Zapisz się do newslettera!

Chcesz być zawsze na bieżąco z tematyką bloga? Interesuje Cię praktyczna wiedza i jej źródła? Raz w miesiącu przesyłam informację o nowych wpisach z bloga oraz o praktycznych rozwiązaniach pojawiających się problemów. Żadnych obcych reklam.

Share this:

31 grudnia 2019

Co znajdziemy w Podręczniku IODa autorstwa D. Korff’a i M. Georges?

w kategorii RODO

W okresie międzyświątecznym UODO opublikował polskojęzyczną wersje Podręcznika Inspektora Ochrony Danych przygotowanego przez Prof. D. Korff’a oraz M. Georges. Publikacja ta była już dostępna od września 2019 r. na stronach SSRN (w języku angielskim), a została zatwierdzony przez Komisję Europejską w lipcu 2019 r. Podręcznik został opracowany w grudniu 2018 r. (str. 33).

Przedstawienie podręcznika trzeba rozpocząć od tego, że nie stworzyli go pracownicy żadnego z europejskich organów nadzorczych (choć jak podkreślają jego autorzy znaczny wkład do opracowania pochodzi od włoskiego organu nadzorczego) i dlatego tezy w nim zawarte nie stanowią oficjalnej wykładni przepisów RODO.

Moim zdaniem w żaden sposób nie umniejsza to walorem merytorycznym czy edukacyjnym tego opracowania.

Publikacja kierowana jest dla Inspektorów Ochrony Danych sektora publicznego, ale rozwiązania w niej zawartej bez przeszkód mogą posłużyć, czy też pomóc w codziennej pracy Inspektorów w innych sektorach, w tym publicznym.

Opracowanie podzielone jest na trzy główne części. Pierwsza z nich dotyczy historii prawa i koncepcji „poufności”, „prywatności” i „ochrony danych”. Druga dotyczy już stricte przepisów ogólnego rozporządzenia o ochronie danych i zawiera omówienie podejścia do m.in. zasad rozliczalności oraz wskazania kwalifikacji i funkcji Inspektora Ochrony Danych.

Natomiast trzecia część, na której się skupię w tym wpisie, dotyczy praktycznych wskazówek wykonywania zadań samego Inspektora Ochrony Danych oraz tych elementów operacji przetwarzania danych osobowych, gdzie jego zaangażowanie jest niezbędne.

Rozdział ten podzielono na siedem kategorii, które posłużą nam do wskazania najważniejszych ich elementów:

Jak widać wykaz zadań wykracza stanowczo poza zadania Inspektora Ochrony Danych wskazane w art. 39 RODO, co należy ocenić bardzo pozytywnie. Inspektor Ochrony Danych powinien być rozumiany w organizacji jako menadżer zarządzający nie tylko już posiadanymi bazami danych osobowych, ale jako osoba, z którą podejmuje się rozmowy na etapie projektowania takich procesów.

W zadaniu wstępnym, polegającym na ustaleniu zakresu środowiska administratora, warto zwrócić uwagę na poznanie przez IODa zasad i funkcjonalności działających w organizacji technicznych systemów teleinformatycznych oraz architektury systemu (str. 132):

W zakresie funkcji organizacyjny warto wskazać, że polegać one mają na zinwentaryzowaniu operacji przetwarzania danych osobowych w całej organizacji. Taki spis wszystkich operacji przetwarzania autorzy podręcznika dzielą na dwa działania. Pierwszym z nich jest przygotowaniem wstępnego spisu operacji przetwarzania danych osobowych i może zawierać wyłącznie ogólny zarys tychże operacji. Drugi jest już przygotowaniem pełnego spisu, który powinien prowadzić do stworzenia rejestru czynności przetwarzania danych osobowych (art. 30 ust. 1 RODO) oraz w pewnych przypadkach także do stworzenia rejestru wszystkich kategorii czynności przetwarzających (art. 30 ust. 2 RODO).

Publikacja zawiera przykładowe wzory:

  1. podstawowego rejestru przetwarzania danych administratora (str. 139),
  2. podstawowego rejestru przetwarzania danych podmiotu przetwarzającego (str. 141),
  3. szczegółowego rejestru czynności przetwarzania danych osobowych (str. 145),

Warto zaznaczyć, że autorzy podręcznika odnieśli się także do takich elementów jak:

  1. sprawdzenie i odnotowanie prawidłowych metod usuwania/niszczenia różnych kategorii danych i nośników danych (co także jest podnoszone przez nasz krajowy organ nadzorczy – zobacz informacje w 7 numerze Newslettera UODO – https://uodo.gov.pl/p/archiwum-newslettera-dla-iod 3):
  2. zadania pytań i spisania odpowiedzi w zakresie przetwarzania danych osobowych na podstawie zgody:

Trzecim krokiem Inspektora Ochrony Danych jest przeprowadzenie dogłębnego przeglądu wszystkich zarejestrowanych operacji przetwarzania danych, tak aby móc stwierdzić, że działania na tych danych osobowych odbywają się zgodnie z zasadami przyjętymi w RODO.

W tym zadaniu niezbędne jest uwzględnienie poniższych kryteriów:

Czwartym krokiem jest wspomaganie przeprowadzenia w organizacji oceny skutków dla ochrony danych. Ta sekcja podręcznika zajmuje autorom najwięcej miejsca, co wskazuje, że temat ten jest z jednej strony skomplikowany, a z drugiej, że jego prawidłowe zrozumienie i przeprowadzenie niesie za sobą doniosłe skutki dla przetwarzania danych osobowych w danym procesie.

Piątym krokiem jest kwestia monitorowania przestrzegania prawa, a więc także rozpoznawanie czy też wykonywanie żądań osób, których dane dotyczą. Tutaj autorzy podręcznika wskazują na treść motywu 97 RODO i to, że „monitorowanie” zgodności nie może być jednorazowym działaniem (str. 187):

Szósty krok dotyczy postępowania z naruszeniami ochrony danych. Tutaj przekaz oparto na wytycznych Grupy Roboczej art. 29, więc dla większości z Was nie będą to żadne zaskakujące twierdzenia. Choć na pewno warto podkreślić, że (str. 191):

Siódmy krokiem przeprowadzanie przez Inspektora Ochrony Danych dochodzeń polegających na badaniu spraw i okoliczności bezpośrednio związanych z jego zadaniami oraz zgłaszać je osobie, której dane dotyczą lub organowi nadzorczemu czy też najwyższemu kierownictwu. Ciekawym głosem w dyskusji jest stwierdzenie autorów, że w przypadku braku porozumienia między Inspektorem Ochrony Danych, a najwyższym kierownictwem co do zasadności wprowadzenia zmian w procesie przetwarzania danych powinien on przekazać taką sprawę do organu nadzorczego (str. 207).

I na koniec nie mógłbym nie wskazać, że w omawianym podręczniku znajdziemy też sekcję (1.4.3.), która dotyczy zadań Inspektora Ochrony Danych wyznaczonego na kanwie dyrektywy DODO (tutaj wskazywanej jako skrót LEDPD od Law Enforcement Data Protection Directive).

Autorzy wskazują na konieczność oddzielnego przechowywania danych osobowych przetwarzanych w operacjach, które podlegają RODO oraz ustawie DODO (str. 53):

oraz szeroko tłumaczą pojęcie „właściwego organu”, które oczywiście powinno być zawsze rozpatrywane łącznie z celem przetwarzania danych osobowych, a więc ich związku z zapobieganiem i zwalczaniem przestępczości:

oraz co istotne to także wskazanie pewnego zakresu przetwarzania danych dotyczących bezpieczeństwa publicznego, a wchodzących w zakres RODO:

 

Podsumowując dobrze się stało, że powstała inicjatywa, dzięki której udało się przetłumaczyć omówioną publikację. Na pewno porządkuje ona kwestie podejścia Inspektora Ochrony Danych do swoich obowiązków.

Na końcu chciałbym dodać, że dzięki dalszej współpracy z Wydawnictwem Must Read Media we wrześniu 2020 r. ukaże się drugie zaktualizowane oraz rozbudowane wydanie mojego Praktycznego poradnika dla Inspektor Ochrony Danych w wersji cyfrowej oraz papierowej. Będzie ono na pewno uwzględniać najważniejsze elementy omówionego w dzisiejszym wpisie Podręcznika.

P.S.

Wszystkiego dobrego w Nowym Roku!