- Nie wszystkie podmioty muszą powoływać inspektora ochrony danych osobowych. Obserwujemy jednak, że wiele firm, które dotychczas nie miały takiego obowiązku korzysta obecnie z usług inspektora - mówi Monika Młotkiewicz zastępca dyrektora Departamentu Rejestracji ABI w nowym urzędzie ochrony danych, powstałym w miejscu GIODO. - Natomiast problem jest deficyt nowych kadr w dziedzinie RODO, więc urząd ochrony danych nie będzie sprzeciwiał się, aby jeden inspektor obsługiwał kilka podmiotów - dodaje dyrektor.
Spory: procesor-administrator
Powstał też problem obowiązków, które inspektorzy dzielą z procesorami, czyli podmiotami przetwarzającymi dane w imieniu przedsiębiorców. RODO przewiduje liczne zadania dla procesorów, częściowo analogicznych z obowiązkami administratorów danych.
Czytaj też>> Ochrona danych: procesorzy będą mieli nowe obowiązki i więcej ograniczeń
Nowy Urząd Ochrony Danych Osobowych utworzył zespół współpracy z administratorami danych, który w domyśle ma prowadzić współpracę z procesorami i inspektorami ochrony danych. Konflikty między nimi są nieuniknione.
- Urząd będzie zajmował się problemem, a nie rozstrzyganiem sporów między instytucjami - uspakaja dr Edyta Bielak-Jomaa, prezes nowego urzędu ( na zdjęciu).
Jak podkreślają przedstawiciele urzędu administratorzy danych nie mogą zrzucać z siebie obowiązków im przypisanych na procesorów. Natomiast podmioty przetwarzające mogą czynić na tych danych tyle, na ile pozwoli im administrator danych.
Przywołanie do porządku
Urząd za pomocą twardych lub miękkich metod będzie musiał przywołać do porządku administratorów, gdy zaczną postępować niezgodnie z rozporządzeniem.
Jak zauważa Piotr Drobek, zastępca dyrektora Departamentu Edukacji Społecznej i Współpracy Międzynarodowej w nowym urzędzie, głównym adresatem RODO są inspektorzy, którzy pracują u administratorów, jak i podmiotów przetwarzających. I to będzie ważniejsze niż tworzenie ram do rozstrzygania sporów. Działania naruszające zasady przez te podmioty będą rozpatrywane przez zespoły utworzone w Urzędzie Ochrony Danych, np. dotyczące przetwarzania danych zdrowotnych w przychodniach czy informacji dotyczących klientów klubów fitness.
Czytaj też>> RODO pozwala przetwarzać dane byłych członków Kościoła
- Organ nadzorczy nie rozstrzyga sporów wynikających z podpisanych umów - zastrzega dyr. Drobek. - Administratorzy, którzy powierzą dane osobowe, muszą jednak wiedzieć jakie są niezbędne elementy umowy powierzenia i jak się zabezpieczyć pod kątem podmiotu przetwarzającego. RODO przewiduje nowy instrument zgłaszania naruszeń, gdy dojdzie do złamania prawa w podmiocie przetwarzającym. Jest to obowiązek poinformowania administratora, a ten informuje organ nadzorujący w ciągu 70 godzin od stwierdzenia naruszenia. Nie każdego złamania zasad, lecz takiego, który spełnia kryteria zawarte w rozporządzeniu.
Warto uczyć o ochronie danych osobowych
Co mogą pracownicy organu nadzorczego?
Są to m.in takie narzędzia:
- przegląd certyfikacji uzyskanych przez podmiot,
- dostęp do wszystkich pomieszczeń i do komputerów,
- udzielenie upomnień administratorowi,
- nakazanie administratorowi zawiadomienia osoby, której dane dotyczą,
- wprowadzanie czasowego lub całkowitego przetwarzania,
- nakazanie sprostowania,
- cofniecie certyfikacji,
- nałożenie kary pieniężnej,
- nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowych.