Inspektor ochrony danych według GDPR | KPMG | PL

Inspektor ochrony danych według GDPR | Magdalena Bęza

Inspektor ochrony danych według GDPR | Magdalena Bęza

W kwietniu 2016 roku przyjęto Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy nr 95/46/WE, tzw. General Data Protection Regulation (dalej „GDPR”).

Powiązane treści

 Inspektor ochrony danych według GDPR | Magdalena Bęza

GDPR weszło już w życie, przy czym wymóg wdrożenia jego przepisów będzie obowiązywał od 25 maja 2018 roku.

GDPR przewiduje m.in. funkcję inspektora ochrony danych (dalej „Inspektor”), który co do zasady będzie odpowiednikiem administratora bezpieczeństwa informacji na gruncie aktualnej ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku (dalej „ABI”).

W przeciwieństwie do aktualnych przepisów, w myśl których wyznaczenie ABI jest fakultatywne, GDPR przewiduje przypadki, kiedy powołanie Inspektora będzie obowiązkowe, tj:

  1. W odniesieniu do podmiotów publicznych (np. gminy), za wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości;
  2. Gdy główna działalność administratora lub podmiotu przetwarzającego dane polega na takich operacjach przetwarzania, które – ze względu na charakter, zakres lub cele - wymagają regularnego i systematycznego monitorowania podmiotów danych, na dużą skalę (np. firmy monitorujące aktywność konsumentów w internecie);
  3. W przypadku administratorów danych lub podmiotów przetwarzających, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych (tzw. danych wrażliwych), w tym danych osobowych dotyczących wyroków skazujących i naruszeń prawa (np. zakłady karne).

Zgodnie z GDPR, Inspektor ma być włączany we wszystkie sprawy w ramach danego podmiotu, dotyczące przetwarzania danych osobowych. Do podstawowych obowiązków Inspektora będzie należało:

  1. Informowanie administratora/podmiotu przetwarzającego oraz ich pracowników o ich obowiązkach wynikających z GDPR;
  2. Szkolenie personelu w zakresie ochrony danych osobowych;
  3. Wykonywanie audytu ochrony danych osobowych;
  4. Współpraca z organem nadzorczym (Generalnym Inspektorem Ochrony Danych Osobowych – GIODO), w tym na wypadek kontroli wszczętej przez ten organ;
  5. Pełnienie funkcji punktu kontaktowego dla GIODO w kwestiach związanych z przetwarzaniem danych osobowych (np. w przypadku wszczętej przez GIODO kontroli przetwarzania danych osobowych przez dany podmiot).

GDPR przewiduje również gwarancje niezależności Inspektora, obejmujące przede wszystkim nakaz jego podlegania wyłącznie najwyższemu kierownictwu danego podmiotu, zakaz wydawania mu instrukcji co do sposobu wykonywania jego obowiązków oraz zakaz odwoływania lub karania Inspektora za wykonywanie jego zadań.

Co istotne, naruszenie wymogów GDPR dotyczących Inspektora (np. jego niepowołanie pomimo stosownego obowiązku) wiąże się z ryzykiem zapłaty wysokich kar pieniężnych, które będą nakładane na administratorów lub podmioty przetwarzające przez GIODO. Wskazane kary mogą wynieść nawet
10 mln EUR lub – w przypadku przedsiębiorstw - 2% rocznego światowego obrotu osiągniętego w poprzedzającym roku obrotowym (przy czym do przedsiębiorstw zastosowanie będzie miała wyższa z tych kwot).

Aby uniknąć ryzyka zapłaty tak wysokich kar, warto, aby organizacje (w tym przedsiębiorcy) już teraz dokonały weryfikacji, czy dotyczy ich obowiązek powołania Inspektora. Jeżeli tak, to oprócz wyznaczenia konkretnej osoby do pełnienia funkcji Inspektora, konieczne będzie ustalenie, jakie działania dotyczące Inspektora będą potrzebne w celu dostosowania jego obowiązków, uprawnień i miejsca w strukturze organizacyjnej do wymogów wynikających z przepisów GPDR oraz możliwie szybkie podjęcie tych działań.
 

10 najważniejszych rzeczy, które musisz wiedzieć o nowym ogólnym rozporządzeniu o ochronie danych osobowych (GDPR)

10 najważniejszych rzeczy, które musisz wiedzieć o nowym ogólnym rozporządzeniu o ochronie danych osobowych (GDPR)

Przybliżamy GDPR – wskazujemy na 10 najważniejszych rzeczy, które musisz wiedzieć o nowym rozporządzeniu o ochronie danych osobowych.

Know Your Market - doradztwo prawne dla e-commerce i sklepów stacjonarnych

Know Your Market - doradztwo prawne dla e-commerce i sklepów stacjonarnych

Doradztwo prawne w zakresie handlu w Internecie oraz w obszarze stacjonarnego funkcjonowania marketów, sklepów i dyskontów.

Subskrybuj

Subskrybuj

Subskrybuj i otrzymuj powiadomienia o nowych publikacjach KPMG mailem.

Bądź z nami w kontakcie

 

Zapytanie ofertowe (RFP)

 

Prześlij

Nowa platforma KPMG

Stworzyliśmy platformę KPMG po to, aby wyjść naprzeciw oczekiwaniom naszych użytkowników oraz aby pomóc im odnaleźć informacje dopasowane do ich zainteresowań.