Inspektor Ochrony Danych to to osoba powoływana przez administratora lub podmiot przetwarzający (procesor), do której obowiązków należy pomoc przy przestrzeganiu w firmie lub organizacji przepisów o ochronie danych osobowych. W szczególności obowiązkiem Inspektora jest informowanie i doradzanie administratorowi lub procesorowi, jak i również ich pracownikom, w zakresie obowiązków wynikających z przepisów prawa o ochronie danych, monitorowanie zgodności organizacji z wszystkimi przepisami prawa dotyczących ochrony danych, dokonywanie audytów, promowanie wszelkich działań podnoszących świadomość, a także przeprowadzanie szkoleń dla personelu zajmującego się przetwarzaniem danych, udzielanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania. Inspektor Ochrony Danych pełni funkcję punktu kontaktowego dla osób fizycznych składających wnioski i żądania dotyczące przetwarzania ich danych osobowych i wykonywania ich praw, współpracuje z organami ochrony danych i pełni w tym zakresie funkcję punktu kontaktowego dla organów ochrony danych w kwestiach związanych z przetwarzaniem. Inspektor Ochrony Danych włączany jest we wszystkie sprawy organizacji dotyczące ochrony danych osobowych.
Inspektor Ochrony Danych jest umieszczony w strukturze organizacyjnej administratora danych lub podmiotu przetwarzającego bezpośrednio pod najwyższym kierownictwem, jest to gwarancja niezależności, zajmowanie tak wysokiej pozycji inspektora ochrony danych w strukturze administratora danych, skraca drogę raportowania, co ułatwia konieczności podejmowania szybkich działań naprawczych w sytuacji naruszenia ochrony danych osobowych. W ramach wypełniania swoich zadań inspektor ochrony danych, nie może otrzymywać poleceń dotyczących sposobu załatwienia sprawy, środków jakie mają zostać podjęte, czy też celu jaki powinien zostać osiągnięty. Ponadto, administrator nie powinien uniemożliwiać, bądź ograniczać inspektorowi ochrony danych kontaktu z Prezesem Urzędu Ochrony Danych Osobowych. Administrator lub podmiot przetwarzający nie może odwołać ani karać Inspektora Ochrony Danych za wypełnianie przez niego zadań. Oczywiście przepis ten należy odnosić do obiektywnie prawidłowego wykonywania zadań. Inspektor nie może zostać odwołany ani ukarany za udzielenie określonego zalecenia, nawet jeśli jest ono niezgodne ze stanowiskiem reprezentowanym przez administratora lub podmiot przetwarzający. Zakaz odwoływania inspektora ochrony danych, nie dotyczy sytuacji z przyczyn innych niż wykonywanie swoich obowiązków.
Inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego (procesora), jak i osoba spoza grona podmiotów wyżej wymienionych. Możliwe jest pełnienie funkcji inspektora ochrony danych w modelu outsourcingu, na podstawie umowy o świadczenie usług. Ważne jest by umowa taka zawierała w swojej treści odpowiednie postanowienia dotyczące pełnienia funkcji Inspektora Ochrony Danych.
Do wyznaczenia Inspektora zobowiązane są organy i podmioty publiczne, podmioty przetwarzające na dużą skalę szczególne kategorie danych osobowych (tzw. danych wrażliwych określanych również jako dane sensytywne). Do takiej kategorii należą dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. W przypadku podmiotów, których główna działalność polega na regularnym i systematycznym monitorowaniu osób, których dane dotyczą na dużą skalę. Przy określaniu pojęcia “regularne i systematyczne monitorowanie osób” należy posiłkować się art. 29 wytycznych Grupy Roboczej. Zgodnie z tym wskazano następujące przykłady takich działalności: obsługa sieci telekomunikacyjnej lub świadczenie usług telekomunikacyjnych, przekierowywanie poczty elektronicznej, działania marketingowe oparte na danych, profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy), śledzenie lokalizacji (na przykład przez aplikacje mobilne), wszelkie programy lojalnościowe czy reklama behawioralna, monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych, szeroko rozumiany monitoring wizyjny, urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa.
Przepisy RODO nie definiują pojęcia “dużej skali” (nie wskazują liczby osób i konkretnych wartości, których dane przetwarzamy). Przy określaniu czy przetwarzanie następuje na dużą skalę powinno się uwzględnić między innymi takie czynniki jak: liczba osób, których dane dotyczą, zakres przetwarzanych danych osobowych, czas lub okres, przez jaki dane są przetwarzane oraz zakres geograficzny. Dla przykładu warto wskazać takie czynności: (śledzenie podróżnych korzystających z „kart miejskich”, czy też przetwarzanie danych przez banki, zakłady ubezpieczeń, dostawców usług telefonicznych lub internetowych). Ciekawostką jest to, że Państwa członkowskie mogą przewidzieć również inne sytuacje, w których powołany będzie obligatoryjnie inspektor ochrony danych, polski ustawodawca nie skorzystał z takiej możliwości.
W przypadku pozostałych podmiotów, wyznaczenie Inspektora Ochrony Danych będzie fakultatywne, lecz obowiązek powołania Inspektora mają między innymi wszelkie podmioty świadczące usługi ochrony mienia, które monitorują przestrzeń publiczną, szpitale czy placówki opieki zdrowotnej, które nie mogą realizować świadczeń medycznych bez przetwarzania danych osobowych pacjenta, a także firmy marketingowe, w tym zwłaszcza firmy zajmujące się szeroko rozumianą obsługą Call Center.
Jeżeli masz problemy lub trudności z określeniem skali na jaką przetwarzasz dane osobowe, nie jesteś w stanie określić, czy Twoja działalność polega na regularnym i systematycznym monitorowaniu osób, których dane dotyczą na dużą skalę, skontaktuj się z nami a Nasz Inspektor Ochrony Danych pomoże Tobie rozwiązać ten problem.
Do wyznaczenia Inspektora zobowiązane są organy i podmioty publiczne, podmioty przetwarzające na dużą skalę szczególne kategorie danych osobowych (tzw. danych wrażliwych określanych również jako dane sensytywne). Do takiej kategorii należą dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. W przypadku podmiotów, których główna działalność polega na regularnym i systematycznym monitorowaniu osób, których dane dotyczą na dużą skalę. Przy określaniu pojęcia “regularne i systematyczne monitorowanie osób” należy posiłkować się art. 29 wytycznych Grupy Roboczej. Zgodnie z tym wskazano następujące przykłady takich działalności: obsługa sieci telekomunikacyjnej lub świadczenie usług telekomunikacyjnych, przekierowywanie poczty elektronicznej, działania marketingowe oparte na danych, profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy), śledzenie lokalizacji (na przykład przez aplikacje mobilne), wszelkie programy lojalnościowe czy reklama behawioralna, monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych, szeroko rozumiany monitoring wizyjny, urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa.
Przepisy RODO nie definiują pojęcia “dużej skali” (nie wskazują liczby osób i konkretnych wartości, których dane przetwarzamy). Przy określaniu czy przetwarzanie następuje na dużą skalę powinno się uwzględnić między innymi takie czynniki jak: liczba osób, których dane dotyczą, zakres przetwarzanych danych osobowych, czas lub okres, przez jaki dane są przetwarzane oraz zakres geograficzny. Dla przykładu warto wskazać takie czynności: (śledzenie podróżnych korzystających z „kart miejskich”, czy też przetwarzanie danych przez banki, zakłady ubezpieczeń, dostawców usług telefonicznych lub internetowych). Ciekawostką jest to, że Państwa członkowskie mogą przewidzieć również inne sytuacje, w których powołany będzie obligatoryjnie inspektor ochrony danych, polski ustawodawca nie skorzystał z takiej możliwości.
W przypadku pozostałych podmiotów, wyznaczenie Inspektora Ochrony Danych będzie fakultatywne, lecz obowiązek powołania Inspektora mają między innymi wszelkie podmioty świadczące usługi ochrony mienia, które monitorują przestrzeń publiczną, szpitale czy placówki opieki zdrowotnej, które nie mogą realizować świadczeń medycznych bez przetwarzania danych osobowych pacjenta, a także firmy marketingowe, w tym zwłaszcza firmy zajmujące się szeroko rozumianą obsługą Call Center.
Jeżeli masz problemy lub trudności z określeniem skali na jaką przetwarzasz dane osobowe, nie jesteś w stanie określić, czy Twoja działalność polega na regularnym i systematycznym monitorowaniu osób, których dane dotyczą na dużą skalę, skontaktuj się z nami a Nasz Inspektor Ochrony Danych pomoże Tobie rozwiązać ten problem.
Inspektora Ochrony Danych można wyznaczyć w formie postanowienia zawartego w umowie, jak i również w formie oświadczenia woli administrator danych osobowych, czyli w drodze uchwały lub zarządzenia przez uprawniony do organ. Jak wynika z informacji powyżej to Administrator Danych odpowiada za znalezienie i wybór osoby, która spełnia wszelkie wymagania. Administrator Danych musi zgłosić Inspektora Ochrony Danych do organu nadzorczego, czyli Prezesa Urzędu Ochrony Danych Osobowych. Wykonanie tej czynności musi odbyć się w nieprzekraczalnym terminie 14 dniu od momentu wyznaczenia Inspektora. Zgłoszenia dokonuje się w formie elektronicznej, czyli przy użyciu dokumentu elektronicznego, który opatrzony jest kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Zgłoszenia tego można dokonać na udostępnionym formularzu, który znajduje się na stronie internetowej Prezesa Urzędu Ochrony Danych Osobowych. W zawiadomieniu o wyznaczeniu IOD należy podać informacje dotyczące zarówno administratora danych osobowych, jak również wyznaczonego IOD. To jeszcze nie wszystko, Administrator danych osobowych lub podmiot przetwarzający, który wyznaczył IOD, musi niezwłocznie po wyznaczeniu udostępnić dane dotyczące jego osoby (tj.: imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu), na swojej stronie internetowej, jeżeli nie prowadzi własnej strony internetowej, to w sposób ogólnie dostępny w miejscu prowadzenia działalności (np. na zakładowej tablicy ogłoszeń, o ile jest ona dostępna również dla osób trzecich).
Inspektor Ochrony Danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych, mający wiedzę biznesową i sektorową obejmującą przedmiot działalności administratora lub procesora oraz umiejętności wypełnienia zadań wynikających z RODO. Poziom wiedzy inspektora powinien być dostosowany do indywidualnych potrzeb administratora danych i podmiotu przetwarzającego. Nigdzie nie określono jednoznacznie wymaganego poziomu fachowej wiedzy jaką powinien posiadać Inspektor lecz poziom wiedzy musi być adekwatny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach pracy danej jednostki. W związku z tym wybierając Inspektora Ochrony Danych należy mieć na względzie indywidualny charakter przetwarzania danych osobowych w ramach konkretnej jednostki.
Liczba obsługiwanych podmiotów powinna się mieścić w racjonalnych granicach. Ocena tej kwestii uzależniona jest od wielu czynników, w tym m.in. od: efektywnej dostępności inspektora, możliwości uzyskania przez niego szczegółowej wiedzy dotyczącej funkcjonowania podmiotu, dysponowania przez niego odpowiednią ilością czasu do zakresu zadań i specyfiki procesów przetwarzania danych, a także wielkości struktury organizacyjnej jednostki będącej administratorem danych.
Inspektora Ochrony Danych można wyznaczyć w formie postanowienia zawartego w umowie, jak i również w formie oświadczenia woli administrator danych osobowych, czyli w drodze uchwały lub zarządzenia przez uprawniony do organ. Jak wynika z informacji powyżej to Administrator Danych odpowiada za znalezienie i wybór osoby, która spełnia wszelkie wymagania. Administrator Danych musi zgłosić Inspektora Ochrony Danych do organu nadzorczego, czyli Prezesa Urzędu Ochrony Danych Osobowych. Wykonanie tej czynności musi odbyć się w nieprzekraczalnym terminie 14 dniu od momentu wyznaczenia Inspektora. Zgłoszenia dokonuje się w formie elektronicznej, czyli przy użyciu dokumentu elektronicznego, który opatrzony jest kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Zgłoszenia tego można dokonać na udostępnionym formularzu, który znajduje się na stronie internetowej Prezesa Urzędu Ochrony Danych Osobowych. W zawiadomieniu o wyznaczeniu IOD należy podać informacje dotyczące zarówno administratora danych osobowych, jak również wyznaczonego IOD. To jeszcze nie wszystko, Administrator danych osobowych lub podmiot przetwarzający, który wyznaczył IOD, musi niezwłocznie po wyznaczeniu udostępnić dane dotyczące jego osoby (tj.: imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu), na swojej stronie internetowej, jeżeli nie prowadzi własnej strony internetowej, to w sposób ogólnie dostępny w miejscu prowadzenia działalności (np. na zakładowej tablicy ogłoszeń, o ile jest ona dostępna również dla osób trzecich).
Inspektor Ochrony Danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych, mający wiedzę biznesową i sektorową obejmującą przedmiot działalności administratora lub procesora oraz umiejętności wypełnienia zadań wynikających z RODO. Poziom wiedzy inspektora powinien być dostosowany do indywidualnych potrzeb administratora danych i podmiotu przetwarzającego. Nigdzie nie określono jednoznacznie wymaganego poziomu fachowej wiedzy jaką powinien posiadać Inspektor lecz poziom wiedzy musi być adekwatny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach pracy danej jednostki. W związku z tym wybierając Inspektora Ochrony Danych należy mieć na względzie indywidualny charakter przetwarzania danych osobowych w ramach konkretnej jednostki.
Liczba obsługiwanych podmiotów powinna się mieścić w racjonalnych granicach. Ocena tej kwestii uzależniona jest od wielu czynników, w tym m.in. od: efektywnej dostępności inspektora, możliwości uzyskania przez niego szczegółowej wiedzy dotyczącej funkcjonowania podmiotu, dysponowania przez niego odpowiednią ilością czasu do zakresu zadań i specyfiki procesów przetwarzania danych, a także wielkości struktury organizacyjnej jednostki będącej administratorem danych.
Cookie | Duration | Description |
---|---|---|
__lc_cid | 2 years | This is an essential cookie for the website live chat box to function properly. |
__lc_cst | 2 years | This cookie is used for the website live chat box to function properly. |
__oauth_redirect_detector | past | This cookie is used to recognize the visitors using live chat at different times inorder to optimize the chat-box functionality. |
Cookie | Duration | Description |
---|---|---|
_ga | 2 years | The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors. |
_ga_5QLCQFF42K | 2 years | This cookie is installed by Google Analytics. |
_gat_gtag_UA_10130161_1 | 1 minute | Set by Google to distinguish users. |
_gid | 1 day | Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously. |
CONSENT | 2 years | YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data. |
Cookie | Duration | Description |
---|---|---|
NID | 6 months | NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads. |
VISITOR_INFO1_LIVE | 5 months 27 days | A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface. |
YSC | session | YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages. |
yt-remote-connected-devices | never | YouTube sets this cookie to store the video preferences of the user using embedded YouTube video. |
yt-remote-device-id | never | YouTube sets this cookie to store the video preferences of the user using embedded YouTube video. |