Jeden Inspektor Ochrony Danych Osobowych dla kilku podmiotów

Rafał Andrzejewski | 28.02.2018

Inspektor ochrony danych

W prze­ci­wień­stwie do usta­wy o ochro­nie da­nych oso­bo­wych ogól­ne roz­po­rzą­dze­nie o ochro­nie da­nych za­wie­ra prze­pi­sy pra­wa do­ty­czą­ce  moż­li­wo­ści po­wo­ła­nia jed­ne­go in­spek­to­ra ochro­ny da­nych dla kil­ku podmio­tów. Prze­pi­sy te wska­zu­ją rów­nież wa­run­ki, ja­kie na­le­ży speł­nić sto­su­jąc ta­kie roz­wią­za­nie.

W przy­pad­ku podmio­tów pry­wat­nych, jed­ne­go in­spek­to­ra mo­że po­wo­łać gru­pa przed­się­biorstw (np. gru­pa ka­pi­ta­ło­wa), o ile moż­na bę­dzie ła­two na­wią­zać z nim kon­takt z każ­dej jed­nost­ki or­ga­ni­za­cyj­nej (art. 37 ust. 2 RODO). Je­że­li ad­mi­ni­stra­tor lub podmiot prze­twa­rza­ją­cy są or­ga­nem lub podmio­tem pu­blicz­nym, dla kil­ku ta­kich or­ga­nów lub podmio­tów moż­na wy­zna­czyć – z uwzględ­nie­niem ich struk­tu­ry or­ga­ni­za­cyj­nej i wiel­ko­ści – jed­ne­go in­spek­to­ra ochro­ny da­nych (art. 37 ust. 3 RODO).

Jak wy­ni­ka z Wy­tycz­nych Gru­py Ro­bo­czej art. 29 do­ty­czą­cych in­spek­to­rów da­nych oso­bo­wych, wy­zna­cza­jąc jed­ne­go in­spek­to­ra ochro­ny da­nych dla kil­ku podmio­tów (za­rów­no pu­blicz­nych, jak i pry­wat­nych), na­le­ży uwzględ­nić, że mu­si on być „ła­two do­stęp­ny” dla osób we­wnątrz or­ga­ni­za­cji, któ­re po­dej­mu­ją de­cy­zje oraz dzia­ła­nia zwią­za­ne z prze­twa­rza­niem da­nych oso­bo­wych (czy­li za­rów­no dla osób spra­wu­ją­cych funk­cje kie­row­ni­cze u da­ne­go ad­mi­ni­stra­to­ra lub podmio­tu prze­twa­rza­ją­ce­go, jak i ich pra­cow­ni­ków), ze wzglę­du na to, iż jed­nym z za­dań DPO jest:

in­for­mo­wa­nie ad­mi­ni­stra­to­ra, podmio­tu prze­twa­rza­ją­ce­go oraz pra­cow­ni­ków, któ­rzy prze­twa­rza­ją da­ne oso­bo­we, o obo­wiąz­kach spo­czy­wa­ją­cych na nich na mo­cy ni­niej­sze­go roz­po­rzą­dze­nia (art. 39 ust 1 lit. a RODO).

DPO peł­ni po­nad­to funk­cję punk­tu kon­tak­to­we­go dla or­ga­nu nad­zor­cze­go oraz osób, któ­rych da­ne są prze­twa­rza­ne. W związ­ku z po­wyż­szym, każ­dy z wy­mie­nio­nych podmio­tów, po­wi­nien po­sia­dać moż­li­wość bez­po­śred­nie­go kon­tak­tu z po­wo­ła­nym DPO. Nie ozna­cza to, że in­spek­tor ochro­ny da­nych ma być do­stęp­ny oso­bi­ście, ale że moż­na z nim bez pro­ble­mu na­wią­zać kon­takt np. przez te­le­fon, e-ma­il lub in­ny bez­piecz­ny śro­dek ko­mu­ni­ka­cji. Na­le­ży pa­mię­tać, że moż­li­wość kon­tak­tu z in­spek­torem ochro­ny da­nych ozna­cza też, że oso­by, któ­re chcą się z nim po­ro­zu­mieć, powin­ny mieć ta­ką moż­li­wość w uży­wa­nym przez sie­bie ję­zy­ku, co oczy­wi­ście nie wy­łą­cza moż­li­wo­ści peł­nie­nia funk­cji DPO przez ob­co­kra­jow­ca. W ce­lu za­pew­nie­nia moż­li­wo­ści ła­twe­go kon­tak­tu z DPO, czy to we­wnętrz­nym czy ze­wnętrz­nym, istot­ne jest udo­stęp­nie­nie je­go da­nych kon­taktowych zgod­nie z wy­mo­ga­mi RODO.

Szukasz osoby, która będzie pełniła funkcję inspektora ochrony danych w Twojej firmie?

Z po­wyż­sze­go moż­na wnio­sko­wać, że roz­wią­za­nie to mo­że być sto­so­wa­ne tyl­ko wów­czas, gdy mi­mo wy­ko­ny­wa­nia swo­ich za­dań dla kil­ku podmio­tów, in­spek­tor ochro­ny da­nych bę­dzie w sta­nie czy­nić to efek­tyw­nie, w spo­sób rze­tel­ny i kom­pe­tent­ny. Ad­mi­ni­stra­to­rzy i podmio­ty prze­twa­rza­ją­ce po­win­ny się na nie de­cy­do­wać ze świa­do­mo­ścią cią­żą­cej na nich od­po­wie­dzial­no­ści za zgod­ne z ogól­nym roz­po­rzą­dze­niem o ochro­nie da­nych prze­twa­rza­nie da­nych oso­bo­wych. W ta­kich przy­pad­kach nie­zbęd­ne bę­dzie pod­ję­cie przez nich usta­leń do­ty­czą­cych ich współ­pra­cy w za­kre­sie za­pew­nie­nia DPO pra­wi­dło­wych wa­run­ków wy­ko­ny­wa­nia funk­cji (m.in. pod wzglę­dem cza­so­wym i or­ga­ni­za­cyj­nym, pod wzglę­dem za­pew­nie­nia wy­star­cza­ją­cych za­so­bów, włą­cza­nia we wszyst­kie spra­wy do­ty­czą­ce ochro­ny da­nych oso­bo­wych oraz prze­wi­dzia­nych w RODO gwa­ran­cji je­go nie­za­leż­no­ści).

Każ­dy z tych ad­mi­ni­stra­to­rów mu­si za­pew­nić ła­twy do­stęp do in­spek­tora ochro­ny da­nych za­rów­no we­wnątrz or­ga­ni­za­cji, jak i wo­bec podmio­tów, któ­rych da­ne są prze­twa­rza­ne i or­ga­nu nad­zor­cze­go. Za­tem z ob­słu­gi jed­ne­go DPO nie mo­że ko­rzy­stać jed­no­cze­śnie wie­lu ad­mi­ni­stra­to­rów, bę­dą­cych du­ży­mi, od­le­gły­mi od sie­bie podmio­ta­mi. Na­le­ży prze­wi­dy­wać, że ko­rzy­stać z te­go roz­wią­za­nia bę­dą przede wszyst­kim nie­wiel­kie podmio­ty, w ja­kiś spo­sób ze so­bą po­wią­za­ne, prze­twa­rza­ją­ce da­ne oso­bo­we w zbli­żo­nych ce­lach lub w po­dob­ny spo­sób (np. przy wy­ko­rzy­sta­niu ta­kich sa­mych środ­ków in­for­ma­tycz­nych czy roz­wią­zań or­ga­ni­za­cyj­nych).

Źró­dło:

– gio­do.gov.pl

Skontaktuj się z nami!

Administrator przywiązuje szczególną wagę do poszanowania prywatności osób fizycznych korzystających ze świadczonych przez niego usług, dlatego wprowadził niniejszą Politykę zawierającą informacje o przetwarzaniu przez niego danych osobowych.

Podstawą prawną Polityki jest RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).