. Celem powinno być zwiększanie wiedzy DPO i zachęcanie go do udziału w szkoleniach, warsztatach, forach poświęconych ochronie danych etc.;
- wsparcie kadrowe, np. powołanie zespołu inspektora ochrony danych.

c) zapewnienie udziału IOD we wszystkich zagadnieniach związanych z ochroną danych osobowych

Artykuł 38 RODO zobowiązuje administratora oraz podmiot przetwarzający do zapewnienia, by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Norma ta ma zapobiegać próbom ograniczania inspektorowi dostępu do niezbędnych dla realizacji jego zadań informacji, a tym samym  sprzyja zachowaniu jego niezależności.

Zgodnie z Wytycznymi Grupy Roboczej art. 29 dotyczącymi inspektora ochrony danych niezwykle istotne jest, by IOD był zaangażowany od najwcześniejszego etapu we wszystkie kwestie związane z przetwarzaniem danych osobowych, ponieważ ułatwi to zapewnienie zgodności  z RODO. Przepisy ogólnego rozporządzenia o ochronie danych w określonych przypadkach wprost nakazują administratorowi angażowanie IOD w podejmowanie określonych czynności i decyzji, np. nakazują administratorowi konsultowanie się z IOD przy okazji dokonywania takiej oceny skutków. W związku z tym angażowanie inspektora ochrony danych we wszelkie kwestie związane z ich przetwarzaniem powinno być standardową procedurą w organizacji.

Ponadto IOD powinien być postrzegany jako partner w dyskusji i powinien być włączany w prace grup roboczych poświęconych procesom związanym z przetwarzaniem danych osobowych w ramach organizacji. Należy zapewnić mu między innymi: udział w spotkaniach przedstawicieli wyższego i średniego szczebla organizacji, uczestnictwo przy podejmowaniu kluczowych decyzji dotyczących przetwarzania danych osobowych wraz z odpowiednio wcześniejszym udostępnieniem  IOD informacji umożliwiających zajęcie mu stanowiska, natychmiastowe konsultowanie się z nim w przypadku stwierdzenia naruszenia albo innego zdarzenia związanego z danymi osobowymi, określenie przez administratora lub podmiot przetwarzający innych przypadków, które wymagają konsultacji z IOD.

Ponadto stanowisko IOD powinno być zawsze brane pod uwagę przez kierownictwo oraz pracowników danego podmiotu. Grupa Robocza art. 29 zaleca, aby w ramach dobrych praktyk, dokumentować przypadki i powody postępowania niezgodnego z zaleceniem IOD.

d) zakaz wydawania instrukcji IOD co do wykonywania przez niego zadań

Istotną gwarancją w zakresie niezależności inspektora ochrony danych jest niewątpliwie wprowadzenie zakazu wydawania przez administratora lub podmiotu przetwarzającego instrukcji (poleceń) dla IOD dotyczących wykonywania przez niego zadań (art. 38 ust. 3 RODO). Zakaz wydawania instrukcji inspektorowi ochrony danych, oznacza, że w ramach wypełniania swoich zadań inspektor ochrony danych, nie może otrzymywać poleceń dotyczących sposobu załatwienia sprawy, środków jakie mają zostać podjęte, czy też celu jaki powinien zostać osiągnięty. Ponadto, administrator nie powinien uniemożliwiać, bądź ograniczać inspektorowi ochrony danych kontaktu z Prezesa Urzędu Ochrony Danych Osobowych.

W Wytycznych dotyczących inspektora ochrony danych Grupa Robocza art. 29 wskazuje, że IOD nie może również zostać zobligowany do przyjęcia określonego stanowiska w sprawie z zakresu prawa ochrony danych, w tym określonej wykładni przepisów.

Z drugiej strony Grupa Robocza art. 29 podkreśla, że niezależność IOD (w tym również w kontekście zakazu do wydawania instrukcji, co do wykonywania zadań IOD) nie oznacza, iż IOD posiada uprawnienia decyzyjne wykraczające poza zadania z art. 39 RODO.  Nie zmienia to faktu, że za zapewnienie zgodności z przepisami o ochronie danych osobowych i wykazanie zgodności odpowiedzialni są administrator i podmiot przetwarzający. W sytuacji podjęcia przez administratora lub podmiot przetwarzający decyzji niezgodnej z przepisami RODO  i zaleceniami IOD, inspektor ochrony danych powinien mieć możliwość jasnego przedstawienia swojego stanowiska osobom podejmującym decyzję.

Respektowanie powyższego zakazu może być szczególnie problematyczne na styku wykonywania wewnętrznego audytu różnych sfer działalności podmiotu będącego administratorem danych. Szczególnie ważne, zwłaszcza na początku funkcjonowania omawianego przepisu, może być dokonanie wnikliwej analizy zakresu i celów poszczególnych stanowisk związanych z wewnętrznym audytem, tak aby inne osoby wewnątrz organizacji np. prawnicy, audytorzy mogli realizować swoje zadania, nie naruszając przedmiotowego zakazu.

e) unikanie konfliktu interesów IOD

Zgodnie z art. 38 ust. 6 RODO, istnieje możliwość nakładania na inspektora ochrony danych innych zadań i obowiązków, ale administrator i podmiot przetwarzający muszą zapewnić by nie powodowało to konfliktu interesów. Zatem jak wyjaśnia Grupa Robocza art. 29 w Wytycznych dotyczących inspektora ochrony danych oznacza to m.in., że IOD nie może zajmować  w  organizacji stanowiska związanego z określaniem sposobów i celów przetwarzania danych. Aspekt ten powinien być analizowany osobno i indywidualne dla każdego podmiotu. Powierzając inspektorowi ochrony danych inne zadania, w celu uniknięcia konfliktu interesów administrator danych lub podmiot przetwarzających, powinni w swojej organizacji zidentyfikować stanowiska niekompatybilne z pełnieniem funkcji IOD.

Cenną podpowiedzią w tym zakresie jest wskazanie, że co do zasady, za powodujące konflikt interesów uważane będą stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych. Ponadto konflikt interesów może powstać wówczas, gdy zewnętrzny IOD zostanie poproszony o reprezentowanie administratora lub podmiotu przetwarzającego przed sądem w sprawie dotyczącej ochrony danych osobowych.

Wskazane byłoby też opracowanie wewnętrznej polityki określającej stanowiska będące w konflikcie interesów oraz opracowanie generalnego dokumentu dotyczącego konfliktu interesów. Ponadto administrator lub podmiot przetwarzający powinni wprowadzić odpowiednie zabezpieczenia do wewnętrznych zasad organizacji celem zapewnienia, by ogłoszenia o rekrutacji na stanowisko inspektora ochrony danych były sformułowane w jasny, precyzyjny sposób i niwelowały ryzyko powstania konfliktu interesów.

f) zakaz odwoływania i karania IOD

Zachowanie niezależności przez inspektora ochrony danych wspiera również art. 38 ust 3 RODO, stanowiący, że administrator lub podmiot przetwarzający nie może odwołać ani karać IOD za wypełnianie przez niego zadań. Oczywiście przepis ten należy odnosić do obiektywnie prawidłowego wykonywania zadań. Nie chodzi tu o ochronę inspektora, który nie wywiązuje się należycie ze swoich zadań. Jest to jedyny przepis w ogólnym rozporządzeniu o ochronie danych dotyczący odwołania IOD.

Zgodnie z Wytycznymi Grupy Roboczej art. 29 dotyczącymi inspektora ochrony danych inspektor nie  może zostać odwołany ani ukarany za udzielenie określonego zalecenia, nawet jeśli jest ono niezgodne ze stanowiskiem reprezentowanym przez  administratora lub podmiot przetwarzający. Grupa Robocza art. 29 wyjaśnia, że chodzi tu o kary w różnych formach, bezpośrednie albo pośrednie, np. brak albo opóźnienie awansu, utrudnienie rozwoju zawodowego, ograniczenie dostępu do korzyści oferowanych pozostałym pracownikom. Zakaz odwoływania inspektora ochrony danych, nie oznacza natomiast, że IOD nie może zostać odwołany w uzasadnionych sytuacjach z przyczyn innych niż wykonywanie swoich obowiązków (np. z powodu kradzieży). Grupa Robocza art. 29 zaleca stosowanie polityki, że im stabilniejsza podstawa zatrudnienia i szerszy zakres ochrony inspektora ochrony danych przed odwołaniem, tym większa szansa na wykonywanie przez IOD zadań w sposób niezależny.

g) obowiązek zachowania tajemnicy lub poufności co do wykonywania zadań przez IOD

IOD jest zobowiązany do zachowania tajemnicy lub poufności, co do wykonywania swoich zadań zgodnie z prawem Unii lub państwa członkowskiego (art. 38 ust. 5 RODO).

Jeśli chodzi o IOD, to w związku z wykonywaniem swoich zadań będzie on miał niewątpliwie dostęp do danych osobowych, w tym danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO, jak również informacji dotyczących środków technicznych i organizacyjnych zapewniających przetwarzanie zgodne z przepisami RODO, w tym polityk ochrony danych. IOD będzie również zobowiązany do przestrzegania wszystkich przepisów prawa krajowego i unijnego, które będą miały do niego zastosowanie i na mocy których, określone informacje objęte są prawnie chronionymi tajemnicami. Zobowiązanie inspektora ochrony danych do przestrzegania tajemnicy jest w pełni uzasadnione i służyć będzie nie tylko bezpieczeństwu danych osobowych, ale i wzmocnieniu zaufania do inspektorów ze strony administratorów danych i podmiotów przetwarzających. Co ważne - w Wytycznych dotyczących inspektora ochrony danych Grupa Robocza art. 29 podkreśla, że obowiązek zachowania tajemnicy oraz poufności nie uniemożliwia IOD kontaktu z Prezesem Urzędu Ochrony Danych Osobowych i zasięgania jego opinii.

1. Wniosek o uprzednie konsultacje powinien spełniać wymogi określone w art. 63 kodeksu postępowania administracyjnego, w szczególności powinien zawierać co najmniej wskazanie osoby, od której pochodzi, jej adres i żądanie, a także powinien być podpisany przez wnoszącego. Ponadto wniosek wniesiony w formie dokumentu elektronicznego powinien być opatrzony bezpiecznym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP (art. 63 § 3a pkt 1 Kodeksu postępowania administracyjnego).
2. We wniosku o uprzednie konsultacje należy podać co najmniej następujące informacje (art. 36 ust. 3 RODO):

• odpowiednie obowiązki administratora, współadministratorów oraz podmiotów przetwarzających uczestniczących w przetwarzaniu, w szczególności w przypadku przetwarzania w ramach grupy przedsiębiorstw;
• cele i sposoby zamierzonego przetwarzania;
• środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą, zgodnie z RODO;
• dane kontaktowe inspektora ochrony danych, jeśli został wyznaczony;
• ocenę skutków dla ochrony danych;
• wszelkie inne informacje, których żąda organ nadzorczy. 

Zgodnie z art. 33 ust. 3 RODO, administrator powinien wskazać w zgłoszeniu naruszenia następujące informacje:

• opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
• wskazanie imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
• opis możliwych konsekwencji naruszenia ochrony danych osobowych;
• wskazanie środków, jakie zostały zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Źródło: uodo.gov.pl

Zgodnie z art. 34 ust. 2 RODO zawiadomienie skierowane do osób, których dane dotyczą powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d). Zgodnie z tym przepisem, administrator powinien podać przynajmniej następujące informacje:

• imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji;
• opis możliwych konsekwencji naruszenia ochrony danych osobowych;
• opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym w stosownych przypadkach - środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Zawiadomienie powinno być sformułowane jasnym i prostym językiem. Aby wymóg ten został spełniony, administrator powinien mieć na względzie grupę odbiorców, do której zawiadomienie będzie skierowane i dostosować do niej jego treść. Tytułem przykładu: jeżeli określony podmiot posiada klientów w zbliżonym wieku i poziomie wykształcenia, język komunikatu powinien uwzględniać te okoliczności. Jeżeli natomiast adresaci są zróżnicowani lub administrator nie posiada wystarczających danych dla dokładniejszego określenia grupy odbiorców zawiadomienia, to w takim przypadku punktem odniesienia powinien być przeciętny adresat takiej wiadomości. Celem jest przekazanie odbiorcy komunikatu łatwego do zrozumienia. Ponadto komunikat nie powinien być nadmiernie rozbudowany, gdyż długa informacja z reguły utrudnia zrozumienie istoty przekazu.

Źródło: uodo.gov.pl

Zgodnie z art. 37 ust. 5 RODO inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO. Poziom wiedzy inspektora powinien być ustalany w kontekście konkretnych potrzeb administratora danych i procesora (motyw 97 RODO). Jak wskazuje Grupa Robocza art. 29 wymagany poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Wobec czego wybór inspektora ochrony danych powinien być dokonany z zachowaniem należytej staranności i z uwzględnieniem charakteru przetwarzania danych osobowych w ramach jednostki.

IOD powinien posiadać:

• fachową wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych;
• fachową wiedzę z zakresu praktyk w dziedzinie ochrony danych osobowych;
• dogłębną znajomość przepisów RODO;
• wiedzę biznesową i sektorową dotycząca działalności administratora;
• odpowiednią wiedzę na temat procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych;
• w przypadku organów i podmiotów publicznych IOD powinien również wykazywać się znajomością procedur administracyjnych i funkcjonowania jednostki.

W odniesieniu do wypełnienia zadań IOD Grupa Robocza wskazała, że priorytetem DPO powinno być zapewnienie przestrzegania rozporządzenia. Inspektor ma zatem odgrywać kluczową rolę w zakresie wspierania „kultury ochrony danych” oraz pomagać w implementacji niezbędnych elementów RODO tj.:

• zasady przetwarzania danych osobowych;
• prawa osób, których dane dotyczą;
• ochrony danych w fazie projektowania oraz domyślnej ochrony danych;
• prowadzenia rejestru czynności przetwarzania;
• wymogów bezpieczeństwa przetwarzania;
• zgłaszanie naruszeń.

Jeśli chodzi o osobiste cechy inspektora kwalifikujące go do wykonywania funkcji, to są to: rzetelne podejście do wykonywania swoich obowiązków i wysoki poziom etyki zawodowej.

Źródło: uodo.gov.pl

Członkowie kościołów lub związków wyznaniowych powinni być informowani o swoich prawach związanych z przetwarzaniem danych osobowych. Służą im również pozostałe prawa gwarantowane przez RODO. W sytuacjach objętych nadzorem przez kościelne organy nadzorcze takim osobom służy skarga do nich.

Źródło: https://uodo.gov.pl/pl/138/721

Najważniejsze zmiany dotyczące RODO zostały zaprezentowane na infografice poniżej:

Art. 33 ust. 5 RODO nakłada na administratorów obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych, czyli  prowadzenia wewnętrznej ewidencji naruszeń. Użyte w ww. artykule sformułowanie „wszelkich naruszeń” oznacza, że ewidencja powinna obejmować wszystkie naruszenia spełniające kryteria określone w definicji zawartej w art. art. 4 pkt 12 RODO. W ewidencji powinny zatem się znaleźć zarówno  naruszenia ochrony danych osobowych podlegające obowiązkowi notyfikacyjnemu Prezesowi UODO, jak i te, które nie podlegają zgłoszeniu organowi nadzorczemu ze względu na okoliczność, że jest mało prawdopodobne, że skutkowałyby one ryzykiem naruszenia praw lub wolności osób fizycznych.

Zgodnie z wymaganiami art. 33 ust. 5 RODO administrator musi rejestrować informacje o naruszeniu obejmujące okoliczności naruszenia ochrony danych osobowych, przebieg i naruszone dane osobowe. Ewidencja powinna obejmować ponadto skutki i konsekwencje naruszenia oraz działania naprawcze podjęte przez administratora.

Prowadzenie ewidencji łączy się z zasadą rozliczalności przewidzianą w art. 5 ust. 2 RODO oraz obowiązkami administratora wynikającymi z art. 24 RODO. Jak wskazuje art. 33 ust. 5 (zdanie 2) RODO organ nadzorczy może zażądać dostępu do dokumentacji (ewidencji) naruszeń i dokumentacja ta powinna pozwolić organowi na weryfikowanie przestrzegania RODO w zakresie tych obowiązków.

Grupa Robocza Art. 29 podkreśla również, że w przypadku podjęcia decyzji o niezgłoszeniu naruszenia, wskazane jest udokumentowanie takiego faktu w ewidencji wraz z podaniem przyczyny, dla której administrator uznaje ryzyko naruszenia praw i wolności osób fizycznych za mało prawdopodobne.

Jeżeli chodzi o sposób prowadzenia ewidencji, Grupa Robocza Art. 29 podkreśla, że administrator może zdecydować o dokumentowaniu naruszeń w rejestrze czynności przetwarzania prowadzonym zgodnie z art. 30 RODO. Nie ma wymogu prowadzenia osobnego rejestru naruszeń, jeżeli informacje dotyczące naruszenia można łatwo zidentyfikować i przedłożyć na żądanie.

Brak udokumentowania naruszenia we właściwy sposób może prowadzić do wykonania przez organ nadzorczy uprawnień na mocy art. 58 RODO lub nałożenia administracyjnej kary pieniężnej zgodnie z art. 83 RODO.

Źródło: uodo.gov.pl

RODO przewiduje następujące obowiązki związane z naruszeniem danych osobowych:

• wprowadzenie procedur umożliwiających stwierdzanie i ocenę naruszeń pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych;
• prowadzenie wewnętrznej ewidencji naruszeń;
• zgłaszanie naruszeń organowi nadzorczemu;
• powiadamianie osoby, której dane dotyczą o naruszeniu;
• podejmowanie działań mających na celu przeciwdziałanie skutkom naruszenia i zapobieganie im w przyszłości.

Ważnym, jeśli nie najważniejszym, elementem całego procesu związanego ze zgłaszaniem naruszenia ochrony danych, jest szybkość podjęcia niezbędnych działań, zarówno wobec organu nadzorczego, jak i osób, których dane dotyczą. Czas ma tu bardzo duże znaczenie.

Aby zapewnić działania bez zbędnej zwłoki administratorzy powinni więc opracować i wdrożyć procedury postępowania na wypadek wystąpienia naruszenia ochrony danych. Taka procedura pomoże ujednolicić, usprawnić oraz przyśpieszyć działania w przypadku wykrycia naruszenia ochrony danych. W tej procedurze powinno się zawrzeć m.in.:

• cel, w jakim procedura została opracowana;
• zakres jej stosowania;
• katalog ewentualnych zagrożeń i naruszeń, jakie mogą wystąpić w związku z przetwarzaniem danych u konkretnego administratora;
• opis etapów zarządzania naruszeniem, począwszy od jego wykrycia, a kończąc na usunięciu;
• opis postępowania personelu administratora w przypadku wystąpienia naruszenia ochrony danych.

Dobrze zaprojektowana i wdrożona procedura postępowania na wypadek wystąpienia naruszenia ochrony danych pozwoli administratorowi przeprowadzić, w przypadku wykrycia przez niego naruszenia ochrony danych, szybką i prawidłową ocenę naruszeń, pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych.

Procedura pozwala dokonać klasyfikacji zidentyfikowanych naruszeń ochrony danych, czyli określić poziom wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, tj. niski, średni lub wysoki. W zależności, z jakim poziomem ryzyka naruszenia praw i wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli w wyniku analizy administrator stwierdził, że ma do czynienia z niskim ryzykiem naruszenia praw i wolności osób fizycznych, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia średniego ryzyka naruszenia praw i wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń. Wystąpienie wysokiego ryzyka naruszenia praw i wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora powzięcia odpowiednich działań, zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych), ale także w niektórych przypadkach również wobec osób, których dane dotyczą. W przypadku naruszeń, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, RODO wprowadza bowiem dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych przez administratora, chyba, że ten podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia (art. 34 ust. 3 RODO).

Niezależnie od poziomu ryzyka, administrator zobowiązany jest do wprowadzenia środków zaradczych mających na celu zminimalizowanie ryzyka i zabezpieczenia danych osobowych.

Prawa osób, których dane dotyczą, w rozporządzeniu SIS II i decyzji SIS II

Osobom, których dane są przetwarzane w systemie SIS II, przysługują następujące prawa wynikające z rozporządzenia SIS II i decyzji SIS II:

• prawo do dostępu do danych;
• prawo do poprawienia lub usunięcia danych;
• prawo do złożenia skargi do organu ochrony danych osobowych lub do sądu.

Każdy, kto korzysta z dowolnego z tych praw, może złożyć wniosek do właściwego organu w wybranym przez siebie państwie, niezależnie od państwa członkowskiego, w którym dokonano wpisu do SIS II.

Prawo dostępu

Każda osoba, której dane dotyczą, na podstawie art. 41 rozporządzenia SIS II i art. 58 decyzji SIS II ma prawo dostępu do dotyczących jej danych, przetwarzanych w SIS II. Prawo dostępu jest wykonywane zgodnie z przepisami państwa członkowskiego, w którym składany jest wniosek. Procedury różnią się w zależności od kraju oraz przepisów dotyczących przekazywania danych wnioskodawcom.

W przypadku gdy dane państwo członkowskie otrzyma wniosek o dostęp do wpisu, którego samo nie dokonało, musi umożliwić państwu, które dokonało wpisu, zajęcie stanowiska w sprawie możliwości udostępnienia danych wnioskodawcy.

Prawo do poprawienia lub usunięcia danych

Zgodnie z art. 41 ust. 5 rozporządzenia SIS II i 58 ust. 5 decyzji SIS II, gdy przetwarzane dane są nieprawidłowe lub zostały przekazane niezgodnie z prawem, osoba, której dane te dotyczą, ma prawo do żądania poprawienia lub usunięcia tych danych.

Zgodnie z art. 34 ust. 2 rozporządzenia SIS II i art. 49 ust. 2 decyzji SIS II, do zmiany lub usunięcia wprowadzonych danych uprawnione jest wyłącznie państwo członkowskie, które dokonało wpisu. W związku z tym jeżeli wniosek jest składany w państwie członkowskim, które nie dokonało wpisu, wówczas zainteresowane państwa członkowskie współpracują ze sobą w celu znalezienia rozwiązania poprzez wymianę informacji i dokonanie odpowiednich weryfikacji.

Prawo do złożenia skargi do organu ds. ochrony danych lub wszczęcia postępowania sądowego

Artykuł 43 rozporządzenia SIS II i art. 59 decyzji SIS II przewidują środki odwoławcze przysługujące osobom fizycznym w przypadku nieuwzględnienia ich wniosku. Osoba, której dane dotyczą, może wystąpić do sądów lub organów właściwych na mocy prawa krajowego dowolnego z państw członkowskich z wnioskiem o dostęp do informacji, poprawienie, usunięcie lub o odszkodowanie w związku z dotyczącym go wpisem.

REALIZACJA PRAW OSÓB W RZECZPOSPOLITEJ POLSKIEJ

Prawo do informacji 

Każdej osobie przysługuje prawo do uzyskania wyczerpującej informacji o dotyczących jej danych osobowych, które przetwarza się w zbiorach danych. Zgodnie z art. 15 Rozporządzenia Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

1. cele przetwarzania;
2. kategorie odnośnych danych osobowych;
3. informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;
4. w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
5. informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;
6. informacje o prawie wniesienia skargi do organu nadzorczego;
7. jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;
8. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą:

Administrator powinien być zobowiązany udzielić odpowiedzi na żądania osób, których dane dotyczą, bez zbędnej zwłoki – najpóźniej w terminie miesiąca. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.

Jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

Informacje przekazywane osobie, której dane dotyczą, są wolne od opłat.  Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.

Odmowa udzielenia informacji o przetwarzanych danych osobowych

Administrator może odmówić udzielenia informacji o przetwarzanych danych osobowych, jeśli:

1. wykaże, iż nie jest w stanie zidentyfikować osoby, której dane dotyczą.,
2. żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter,
3. administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie a dodatkowe informacje niezbędne do potwierdzenia tożsamości osoby, której dane dotyczą nie zostaną dostarczone,
4. określone przepisy prawa unijnego lub państw członkowskich stanowią inaczej.

Ponadto prawo do uzyskania kopii przetwarzanych danych osobowych nie może niekorzystnie wpływać na prawa i wolności innych.

Prawo do żądania sprostowania danych, wstrzymania ich przetwarzania lub ich usunięcia

Zainteresowany może wystąpić do administratora o uzupełnienie, uaktualnienie, uzyskanie od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, o ich sprostowanie, usunięcie lub ograniczenie przetwarzania, a także o przeniesienie danych. Niemniej zainteresowany musi wykazać, że dane są niekompletne, nieaktualne, nieprawdziwe, zostały zebrane z naruszeniem Rozporządzenia lub są już zbędne do realizacji celu, dla którego zostały zebrane.

Administrator SIS II w Polsce

W myśl ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym, w Polsce administratorem danych przetwarzanych w Systemie Informacyjnym Schengen jest Komendant Główny Policji. Wnioski o dostęp do danych lub ich poprawienie należy kierować do niego.

Szczegółowe informacje o wymogach formalnych dotyczących wniosku oraz dane teleadresowe dostępne są na stronie internetowej Komendy Głównej Policjihttp://www.policja.pl/pol/sirene/prawo-osob-do-informac/57656,Prawo-osob-do-informacji.html.

Skarga do UODO

Aby zapewnić odpowiedni poziom ochrony prawnej osób, których dane są przechowywane w Systemie Informacyjnym Schengen, Urząd Ochrony Danych Osobowych kontroluje, czy wykorzystywanie danych nie narusza praw osób, których one dotyczą. Kontrole te sprawuje zgodnie z przepisami o ochronie danych osobowych. Każda osoba, której dane są przetwarzane w Systemie Informacyjnym Schengen, ma prawo wnieść skargę Prezesa Urzędu Ochrony Danych Osobowych na wykonywanie przepisów o ochronie danych osobowych.

Źródło: uodo.gov.pl

Rozporządzenie Parlamentu Europejskiego i Rady (UE) Nr 603/2013 z dnia 11 grudnia 2000 r. w sprawie ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania rozporządzenia (UE) nr 604/2013 w sprawie ustanowienia kryteriów i mechanizmów ustalania państwa członkowskiego odpowiedzialnego za rozpatrzenie wniosku o udzielenie ochrony międzynarodowej złożonego w jednym z państw członkowskich przez obywatela państwa trzeciego lub bezpaństwowca oraz w sprawie występowania o porównanie z danymi Eurodac przez organy ścigania państw członkowskich i Europol na potrzeby ochrony porządku publicznego, oraz zmieniające rozporządzenie (UE) nr 1077/2011 ustanawiające Europejską Agencję ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości, stanowiące podstawę utworzenia systemu Eurodac przyznaje osobom, których dane dotyczą szereg uprawnień.

Obowiązek informacyjny

Osoby, których dane są przetwarzane na podstawie rozporządzenia powinny zostać poinformowane o tożsamości administratora i jego przedstawiciela, jeśli istnieje, celu dla którego dane będą przetwarzane w systemie Eurodac, odbiorcach danych, obowiązku pobrania odcisków palców od tej osoby oraz prawie do dostępu do danych dotyczących tej osoby oraz do ich sprostowania. 

Informacje te należy podać osobom ubiegającym się o azyl oraz osobom zatrzymanym przez właściwe organy kontrolne w związku z nielegalnym przekroczeniem granicy lądowej, morskiej lub powietrznej Państwa Członkowskiego przybywającym z terytorium państwa trzeciego i nie podlegającym zawróceniu w momencie pobierania odcisków linii papilarnych. W odniesieniu do cudzoziemców nielegalnie przebywających na terytorium Państwa Członkowskiego, których odciski linii papilarnych pobierane są w celu sprawdzenia czy nie złożyli wcześniej wniosku o udzielenie azylu w innym Państwie Członkowskim powyższych informacji udziela się najpóźniej przy przesyłaniu danych do jednostki centralnej. W stosunku do ostatniej grupy osób informacji nie udziela się, gdy ich dostarczenie jest niemożliwe lub wymagałoby nieproporcjonalnie dużego nakładu sił.

Prawo dostępu do treści danych

Każda osoba, której dane są przetwarzane na potrzeby systemu Eurodac, może w każdym Państwie Członkowskim zgodnie z prawem tego kraju wykonywać prawa przyznane na podstawie art. 12 dyrektywy 95/46/WE (prawo dostępu do treści danych).

Osoby, których dane dotyczą, mają również prawo do uzyskania informacji o treści ich danych, które zostały zapisane w centralnej bazie danych oraz o Państwie Członkowskim, które przesłało je do jednostki centralnej. Taki dostęp do danych może być przyznany jedynie przez Państwo Członkowskie.

Prawo do poprawienia i usunięcia danych

Osoby, których dane są przetwarzane na potrzeby systemu Eurodac mogą występować w Państwach Członkowskich z wnioskiem o poprawienie danych niedokładnych oraz usunięcie danych bezprawnie zapisanych w systemie.

Takie czynności powinny zostać wykonane przez Państwo Członkowskie, które przekazało dane, bez nadmiernych opóźnień. W przypadku wykonywania tego prawa w innym Państwie Członkowskim, niż to, które przesłało dane organy Państwa Członkowskiego, w którym wykonywane jest prawo do poprawienia bądź usunięcia danych mają obowiązek skontaktować się z organami Państwa Członkowskiego, które przekazało dane do systemu w celu umożliwienia im skontrolowania dokładności danych oraz legalności przekazania i utrwalenia danych w jednostce centralnej. 

Państwo członkowskie dokonujące korekty bądź usunięcia danych jest zobowiązane do niezwłocznego poinformowania osoby, której dane te dotyczą o podjętych działaniach bądź o powodach nieusunięcia danych. W tym ostatnim przypadku Państwo Członkowskie jest również zobowiązane poinformować osobę, której dane dotyczą, o przysługujących jej uprawnieniach na wypadek braku akceptacji udzielonych wyjaśnień, w tym również o możliwości wniesienia skargi do właściwych organów lub sądów Państwa Członkowskiego.

Wniosek o poprawienie bądź usuniecie danych oraz o zapewnienie dostępu do nich musi zawierać szczegółowe informacje niezbędne do zidentyfikowania osoby, której dotyczy, włącznie z odciskami palców. Dane te mogą być wykorzystane jedynie do umożliwienia skorzystania z prawa dostępu do danych, ich poprawiania bądź usuwania i podlegają niezwłocznemu zniszczeniu po wykorzystaniu. Państwa Członkowskie zobowiązane są do aktywnej współpracy w celu umożliwienia szybkiego wykonania prawa do poprawiania danych bądź ich usunięcia.

W przypadku odmowy dostępu do przetwarzanych danych osoba, której one dotyczą, może stosownie do przepisów Państwa Członkowskiego odmawiającego realizacji tego prawa wnieść skargę do właściwych organów lub sądów tego Państwa Członkowskiego.

Prawo do złożenia skargi i pomoc organów nadzorczych

Osobie której dane dotyczą, przysługuje również prawo do zainicjowania, zgodnie z przepisami Państwa Członkowskiego, które przesłało dane, działań bądź złożenia skargi do właściwych organów lub sądów w związku z dotyczącymi jej danymi zapisanymi w jednostce centralnej. W takiej sytuacji krajowe organy nadzorcze mają, przez cały czas toczącego się postępowania pomagać, a na wniosek osoby, której dane dotyczą, również zapewnić doradztwo tej osobie.

Krajowe organy nadzorcze mają obowiązek pomagania osobie, której dane dotyczą w wykonywaniu przysługujących jej praw. Ponadto, krajowe organy nadzorcze Państwa Członkowskiego, które przesłało dane, oraz Państwa Członkowskie, w którym osoba, której dane dotyczą przebywa, mają obowiązek doradzać i pomagać osobie, której dane dotyczą, w wykonywaniu przysługujących jej prawa do poprawiania lub usuwania danych. Wniosek o pomoc złożony w Państwie Członkowskim, w którym przebywa osoba, której dane dotyczą, przesyłany jest do krajowego organu nadzorczego Państwa Członkowskiego, które przekazało dane. Osoba, której dane dotyczą, ma również prawo zwrócić się o pomoc i poradę do Europejskiego Inspektora Ochrony Danych sprawującego nadzór nad przetwarzaniem danych w jednostce centralnej.

Prawo do odszkodowania

Niezależnie od powyższych uprawnień osoba, która poniesie szkodę w wyniku niezgodnego z prawem przetwarzania danych lub działania niezgodnego z przepisami rozporządzenia jest uprawniona do uzyskania od Państwa Członkowskiego odpowiedzialnego za wyrządzone szkody stosownego odszkodowania. Dochodzenie odszkodowania odbywa się na podstawie przepisów pozwanego Państwa Członkowskiego.

Dodatkowe informacje dostępne są na stronie Urzędu do Spraw Cudzoziemców: http://udsc.gov.pl/uchodzcy-2/uchodzcy/prawa-i-obowiazki/prawa/

Źródło: uodo.gov.pl

Forma, w jakiej podmioty danych powinny być zawiadomione o naruszeniu, nie została wprost wskazana w RODO. Ostateczny jej dobór będzie zależał od danych kontaktowych podmiotów danych, którymi dysponuje administrator.

Mając na względzie znaczenie zawiadomienia, powinno być ono sporządzone w formie, która umożliwi podmiotowi danych na wielokrotne zapoznanie się z jego treścią. Bardzo ważne jest, aby zawiadomienie zostało dostarczone do adresata w możliwie najkrótszym czasie. Wybierając mniej efektywny środek komunikacji, administrator może spowodować nieuzasadnioną zwłokę w przekazaniu informacji.

W tym kontekście wadą przesyłki nadanej drogą tradycyjną jest czas niezbędny na jej doręczenie podmiotowi danych. Dla porównania zasadniczą zaletą elektronicznej formy komunikacji jest jej szybkość, co jest pożądane z uwagi na obowiązek powiadomienia podmiotu danych bez zbędnej zwłoki (art. 34 ust. 1 RODO). Forma ta umożliwia adresatowi wielokrotne zapoznanie się z komunikatem oraz jego wydruk w razie potrzeby.

Co do zasady administrator bezpośrednio powiadamia osoby, których dane naruszono, chyba że wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku administrator wydaje publiczny komunikat lub stosuje podobny środek, aby w równie skuteczny sposób poinformować osoby, których dane dotyczą, (art. 34 ust. 3 lit. c RODO).

Do powiadamiania osób, których dane naruszono, administrator powinien stosować komunikaty dedykowane, które nie powinny być przesyłane razem z innymi informacjami, na przykład newsletterem, czy standardową wiadomością. Pomoże to przekazać informacje o naruszeniu w jasny i przejrzysty sposób. Powiadomienia ograniczającego się do komunikatu prasowego, czy firmowego bloga nie uznaje się za skuteczne poinformowanie osoby fizycznej o naruszeniu.

Źródło: UODO

W nowym systemie prawnym dotyczącym przetwarzania danych osobowych administrator danych w większości obszarów dowolnie może kształtować i opisywać rozwiązania dotyczące przyjętych zasad i procedur przetwarzania. Wśród obszarów, w odniesieniu do których RODO nakreślono jednak pewne wymagania formalne dotyczące zakresu dokumentowania pozostały takie zagadnienia jak:

1. prowadzenie rejestru czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
2. zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
3. prowadzenie wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
4. zawartość raportu dokumentującego wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.

RODO nie wymaga jednak, aby dokument zawierający wymienione wyżej, obligatoryjne elementy dokumentacji miał określona nazwę, czy strukturę. Ważne jest tylko, aby administrator danych wykazał, że wymienione wyżej rejestry, czy raporty posiadał i aby ich zawartość była zgodna z wskazanymi wyżej wymaganiami tj. wymaganiami wskazanymi odpowiednio w art. 30, art. 33 ust 3 i 5 oraz art. 35 ust 7 RODO.

Należy pamiętać jednak, że wskazane w RODO wymagania wymienione w art. 30, art. 33 ust 3 i 5 oraz art. 35 ust 7 nie są jedynymi, jakie należy uwzględnić w dokumentacji przetwarzania. Są one jedynie specyficzne pod tym względem, że wskazany jest zakres informacji, jaki w danym obszarze powinien być uwzględniony.

Decydując znaczenia dla obszaru i zakresu informacji jakie powinny być zawarte w dokumentacji przetwarzania jest wymóg wykazania przez administratora przestrzegania przepisów RODO zawarty w art. 24, którego brzmienie jest następujące:

1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
3. Stosowanie zatwierdzonych kodeksów postępowania, o których mowa wart. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa wart. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

Wymaganie zawarte art. 24 RODO stanowiące, że administrator powinien być w stanie wykazać przestrzegania przepisów RODO oznacza w praktyce, że sposób przetwarzania danych, związane z nim procedury jak i zastosowane zabezpieczenia techniczne i organizacyjne, również powinny zostać zawarte w przedmiotowej dokumentacji – jako spełnienie obowiązku wykazania, że przestrzegane są wymagania RODO.

Źródło: uodo.gov.pl

Zgodnie z art. 34 pkt. 1 RODO „Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu”. Z powołanego przepisu wynika, że administrator będzie zobowiązany do zawiadomienia podmiotu danych wówczas, gdy  spełnione zostaną łącznie dwie przesłanki. Po pierwsze, musi dojść do naruszenia ochrony danych osobowych. Po drugie, może ono powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą. Do takich przypadków należą sytuacje, w których naruszenie prowadzi do dyskryminacji, kradzieży tożsamości, oszustwa, straty finansowej lub uszczerbku na reputacji. Jeżeli naruszenie dotyczy danych wrażliwych, można założyć, że jest prawdopodobne, iż takie naruszenie może prowadzić do wskazanych wyżej szkód. Nie jest konieczne, aby wysokie ryzyko zmaterializowało się i by faktycznie doszło do naruszenia praw lub wolności. Dlatego nie ma znaczenia, czy ostatecznie ich naruszenie nastąpi. Wystarczający jest fakt samego pojawienia się wysokiego ryzyka naruszenia praw lub wolności.

RODO wymaga, aby osoby fizyczne zostały zawiadomione o naruszeniu ich danych „bez zbędnej zwłoki”. Oznacza to, że administrator powinien zrealizować przedmiotowy obowiązek tak szybko, jak pozwalają na to okoliczności danej sprawy. Należy przyjąć, że im poważniejsze jest ryzyko naruszenia praw lub wolności podmiotu danych, tym szybciej powinno nastąpić zawiadomienie, jak wskazuje motyw 86 RODO. Poinformowanie na czas osób fizycznych o zaistniałym naruszeniu ma na celu umożliwienie podmiotom danych podjęcie niezbędnych działań zapobiegawczych dla ochrony przed negatywnymi skutkami naruszenia. Jako przykład można wskazać wyciek haseł bankowych, w przypadku którego reakcja banku powinna być natychmiastowa.

 Źródło: uodo.gov.pl

„Zawiadomienie abonenta lub użytkownika końcowego będącego osobą fizyczną o naruszeniu nie jest wymagane, jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych wdrożył odpowiednie techniczne i organizacyjne środki ochrony, które uniemożliwiają odczytanie danychprzez osoby nieuprawnione oraz zastosował je do danych, których ochrona została naruszona (na podstawie art. 174a ust. 5 Prawa telekomunikacyjnego).

Art. 33 ust. 1 RODO wskazuje, że w przypadku, gdy „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”, administrator nie ma obowiązku zawiadomienia organu nadzorczego o naruszeniu ochrony danych.

W świetle art. 33 RODO, nie każde naruszenie ochrony danych osobowych wiąże się z  naruszeniem praw i wolności osób fizycznych. Obowiązek zgłoszenia, o którym mowa w ww. artykule, dotyczy tylko tych naruszeń, które mogą skutkować ryzykiem naruszenia praw lub wolności osób fizycznych. 

Do każdej sytuacji należy jednak podchodzić z dużą rozwagą i ostrożnością. Zmiana choćby jednego z kluczowych elementów zdarzenia może bowiem doprowadzić do odmiennych wniosków, np. jeżeli w przypadku opisanym w przykładzie II po czasie okaże się, że naruszono bezpieczeństwo klucza lub, że oprogramowanie narażone jest na ataki, wówczas zmieni się ryzyko naruszenia praw i wolności osób, a w związku z tym może powstać obowiązek zgłoszenia naruszenia Prezesowi UODO. Podobna sytuacja może się zdarzyć, gdy w sytuacji zaistnienia naruszenia, administrator nie będzie dysponował kopią zapasową danych osobowych. W takim przypadku będziemy mieli do czynienia z naruszeniem dostępności, stanowiącym ryzyko dla praw i wolności osób fizycznych i w związku z tym, sytuacja ta będzie wymagała zgłoszenia naruszenia organowi nadzorczemu.

 Źródło: uodo.gov.pl

Od 25 maja 2018 r. kościoły lub związki wyznaniowe są zobowiązane do przestrzegania ogólnego rozporządzenia o ochronie danych (RODO). Jednak te kościoły lub związki wyznaniowe, które w momencie wejścia w życie RODO, stosowały już wewnętrzne zasady ochrony danych osobowych, zgodnie z art. 91 ust. 1 RODO mają dalszą możliwość stosowania autonomicznych, szczegółowych regulacji w tym zakresie. Te regulacje muszą być jedynie dostosowane do RODO.

RODO w ten sposób daje możliwość poszanowania autonomii kościołów i związków wyznaniowych o uregulowanym statusie prawnym w RP. W świetle motywu 165 preambuły do RODO, rozporządzenie nie narusza statusu przyznanego kościołom oraz związkom lub wspólnotom wyznaniowym na mocy prawa konstytucyjnego obowiązującego w państwach członkowskich.

W konsekwencji, po 25 maja 2018 r. następujące kościoły lub związki wyznaniowe poinformowały Prezesa UODO bezpośrednio lub za pośrednictwem Rządu RP o stosowaniu odrębnych szczegółowych regulacji o ochronie danych osobowych:

• Kościół katolicki,
• Polski Autokefaliczny Kościół Prawosławny,
• Kościół Adwentystów Dnia Siódmego w Rzeczypospolitej Polskiej,
• Kościół Ewangelicko-Augsburski,
• Kościół Ewangelicko-Reformowany w RP,
• Kościół Boży w Polsce z siedzibą w Krakowie,
• Społeczność Chrześcijańska Miejsce Odnowienia z siedzibą w Lublinie,
• Wspólnota Chrześcijańska „Wrocław dla Jezusa”  z siedzibą we Wrocławiu,
• Kościół Pentekostalny w Rzeczpospolitej z siedzibą w Żorach,
• Zbór Ewangelicko-Baptystycznego  z siedzibą w Katowicach,
• Misja Pokoleń z siedzibą w Krakowie,
• Ewangeliczny Kościół Metodystyczny z siedzibą w Krakowie,
• Powszechny Kościół Ludu Bożego z siedzibą w Jarocinie.

Przykładem takich szczegółowych zasad ochrony danych osobowych jest „Dekret ogólny w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim”, wydany na podstawie kan. 455 Kodeksu Prawa Kanonicznego przez Konferencję Episkopatu Polski 13 marca 2018 r., podczas 378. Zebrania Plenarnego w Warszawie.

Kościół lub związek wyznaniowy, który nie stosuje wskazanych w art. 91 RODO szczegółowych zasad ochrony danych musi w pełni przestrzegać postanowień RODO.

Jeżeli kościoły lub związki wyznaniowe, które stosują autonomiczne regulacje o ochronie danych osobowych, prowadzą także działalność regulowaną prawem państwowym, to do niej stosuje się bezpośrednio RODO. Dotyczy to np. przetwarzania danych przez prowadzone przez kościoły lub związki wyznaniowe szkoły działające na prawach szkół publicznych, czy przez podmioty mające status organizacji pożytku publicznego, domy pomocy itp. Tak samo będzie gdy podmioty kościelne będą przetwarzały dane osobowe w kontekście prowadzenia działalności gospodarczej.

Warto dodać, że RODO m.in. daje kościołom lub związkom wyznaniowym możliwość przetwarzania szczególnych kategorii danych, do których, zgodnie z art. 9 RODO, zalicza się dane dotyczące przekonań religijnych. W myśl art. 9 ust. lit. d RODO jest to dopuszczalne w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach religijnych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą.

Wniosek o uprzednie konsultacje należy złożyć przed rozpoczęciem przetwarzania.

Z przepisów RODO wynika, że z wnioskiem o uprzednie konsultacje może wystąpić administrator danych (art. 36 ust. 1 RODO). Ustawa o ochronie danych osobowych do podmiotów, które mogą wystąpić o konsultacje zaliczyła również podmiot przetwarzający (art. 57 ust. 1 ustawy o ochronie danych osobowych).

Z wnioskiem o uprzednie konsultacje należy wystąpić w sytuacji, w której w wyniku przeprowadzonej oceny skutków dla ochrony danych na liście badanych operacji przetwarzania znajdą się operacje, dla których ryzyko naruszenia praw i wolności oszacowane zostało jako wysokie i gdy administrator danych nie może znaleźć środków wystarczających do zmniejszenia (zminimalizowania) tego ryzyka do dopuszczalnego poziomu (art. 36 RODO).

Wówczas przed rozpoczęciem przetwarzania danych należy wyniki przeprowadzonej oceny skonsultować z organem nadzorczym, chyba że administrator podejmie decyzję o nieprzetwarzaniu danych, np. niewprowadzaniu nowej usługi.

Podkreślić zatem warto, że jeżeli przeprowadzona ocena skutków dla ochrony danych wykazała, że przetwarzanie nie będzie powodować wysokiego ryzyka, wtedy nie ma podstaw do wystąpienia do organu o uprzednie konsultacje (art. 36 ust. 1 RODO). 

Uprzednie konsultacje są narzędziem służącym do współpracy pomiędzy organem nadzorczym oraz administratorem. Celem uprzednich konsultacji jest jak najlepsze zabezpieczenie operacji przetwarzania danych osobowych przez administratora przy współpracy organu nadzorczego.

Obowiązek taki został nałożony na dostawców publicznie dostępnych usług telekomunikacyjnych. Naruszenie danych osobowych powinno być zgłoszone niezwłocznie, ale nie później niż 24 godziny po wykryciu naruszenia. Termin ten wynika z art. 2 ust. 2 rozporządzenia Komisji (UE) Nr 611/2013. Ponieważ jest on krótszy niż termin wskazany w RODO, to przedsiębiorcy telekomunikacyjni powinni dołożyć wszelkich starań, aby przesłać wymagane prawem informacje w terminie 24, a nie 72 godzin.

W takich sprawach właściwy jest Kościelny Inspektor Ochrony Danych, a nie Prezes UODO. Zgodnie z art. 14 „Dekretu ogólnego w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Kościele katolickim”, prawo do żądania usunięcia danych nie przysługuje w przypadku, gdy dane dotyczą udzielonych sakramentów bądź w inny sposób odnoszą się do kanonicznego statusu osoby. Tego typu wniosek powinien zostać odnotowany w zbiorze i zobowiązuje administratora do niewykorzystywania danych objętych wnioskiem bez zgody ordynariusza miejsca lub wyższego przełożonego instytutu życia konsekrowanego lub stowarzyszenia życia apostolskiego.

Ta kwestia była przedmiotem rozstrzygnięć sądów administracyjnych przed rozpoczęciem stosowania RODO. Dla przykładu warto wskazać na postanowienie Naczelnego Sądu Administracyjnego z 21 maja 2018 r. (sygn. akt I OPS 6/17), w którym stwierdzono, że „GIODO jako organ administracji publicznej nie powinien wkraczać w zastrzeżoną dla Kościoła sferę wykonywania jego zadań statutowych i rozstrzygać kto jest członkiem danej wspólnoty wyznaniowej, ani też ingerować w treść ksiąg kościelnych. Czynności podejmowane w procedurze formalnego wystąpienia z Kościoła katolickiego, w tym adnotacje w akcie chrztu są w całości uregulowane w aktach prawnych Kościoła katolickiego. A zatem, organ ustala przynależność do Kościoła wyłącznie na podstawie dowodu, jakim jest akt chrztu z adnotacją o wystąpieniu z Kościoła. Ustalenie tego faktu na podstawie innych dowodów jest niedopuszczalne”.

Obecnie w tego typu sprawach Prezes UODO wydaje postanowienia o odmowie wszczęcia postepowania. Po 25 maja 2018 r. liczba tego typu skarg jest niewielka.

Źródło: https://uodo.gov.pl/pl/138/721

Zgodnie z treścią art. 27 rozporządzenia SIS II i art. 40 decyzji SIS II dostęp do danych wprowadzonych do Systemu Informacyjnego Schengen oraz prawo ich bezpośredniego przeglądania zastrzeżone są wyłącznie dla organów odpowiedzialnych za kontrole graniczne oraz inne kontrole policyjne i celne prowadzone w ramach danego kraju, jak również koordynację takich kontroli. Wskazać jednak należy, że prawo bezpośredniego dostępu do danych przetwarzanych w Systemie Informacyjnym Schengen przyznane zostało również krajowym organom sądowym, w tym odpowiedzialnym za oskarżanie w postępowaniu karnym oraz przesłuchania na etapie przed sporządzeniem aktu oskarżenia, w zakresie dotyczącym wykonywania ich zadań.

Organy odpowiedzialne za wydawanie wiz, organy centralne odpowiedzialne za rozpatrywanie wniosków wizowych oraz organy odpowiedzialne za wydawanie dokumentów pobytowych i za wykonywanie przepisów dotyczących obywateli państw trzecich w ramach stosowania dorobku unijnego w zakresie przemieszczania się osób mają prawo dostępu i bezpośredniego przeglądania danych dotyczących wpisów dotyczących cudzoziemców, którym odmawia się prawa wjazdu, oraz urzędowych blankietów, które zostały skradzione, wykorzystane w niewłaściwy sposób lub utracone, a także wydanych dokumentów tożsamości (paszportów, dowodów tożsamości, praw jazdy), które zostały skradzione, wykorzystane w niewłaściwy sposób lub utracone.

Ponadto na podstawie przepisów Rozporządzenia 1986/2006 Parlamentu Europejskiego i Rady z dnia 20 grudnia 2006 r. w sprawie dostępu służb odpowiedzialnych w państwach członkowskich za wydawanie świadectw rejestracji pojazdów do Systemu Informacyjnego Schengen drugiej generacji (SIS II) (Dz. Urz. L 381 z 2006 r., str. 1—3), służby odpowiedzialne za wydawanie świadectw rejestracji pojazdów uzyskały prawo dostępu do niektórych kategorii danych wprowadzonych do SIS, ale tylko w celu sprawdzenia, czy zgłoszone do rejestracji pojazdy zostały skradzione, przywłaszczone lub utracone lub czy są poszukiwane jako dowody w postępowaniu karnym.

Dodatkowo Europejski Urząd Policji (Europol) i Eurojust w ramach swoich mandatów mają ograniczony dostęp do niektórych danych w Systemie Informacyjnym Schengen dot. m.in. osób poszukiwanych w celu aresztowania, osób, których obecność jest wymagana w postępowaniu karnym czy osób zaginionych.

Dostęp do danych przetwarzanych w SIS II w Rzeczpospolitej Polskiej

Dostęp do danych przetwarzanych w Systemie Informacyjnym Schengen dla poszczególnych służb i organów administracyjnych w Rzeczpospolitej Polskiej regulowany jest przepisami ustawy o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym (Dz. U. Nr 165, poz.1170 z póź. zm). Wdrożone rozwiązania w zakresie udziału instytucji krajowych w SIS zakładają możliwość korzystania z systemu przez szerokie grono podmiotów przy uwzględnieniu zakresu kompetencyjnego wynikającego z przepisów krajowych regulujących ich funkcjonowanie. W art. 3 i art. 4 wymieniono enumeratywnie listę krajowych organów, które mają prawo dostępu do SIS II w Polsce, w związku z wykonywaniem zadań ustawowych. Są to m.in.: Policja, Straż Graniczna, sądy i prokuratury, Szef Urzędu do Spraw Cudzoziemców, organy kontroli skarbowej, Agencja Bezpieczeństwa Wewnętrznego , Żandarmeria Wojskowa, Centralne Biuro Antykorupcyjne, Służba Kontrwywiadu Wojskowego, Służba Wywiadu Wojskowego, Służba Celna, wojewodowie, konsulowie, minister właściwy do spraw zagranicznych, organy samorządowe właściwe w sprawach rejestracji pojazdów.

Źródło: uodo.gov.pl

Ogólne rozporządzenie o ochronie danych w art. 37 ust 1 RODO przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających wówczas, gdy:

1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.

Przez organy i podmioty publiczne obowiązane do wyznaczenia IOD, o których mowa w art. 37 ust. 1 lit. a RODO, rozumie się jednostki sektora finansów publicznych (np. jednostki samorządu terytorialnego, uczelnie publiczne), instytuty badawcze oraz Narodowy Bank Polski (art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).

2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę.
3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO.

W interpretacji terminów użytych w art. 37 ust. 1 lit. b i c RODO („główna działalność”, „regularne i systematyczne monitorowanie” i „na dużą skalę”) pomocne mogą być motywy RODO oraz Wytyczne Grupy Roboczej art. 29 dotyczące inspektora ochrony danych.

W pozostałych przypadkach wyznaczenie inspektora będzie fakultatywne. Jednakże nawet w sytuacji, gdy z przepisów nie wynika obowiązek wyznaczenia IOD, Grupa Robocza art. 29 w swoich wytycznych dotyczących inspektora ochrony danych zaleca administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury, przeprowadzonej w celu ustalenia i uwzględnienia poszczególnych przesłanek z art. 37 ust. 1 RODO istnienia lub braku tego obowiązku.

Źródło: uodo.gov.pl

Zgodnie z art. 91 ust. 2 RODO, kościoły lub związki wyznaniowe, które stosują szczegółowe zasady ochrony danych osobowych, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym. Czyli nie musi to być Prezes UODO.

Po 25 maja 2018 r. Prezes UODO został poinformowany bezpośrednio lub za pośrednictwem Rządu RP o wyznaczeniu następujących niezależnych organów nadzorczych:

• Kościelny Inspektor Ochrony Danych powołany przez Kościół katolicki,
• Kościelny Inspektor Ochrony Danych Osobowych Polskiego Autokefalicznego Kościoła Prawosławnego,
• Kurator Ochrony Danych Osobowych Kościoła Adwentystów Dnia Siódmego w Rzeczypospolitej Polskiej,
• Ewangelicka Komisja Wspólna Ochrony Danych Osobowych powołana przez Kościół Ewangelicko-Augsburski i Kościół Ewangelicko-Reformowany w RP,
• Międzykościelna Komisja Ochrony Danych Osobowych, utworzona przez:
• Kościół Boży w Polsce z siedzibą w Krakowie,
• Społeczność Chrześcijańska Miejsce Odnowienia z siedzibą w Lublinie,
• Wspólnotę Chrześcijańską „Wrocław dla Jezusa”  z siedzibą we Wrocławiu,
• Kościół Pentekostalny w Rzeczpospolitej z siedzibą w Żorach,
• Zbór Ewangelicko-Baptystycznego  z siedzibą w Katowicach,
• Misję Pokoleń z siedzibą w Krakowie,
• Ewangeliczny Kościół Metodystyczny z siedzibą w Krakowie,
• Powszechny Kościół Ludu Bożego z siedzibą w Jarocinie.

Przetwarzanie danych w kościołach lub związkach wyznaniowych, które nie stosują autonomicznych regulacji w zakresie ochrony danych osobowych podlega nadzorowi Prezesa UODO. Nadzorowi Prezesa UODO podlegają także te obszary przetwarzania danych, do których bezpośrednio stosuje się RODO.

Źródło: https://uodo.gov.pl/pl/138/721