Jeszcze jakiś czas temu NFT było nadzwyczaj popularnym tematem, w którego promocję zaangażowane były gwiazdy światowego formatu. Na dzień dzisiejszy (raczej) można stwierdzić, iż wielki szał sprzedaży cyfrowych obrazków, grafik czy gifów minął, a bańka NFT pękła. Jednakże, pojawia się zasadnicze pytanie, czy potencjał wykorzystania tej technologii zmalał? Czym jest NFT? NFT („non-fungible token”), w tłumaczeniu na język polski, jest to tzw. „niewymienialny token” będący unikalnym elementem kodu blockchain, charakteryzujący się tym, że nie można go wymienić na inny. Inaczej mówiąc, NFT to unikalny kod w łańcuchu bloków, stanowiący zapis własności dowolnego towaru cyfrowego lub fizycznego, a zarazem potwierdzający, że […]
Dane Inspektora Ochrony danych – łatwo dostępne?
7 grudnia 2018 |
Dawniej ABI obecnie IOD, czyli Inspektor Ochrony danych osobowych. Jego rola w organizacji administratora danych osobowych jest jasna i wynika wprost z unijnego Rozporządzenia. Administratorzy musza jednak pamiętać, by dane kontaktowe IOD były dostępne dla osób, których dane przetwarzają. W jaki sposób należy przekazać te informacje osobom fizycznym?
Zadanie Inspektora – punkt kontaktowy
Status Inspektora Ochrony Danych Osobowych jest wprost wskazany w RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE).
Z treści RODO wynika, iż IOD w szczególności:
-
informuje administratora, podmiot przetwarzający oraz pracowników, którzy przetwarzają dane osobowe o obowiązkach wynikających z RODO,
-
monitoruje przestrzeganie unijnego Rozporządzenia,
-
udziela zaleceń co do oceny skutków dla ochrony danych, współpracuje z organem nadzorczym oraz
-
pełni funkcję punktu kontaktowego dla organu nadzorczego oraz osób fizycznych, których dane osobowe dotyczą.
Dziś pochylimy się nad ostatnim z uregulowanych wprost w RODO zadań administratora (bowiem ich katalog nie jest zamknięty), czyli funkcją punktu kontaktowego.
Funkcja ta wynika z art. 38 ust. 4 oraz art. 39 ust 1 lit e RODO. Osoby, których dane dotyczą, mogą kontaktować się z Inspektorem Ochrony Danych we wszystkich sprawach związanych w przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy Rozporządzenia. IOD pełni także funkcję punktu kontaktowego dla organu nadzorczego, w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami (art. 36 RODO) oraz w stosownych przypadkach prowadzi konsultacje we wszelkich innych sprawach.
Dlatego też istotną kwestią jest podawanie do publicznej wiadomości danych kontaktowych do IOD.
Dane kontaktowe IOD
Po ponad półrocznym stosowaniu RODO, nie wszystkie podmioty informują o kanałach komunikacji z Inspektorami bądź dokonują to, ale w sposób niewystarczający. Dla wielu osób fizycznych nie jest nadal jasne, w jaki sposób mogą porozumieć się z IOD.
Administrator lub podmiot przetwarzający są zobligowani do publikacji danych kontaktowych IOD. Ponadto o jego wyznaczeniu muszą powiadomić organ nadzorczy, którym w Polsce jest Prezes Urząd Ochrony Danych Osobowych. Wynika to z art. 37 ust 7 RODO oraz art. 10 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
Na gruncie RODO, pojawiają się jednak wątpliwości dotyczące zakresu informacji składających się na pojęcie danych kontaktowych. RODO nie wskazuje bowiem konkretnych danych, jakie mieszczą się pod tym pojęciem. W szczególności nie jest wprost wymagana publikacja imienia i nazwiska Inspektora. Kluczową kwestią jest zapewnienie możliwości kontaktu, a dla takiego efektu uzasadnione jest ujawnienie np. adresu korespondencyjnego, telefonu kontaktowego, dedykowanego adresu e-mail. To bezwzględne minimum.
W zakresie ujawniania imienia i nazwiska wypowiedziała się Grupa Robocza Art. 29 wskazując, że decyzja o tym, czy w określonych okolicznościach udostępnienie tych danych jest konieczne lub właściwe, zależy każdorazowo od decyzji administratora i IOD. Z pewnością, biorąc pod uwagę aspekt zmian personalnych, jakie mogą się dokonywać na stanowisku IOD, podawanie jego imienia i nazwiska w stosunkach zewnętrznych (osoby, których dane dotyczą), można ocenić jako wysoce niepraktyczne. Podawanie danych w zakresie imienia i nazwiska Inspektora można uznać za nadmierne, a taka informacja nie przedstawia szczególnej wartości dla podmiotu danych. Ani RODO, ani wytyczne Grupy Roboczej z art. 29 nie zobowiązują do podawania pełnych danych Inspektora. RODO operuje pojęciem „dane kontaktowe”, co może oznaczać dane pozwalające na skontaktowanie się z Inspektorem, czyli adres e-mail i/lub numer telefonu.
Niemniej jednak w ramach dobrej praktyki Grupa Robocza Art. 29 zaleca chociażby poinformowanie pracowników o imieniu, nazwisku i danych kontaktowych IOD, poprzez udostępnienie wewnątrz organizacji, np. poprzez intranet, w wewnętrznej książce telefonicznej albo w ramach rozpisanej struktury organizacyjnej.
Przekazanie osobom fizycznym, których dane dotyczą, informacji o kontakcie do IOD następować powinno w ramach obowiązku informacyjnego z art. 13 i 14 RODO. Administrator podczas pozyskiwania danych osobowych podaje osobie fizycznej informacje o danych kontaktowych inspektora ochrony danych (gdy ma to zastosowanie- a więc gdy IOD został powołany). To tu właśnie można ograniczyć się do przekazywania jedynie adresu do korespondencji, e-mail i telefonu. Trudno bowiem przy zmianach personalnych wypełniać każdorazowo obowiązek informacyjny na nowo, wskazując na imię i nazwisko „nowego” inspektora.
Ustawa o ochronie danych osobowych z 10 maja 2018 r. w art. 11 także reguluje kwestię udostępniania danych IOD. Podmiot, który wyznaczył inspektora, udostępnia dane inspektora, o których mowa w art. 10 ust. 1, niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności. W tym jednak aspekcie Administrator ujawnia także imię i nazwisko. Art. 10 ust .1 zawiera wyraźne stwierdzenie „(…)wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora.” Niemniej jednak zmiany personalne IOD, w łatwy sposób mogą być każdorazowo zmieniane na stornie internetowej, dlatego też nie ma ku takiemu działaniu negatywnych przeszkód natury praktycznej 🙂.
Odrębnie należy podejść do informowania organu nadzorczego o tożsamości IOD. Administrator lub podmiot przetwarzający po wyznaczeniu, zawiadamiają organ nadzorczy o danych kontaktowych inspektora. Przekazanie organowi nadzorczemu imienia i nazwiska inspektora ochrony danych osobowych jest niezbędne dla sprawowania przez niego funkcji punktu kontaktowego pomiędzy podmiotem a organem nadzorczym.
Podsumowując – poniżej umieszczamy pomocny schemat proponowanych informacji kontaktowych do IOD:
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.