Temat: Nowelizacja ustawy.
Najpierw zrezygnowano z wymogu wyższego wykształcenia dla ABI czym jakby nie patrzeć zmniejszono jego "rangę", a teraz zrezygnowano z konieczności jego powoływania na rzecz dobrowolności, co zapewne zlikwidowałoby ową funkcję zanim na dobre zaczęła funkcjonować, więc przyjrzyjmy się w takim razie projektowi rozporządzenia UE w tym zakresie (a nuż zostanie kiedyś przyjęte):
Artykuł 22
Odpowiedzialność administratora○
1. Administrator przyjmuje polityki i realizuje odpowiednie środki w celu zapewnienia, by przetwarzanie danych osobowych odbywało się zgodnie z niniejszym rozporządzeniem oraz wykazania tej zgodności.
2. Środki przewidziane w ust. 1 obejmują w szczególności:
a) prowadzenie dokumentacji zgodnie z art. 28;
b) realizację wymogów bezpieczeństwa danych ustanowionych w art. 30;
c) dokonywanie oceny skutków w zakresie ochrony danych zgodnie z art. 33;
d) spełnianie wymogu uprzedniego uzyskania zezwolenia organu nadzorczego lub uprzedniej konsultacji z tym organem zgodnie z art. 34 ust. 1 i 2;
e) wyznaczenie inspektora ochrony danych zgodnie z art. 35 ust. 1.
Artykuł 35
Wyznaczenie inspektora ochrony danych
1. Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, w każdym przypadku, w którym:
a) przetwarzania dokonuje organ lub podmiot publiczny; lub
b) przetwarzania dokonuje przedsiębiorstwo zatrudniające 250 osób lub więcej; lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych.
2. W przypadku, o którym mowa w ust. 1 lit. b), grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych.
3. Jeśli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, inspektor ochrony danych może być wyznaczony dla szeregu jego jednostek organizacyjnych, z uwzględnieniem struktury organizacyjnej organu lub podmiotu publicznego.
4. W przypadkach innych niż te, o których mowa w ust. 1, administrator, podmiot przetwarzający, zrzeszenia lub inne podmioty reprezentujące różne kategorie administratorów lub podmiotów przetwarzających mogą wyznaczyć jednego inspektora ochrony danych.
5. Administrator lub podmiot przetwarzający wyznaczają inspektora ochrony danych na podstawie jego kwalifikacji zawodowych oraz w szczególności jego wiedzy specjalistycznej z zakresu prawa ochrony danych, praktyki i zdolności do wykonywania zadań, o których mowa w art. 37. Niezbędny poziom wiedzy specjalistycznej ustala się w szczególności zgodnie z prowadzonym przetwarzaniem danych oraz ochroną wymaganą dla danych osobowych przetwarzanych przez administratora lub podmiot przetwarzający.
6. Administrator lub podmiot przetwarzający gwarantują, by inne obowiązki zawodowe inspektora ochrony danych były zgodne z zadaniami i obowiązkami tej osoby jako inspektora ochrony danych i by nie skutkowały one konfliktem interesów.
7. Administrator lub podmiot przetwarzający wyznaczają inspektora ochrony danych na okres co najmniej dwóch lat. Inspektor ochrony danych może być powoływany na kolejne kadencje. Inspektora ochrony danych można odwołać w czasie trwania kadencji jedynie wtedy, gdy przestał spełniać warunki niezbędne do pełnienia przez niego obowiązków.
8. Inspektor ochrony danych może być zatrudniony przez administratora lub podmiot przetwarzający lub wykonywać swoje zadania na podstawie umowy o świadczenie usług.
9. Administrator lub podmiot przetwarzający informują organ nadzorczy oraz opinię publiczną o imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych.
10. Podmioty danych mają prawo kontaktować się z inspektorem ochrony danych we wszystkich kwestiach związanych z przetwarzaniem swoich danych oraz wnioskować o możliwość wykonania praw przysługujących im na mocy niniejszego rozporządzenia.
11. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących głównej działalności administratora lub podmiotu przetwarzającego, o której mowa w ust. 1 lit. c) oraz kryteriów dotyczących kwalifikacji zawodowych inspektora ochrony danych, o których mowa w ust. 5.
I teraz pytanie: Biorąc pod uwagę art 22 ust 2 pkt e i art 35 ust 1 i ust 5 w przedsiębiorstwach zatrudniających poniżej 250 osób inspektor danych osobowych (choćby i wspólny) musi być wyznaczony, czy może ?!
Póki co ja bym to interpretował że nie musi... więc rozporządzenie przywróci ewentualnie funkcję ABI w 3175 podmiotach o ile nie są zrzeszone w grupach i w ogóle będą się tematem interesować, a sam znam dwie takowe które na dzień dzisiejszy tego nie robią... Można więc powiedzieć że nigdy dobrze z tym nie było, ale dalsze zainteresowania ową tematyką, to jedynie hobbystycznie mają sens, bo zawodowo niewiele będą wnosiły. Możliwości pod tym względem w administracji publicznej z wiadomych przyczyn nie biorę pod uwagę...
Ten post został edytowany przez Autora dnia 28.10.14 o godzinie 12:56