Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Obowiązek powołania inspektora ochrony danych w ogólnym...

Mamy już praktycznie ostateczny tekst ogólnego rozporządzenia o ochronie danych osobowych, nawet w oficjalnej polskiej wersji językowej. Chciałem rozpocząć dyskusję nad przepisem, który obecnych ABIch może bardzo interesować. Chodzi mi o Artykuł 35 ust. 1 punkt b) określający kiedy administrator lub podmiot przetwarzający są zobowiązane do powołania inspektora ochrony danych.

Niestety, twarde ramy nie przeszły dalej (proponowano 5000 rekordów w skali rocznej lub 250 osób zatrudnionych) i dostaliśmy, moim zdaniem trudny do zgryzienia, a raczej interpretacji, orzech ;)

Bo co w praktyce oznacza "główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych na dużą skalę".

Co oznacza "duża skala"? Co to jest "monitorowanie podmiotów danych"? Kiedy monitorowanie będzie regularne i systematyczne? Co to oznacza, że główna działalność polega na operacjach przetwarzania?

Punkt c) wcale nie jest łatwiejszy. Interpretacja językowa jest absurdalna.

Inspektora ochrony danych trzeba powołać gdy: "główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii, o których mowa w art. 9 ust. 1, oraz danych o wyrokach skazujących za przestępstwa i o przestępstwach, o których mowa w art. 9a.

Oraz (w wersji angielskiej jest też "and" a nie "and/or". Czy przychodzi Wam na myśl jakiś podmiot, który będzie przetwarzał zarówno dane wrażliwe jak i dane na temat skazań? Mi na pierwszy rzut przychodzi szpital psychiatryczny... I na razie tyle. Może ta wątpliwość zostanie usunięta na etapie czyszczenia technicznego tekstu i pojawi się tam "lub" zamiast "oraz", ale teraz to wygląda dziwnie.

Jestem ciekawy Waszych opinii, zwłaszcza na temat punktu b)
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Obowiązek powołania inspektora ochrony danych w ogólnym...

Daniel W.:
Mamy już praktycznie ostateczny tekst ogólnego rozporządzenia o ochronie danych osobowych, nawet w oficjalnej polskiej wersji językowej.
Można link do polskiej wersji?
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Obowiązek powołania inspektora ochrony danych w ogólnym...

A proszę bardzo : http://data.consilium.europa.eu/doc/document/ST-5455-2...
Maciej Chodorowski

Maciej Chodorowski CEO, prawnik,
redaktor erodo.pl i
skutecznyiod.pl

Temat: Obowiązek powołania inspektora ochrony danych w ogólnym...

Paweł G.:
Daniel W.:
Mamy już praktycznie ostateczny tekst ogólnego rozporządzenia o ochronie danych osobowych, nawet w oficjalnej polskiej wersji językowej.
Można link do polskiej wersji?
Ostatnia wersja, finał trilogu
http://e-ochronadanych.pl/ogolne-rozporzadzenie-o-ochr...
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Obowiązek powołania inspektora ochrony danych w ogólnym...

Ostatnia wersja, finał trilogu
http://e-ochronadanych.pl/ogolne-rozporzadzenie-o-ochr...

Podałem już linka do źródła na stronie Komisji... Po co marnować transfer Tomkowi :)

Temat: Obowiązek powołania inspektora ochrony danych w ogólnym...

Art. 35 ust. 1 wskazuje sytucje kiedy IODO musi być wyznaczony: 1a) organ lub podmiot publiczny (w naszym przypadku również podmiot realizujący zadania publiczne), 1b) główna działalność polega na operacjach przetwarzania... podmiotów danych; 1c) główna działalność polega na operacjach przetwarzania ... [b]danych osobowych szczególnej kategorii [b] ...

W tych przypadkach będzie wyznaczony IODO. W innych na podstawie art. 35.4 można. Dlatego zasadnym jest pytanie - Jak wygląda sytuacja gdy organizacja nie mając obowiązku, nie wyznaczy IODO? Jak kształtują się sankcje w zależności czy jest czy nie ma powołanego IODO?

Całkiem odrębnym zagadnieniem jest zapis 35.4 "mogą wyznaczyć lub jeżeli wymaga tego
prawo Unii lub prawo państwa członkowskiego, wyznaczają inspektora ochrony danych." - czy to oznacza pozostawienie w mocy uodo z art. 36b?

ps.
traktuję to jako rozważania czysto akademickie z dwóch powodów:
- jest to wersja nie obowiązująca,
- wykładnią rozporządzenia zajmie się GIODO.
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Obowiązek powołania inspektora ochrony danych w ogólnym...

Czy przychodzi Wam na myśl jakiś podmiot, który będzie przetwarzał zarówno dane wrażliwe jak i dane na temat skazań?

Przecież dane o skazaniu to właśnie dane dane wrażliwe..., więc każdy podmiot, które będzie zbierał dane skazanych, np. zakład pracy, który ich zatrudnia.

konto usunięte

Temat: Obowiązek powołania inspektora ochrony danych w ogólnym...

Danielu na Twoje pytania odpowiadamy w specjalnie dedykowanym serwisie, którzy stworzyliśmy - Pomocnik RODO (https://www.pomocnikrodo.pl).

Natomiast dyskusja jest o tyle ciekawa, że polskiego oficjalnego tłumaczenia jeszcze nie ma. To z 28 stycznia będzie nieco się się różnić od ostatecznej wersji.

Jeśli zaś chodzi o dane wrażliwe to nie będzie takiego pojęcia już. Będą to dane szczególnych kategorii i one będą obejmować np. dane o stanie zdrowia czy właśnie dotyczące skazań. W wersji testowej Pomocnika RODO (dostępny za darmo) możesz zapoznać się dokładnie z tymi różnicami.

W Serwisie jest też Forum także tam prowadzimy dyskusje już dotyczące konkretnych punktów. Możliwe jest też zadanie pytań do ekspertów lub organów.
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Obowiązek powołania inspektora ochrony danych w ogólnym...

Beata M.:
Danielu na Twoje pytania odpowiadamy w specjalnie dedykowanym serwisie, którzy stworzyliśmy - Pomocnik RODO (https://www.pomocnikrodo.pl).

Kusicie :)
Jeśli zaś chodzi o dane wrażliwe to nie będzie takiego pojęcia już. Będą to dane szczególnych kategorii i one będą obejmować np. dane o stanie zdrowia czy właśnie dotyczące skazań.

Wiem, użyłem skrótu myślowego. Dla uproszczenia sobie tak podzieliłem na dotychczasowe wrażliwe i dotyczące skazań, bo w mniej więcej taki jest podział.
W Serwisie jest też Forum także tam prowadzimy dyskusje już dotyczące konkretnych punktów. Możliwe jest też zadanie pytań do ekspertów lub organów.

Znowu kusicie... Chociaż skoro zajmuję się ODO od 18 lat, to mam nadzieję, że też można mnie nazwać ekspertem :)
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Obowiązek powołania inspektora ochrony danych w ogólnym...

Beata M.:
Danielu na Twoje pytania odpowiadamy w specjalnie dedykowanym serwisie, którzy stworzyliśmy - Pomocnik RODO (https://www.pomocnikrodo.pl).

Jeśli zaś chodzi o dane wrażliwe to nie będzie takiego pojęcia już. Będą to dane szczególnych kategorii ..

Hmmm, zajrzałem na RODO, a tam w Podstawowych definicjach widzę
"Dane osobowe (zwykłe i wrażliwe), przetwarzanie i ograniczenie przetwarzania, zbiór danych"
wśród których wymienia się "dane genetyczne lub dane dotyczące zdrowia".
Chyba, że coś źle zrozumiałem...

konto usunięte

Temat: Obowiązek powołania inspektora ochrony danych w ogólnym...

Marku,

Jest to napisane na początku, żeby osoby przyzwyczajone do danych pojęć wiedziały gdzie kliknąć. Dane o stanie zdrowia, genetyczne, biometryczne są dodatkowo wyróżnione jako odrębne dla szybszego wyszukania.

Danielu,

Z pewnością masz ogromną wiedzę praktyczną. Oj to na pewno :)



Wyślij zaproszenie do