ROZPORZĄDZENIE
PREZESA RADY MINISTRÓW
z dnia 31 maja 2019 r.
w sprawie trybu i sposobu realizacji zadań przez inspektora ochrony danych
Na podstawie art. 47 ust. 4 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2019 r. poz. 125) zarządza się, co następuje:
§ 1.[Zakres regulacji] Rozporządzenie określa tryb i sposób realizacji przez inspektora ochrony danych zadań, o których mowa w art. 47 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, zwanej dalej „ustawą”.
§ 2.[Sposób realizowania zadań przez Inspektora ochrony danych, o których mowa w art. 47 ust. 1 ustawy ODO] Inspektor ochrony danych realizuje zadania, o których mowa w art. 47 ust. 1 ustawy, w sposób uwzględniający specyfikę przetwarzania danych przez właściwy organ, ryzyka związane z przetwarzaniem danych oraz w sposób umożliwiający wykazanie prowadzonych przez niego działań oraz ich zgodności z przepisami o ochronie danych osobowych.
§ 3.[Sposób realizowania zadań przez Inspektora ochrony danych, o których mowa w art. 47 ust. 1 pkt 1 ustawy ODO] Inspektor ochrony danych realizuje zadanie, o którym mowa w art. 47 ust. 1 pkt 1 ustawy, przez:
1) zapoznawanie, ustnie lub pisemnie, w postaci papierowej, elektronicznej lub za pośrednictwem środków komunikacji elektronicznej w rozumieniu art. 2 pkt 5 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2019 r. poz. 123 i 730), administratora oraz osób zajmujących się przetwarzaniem danych osobowych z przepisami o ochronie danych osobowych, ze szczególnym uwzględnieniem przepisów określających obowiązki spoczywające na tych osobach w związku z przetwarzaniem przez nie danych osobowych;
2) doradzanie, na piśmie lub w formie ustnej, administratorowi i osobom zajmującym się przetwarzaniem danych osobowych w zakresie prawidłowego sposobu wypełniania obowiązków wynikających z przepisów o ochronie danych osobowych.
§ 4.[Sposób realizowania zadań przez Inspektora ochrony danych, o których mowa w art. 47 ust. 1 pkt 2 ustawy ODO] Inspektor ochrony danych realizuje zadania, o których mowa w art. 47 ust. 1 pkt 2 ustawy, przez:
1) informowanie osób, które uczestniczą w operacjach przetwarzania danych osobowych, o zmianach przepisów dotyczących ochrony danych osobowych oraz wytycznych i zaleceniach Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej „Prezesem Urzędu”;
2) przygotowywanie, w porozumieniu z administratorem, dla osób, które uczestniczą w operacjach przetwarzania danych osobowych:
a) cyklicznych lub organizowanych w zależności od bieżących potrzeb instruktaży i kursów, w tym z wykorzystaniem technologii informatycznych, które składają się z zajęć teoretycznych i praktycznych,
b) samokształcenia kierowanego, w tym z wykorzystaniem technologii informatycznych lub w celu realizacji samokształcenia online, przy jednoczesnym zapewnieniu konsultacji oraz udostępnieniu materiałów
– umożliwiających uzyskanie, aktualizowanie lub uzupełnianie wiedzy i umiejętności w zakresie przetwarzania danych osobowych oraz obowiązujących przepisów o ochronie danych osobowych.
§ 5.[Sposób realizowania zadań przez Inspektora ochrony danych, o których mowa w art. 47 ust. 1 pkt 3 ustawy ODO] 1. Inspektor ochrony danych realizuje zadanie, o którym mowa w art. 47 ust. 1 pkt 3 ustawy, przez gromadzenie informacji uzyskanych od administratora lub osób odpowiedzialnych za bezpieczeństwo przetwarzanych danych osobowych na temat procesów przetwarzania danych osobowych w celu ich identyfikacji, analizę tych informacji oraz ich ocenę pod kątem zgodności przetwarzania danych osobowych przez administratora oraz osoby zajmujące się przetwarzaniem danych osobowych z przepisami o ochronie danych osobowych, a także z zaleceniami w zakresie oceny skutków dla ochrony danych osobowych, w tym wydanymi przez Prezesa Urzędu w ramach uprzednich konsultacji. W przypadku stwierdzenia nieprawidłowości w tym zakresie inspektor ochrony danych przekazuje administratorowi pisemne rekomendacje dotyczące podjęcia określonych działań.
2. Realizacja zadania określonego w art. 47 ust. 1 pkt 3 ustawy może nastąpić także w ramach prowadzonych sprawdzeń, o których mowa w art. 11 ust. 1 ustawy.
§ 6.[Sposób realizowania zadań przez Inspektora ochrony danych, o których mowa w art. 47 ust. 1 pkt 4 ustawy ODO] 1. Inspektor ochrony danych realizuje zadanie, o którym mowa w art. 47 ust. 1 pkt 4 ustawy, przez gromadzenie informacji uzyskanych od administratora lub osób odpowiedzialnych za bezpieczeństwo przetwarzanych danych osobowych na temat:
1) procesów przetwarzania danych osobowych w celu ich identyfikacji, analizę tych informacji oraz ich ocenę pod kątem zgodności przetwarzania danych osobowych przez administratora oraz osoby zajmujące się przetwarzaniem danych osobowych z politykami administratora w dziedzinie ochrony danych osobowych, w tym przydzielonymi na ich podstawie obowiązkami dla osób zajmujących się przetwarzaniem danych osobowych;
2) stosowania odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo ochrony danych osobowych.
2. Realizacja zadania określonego w art. 47 ust. 1 pkt 4 ustawy może nastąpić także w ramach prowadzonych sprawdzeń, o których mowa w art. 11 ust. 1 ustawy.
§ 7.[Sposób realizowania zadań przez Inspektora ochrony danych, o których mowa w art. 47 ust. 1 pkt 5 ustawy ODO] Inspektor ochrony danych realizuje zadanie, o którym mowa w art. 47 ust. 1 pkt 5 ustawy, przez prowadzenie bezpośrednich konsultacji, wymianę korespondencji w postaci papierowej lub elektronicznej, w zależności od bieżących potrzeb, lub przez ułatwienie Prezesowi Urzędu dostępu do informacji i dokumentów związanych z przetwarzaniem danych osobowych.
§ 8.[Sposób realizowania zadań przez Inspektora ochrony danych, o których mowa w art. 47 ust. 1 pkt 6 ustawy ODO] Inspektor ochrony danych realizuje zadanie, o którym mowa w art. 47 ust. 1 pkt 6 ustawy, przez:
1) gromadzenie informacji uzyskanych od administratora lub osób odpowiedzialnych za bezpieczeństwo przetwarzanych danych osobowych w zakresie objętym zaleceniem, o którym mowa w art. 38 ust. 4 ustawy, przez analizę tych informacji oraz ustalanie stanu realizacji tego zalecenia;
2) pisemne dokumentowanie czynności, o których mowa w pkt 1, i zamieszczanie w sporządzonej dokumentacji w szczególności wniosków wynikających z tych czynności;
3) przekazanie Prezesowi Urzędu pisemnej informacji o stanie realizacji zalecenia, o którym mowa w art. 38 ust. 4 ustawy, wraz z wnioskami określonymi w pkt 2, i informowanie o tym jednocześnie administratora.
§ 9.[Sposób realizowania zadań przez Inspektora ochrony danych, o których mowa w art. 47 ust. 1 pkt 7 ustawy ODO] Inspektor ochrony danych realizuje zadanie, o którym mowa w art. 47 ust. 1 pkt 7 ustawy, przez wymianę z Prezesem Urzędu korespondencji, w tym przekazywanie pisemnych opinii, w postaci papierowej, elektronicznej lub za pośrednictwem środków komunikacji elektronicznej w rozumieniu art. 2 pkt 5 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, w sprawach dotyczących danych osobowych i przeprowadzanie z Prezesem Urzędu, w miarę potrzeby, pisemnych lub ustnych konsultacji w sprawach z zakresu ochrony danych osobowych.
§ 10.[Sposób realizowania zadań przez Inspektora ochrony danych, o których mowa w art. 47 ust. 1 pkt 8 ustawy ODO] Inspektor ochrony danych realizuje zadanie, o którym mowa w art. 47 ust. 1 pkt 8 ustawy, przez udzielanie osobom, których dane dotyczą, ustnych lub pisemnych, w postaci papierowej, elektronicznej lub za pośrednictwem środków komunikacji elektronicznej w rozumieniu art. 2 pkt 5 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną informacji na temat ich praw określonych w rozdziale 4 ustawy oraz sposobu ich realizacji.
§ 11.[Sposób realizowania zadań przez Inspektora ochrony danych, o których mowa w art. 47 ust. 1 pkt 9 ustawy ODO] 1. Inspektor ochrony danych realizuje zadanie, o którym mowa w art. 47 ust. 1 pkt 9 ustawy, przez dokonanie analizy planowanego charakteru, zakresu, kontekstu i celów przetwarzania danych osobowych, technologii przewidzianych do użycia w ramach tego przetwarzania oraz szacowania ryzyka naruszenia praw i wolności osób fizycznych i przygotowanie pisemnego stanowiska, które zawiera wyniki tej analizy i szacowania ryzyka, w zakresie odnoszącym się do skutków planowanych operacji przetwarzania dla ochrony danych osobowych, o której mowa w art. 37 ustawy.
2. Inspektor ochrony danych przygotowuje zalecenia co do oceny skutków dla ochrony danych osobowych w terminie wskazanym przez administratora.
3. Inspektor ochrony danych monitoruje wykonanie zaleceń, o których mowa w ust. 2, przez ustalenie, czy dokonana przez administratora ocena skutków planowanych operacji przetwarzania dla ochrony danych osobowych uwzględnia przygotowane przez inspektora ochrony danych zalecenia.
§ 12.[Sposób realizowania zadań przez Inspektora ochrony danych, o których mowa w art. 47 ust. 1 pkt 10 ustawy ODO] Inspektor ochrony danych realizuje zadanie, o którym mowa w art. 47 ust. 1 pkt 10 ustawy, przez:
1) sporządzenie dla administratora pisemnego sprawozdania z wykonania zadań z zakresu ochrony i sposobu przetwarzania danych osobowych po uprzedniej analizie stanu faktycznego przetwarzania danych osobowych;
2) przekazanie administratorowi sprawozdania, o którym mowa w pkt 1, w sposób uniemożliwiający zapoznanie się z jego treścią innym osobom.
§ 13.[Sposób realizowania zadań przez Inspektora ochrony danych, o których mowa w art. 47 ust. 1 ustawy ODO] Inspektor ochrony danych realizuje zadania określone w art. 47 ust. 1:
1) pkt 1 i 2 ustawy – z własnej inicjatywy albo na wniosek administratora, Prezesa Urzędu lub osób zajmujących się przetwarzaniem;
2) pkt 3 ustawy – z własnej inicjatywy albo na wniosek administratora, Prezesa Urzędu, osób zajmujących się przetwarzaniem lub osób, których dane dotyczą;
3) pkt 4 ustawy – z własnej inicjatywy albo na wniosek Prezesa Urzędu;
4) pkt 5, 8 i 10 ustawy – z własnej inicjatywy;
5) pkt 6 ustawy – z własnej inicjatywy albo na wniosek administratora lub Prezesa Urzędu;
6) pkt 7 ustawy – w zakresie pełnienia funkcji punktu kontaktowego wobec Prezesa Urzędu w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 38 ustawy – z własnej inicjatywy, a w zakresie prowadzenia z Prezesem Urzędu konsultacji we wszelkich innych sprawach – z własnej inicjatywy albo na wniosek administratora, Prezesa Urzędu, osób zajmujących się przetwarzaniem lub osób, których dane dotyczą;
7) pkt 9 ustawy – w zakresie przygotowywania zaleceń co do oceny skutków dla ochrony danych osobowych, w przypadku, o którym mowa w art. 37 ustawy – z własnej inicjatywy, a w zakresie monitorowania wykonania tych zaleceń – z własnej inicjatywy albo na wniosek administratora lub Prezesa Urzędu.
§ 14.[Wejście w życie] Rozporządzenie wchodzi w życie z dniem następującym po dniu ogłoszenia.
Prezes Rady Ministrów: M. Morawiecki
Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00