ABI czy IOD?

Ten artykuł jest przeznaczony stricte dla osób, które już zajmowały się ochroną danych osobowych w swojej firmie, zanim jeszcze RODO pojawiło się na horyzoncie. Powołanie Administratora Bezpieczeństwa Informacji pozwalało nam np. nie rejestrować wszystkich zbiorów w GIODO.

Co dalej z ABIm?

Zgodnie z nowym projektem polskiej ustawy o ochronie danych osobowych, ABI z dniem 25. maja automatycznie stanie się Inspektorem Ochrony Danych.  Jeśli nie chcesz, aby Twoja firma posiadała IOD, musisz do dnia 24. maja wysłać wniosek o odwołanie ABiego do GIODO

Czym jest Inspektor Ochrony Danych?

Jest to nowe stanowisko wymagane przez RODO w trzech przypadkach: Twoja firma przetwarza dane osobowe wrażliwe (szczególnie chronione), przetwarza dane na dużą skalę lub przetwarzanie danych jest podstawowym procesem działalności.

Duża skala

No tak, tylko co znaczy duża skala? RODO, jako dokument, nie precyzuje tego w odpowiedni sposób. Pojawia się co prawda wzmianka, próbująca wyjaśnić duża skalę, jednak również nie daje nam za wiele informacji, mimo, że to raczej kluczowe w tym przypadku. Pomożemy Ci jednak ustalić, czy Twoja skala jest duża. Z pomocą przychodzi nam Grupa robocza 29. Podaje nam ona kilka przykładów przetwarzania na dużą skalę:

  • przetwarzanie danych osobowych pacjenta przez szpital;
  • przetwarzanie danych osobowych osób korzystających ze środków publicznego transportu;
  • przetwarzanie danych w czasie rzeczywistym o lokalizacji klientów międzynarodowej sieci fast foodów przez dostawcę takiej usługi;
  • przetwarzanie danych osobowych przez banki i ubezpieczycieli;
  • przetwarzanie danych osobowych dla reklamy behawioralnej przez wyszukiwarki internetowe;
  • przetwarzanie danych osobowych (treść, ruch, lokalizacja) przez dostawcę / operatora usług internetowych / telefonicznych.

Są również wytyczne, jakie aspekty należy rozważyć, jeśli mówimy o dużej skali:

  • liczbę podmiotów danych, których dotyczy przetwarzanie;
  • zakres danych lub zakres różnych elementów danych przetwarzanych;
  • okres przetwarzania danych;
  • geograficzny zasięg czynności przetwarzania.

Główna działalność

Tutaj samo RODO, a dokładnie motyw 97, mówi nam, że:

W sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności.

Przykładem, jaki podaje grupa robocza 29, jest np. firma ochroniarska. Jednak w przypadku firmy, której podstawową czynnością jest ochrona osób i mienia, nikt nie wyobraża sobie działania takiej firmy bez przetwarzania danych i powinna ona powołać IOD.

Jeśli chcesz się dowiedzieć więcej, zapraszam do lektury kolejnych artykułów na blogu.

Masz jakieś uwagi, lub przemyślenia? Może artykuł pomógł Ci utworzyć dokumentację? Koniecznie napisz w komentarzu!

W razie pytań zachęcam do kontaktu, nieważne czy masz jakieś pytania, chcesz się spotkać, czy po prostu blog Ci w czymś pomógł, pisz do mnie na maila: maciej.grabowski@op.pl, na 100% odpowiem!

Napisane posty 24

Zerknij na dyskusje o :

  1. Cześć Macieju, dobra robota z tym blogiem – dużo bardzo wartościowych treści. Mam pytanie, do tego co napisałeś w dużej skali:
    przetwarzanie danych osobowych dla reklamy behawioralnej przez wyszukiwarki internetowe;
    Czy w przypadku tego zapisu, monitorowanie ruchu na blogu/stronie przez Google Analytics jest już przetwarzaniem na dużą skalę? Teoretycznie nie wyświetlam reklam ale przekazuje dane do Google’a, a tam już się dzieją różne rzeczy – w tym dostosowanie reklam do użytkownika, więc dokładam swoją cegiełkę do przetwarzania danych na dużą skalę czy nie? Pozdrawiam serdecznie

Dodaj komentarz

Twój adres email nie zostanie opublikowany.

Polecane artykuły

Tutaj napisz, czego szukasz... Jeśli chcesz zakończyć, kliknij ESC

Do góry