Szwajcaria: FDPIC uruchamia nowy portal sprawozdawczy dla inspektorów ochrony danych
21/07/2023
Federalny Komisarz ds. Ochrony Danych i Informacji (FDPIC) ogłosił uruchomienie nowego portalu sprawozdawczego dla inspektorów ochrony danych (DPO). W oczekiwaniu na wejście w życie zmienionej ustawy o ochronie danych osobowych w dniu 1 września 2023, FDPIC wprowadził internetowy system rejestracji danych kontaktowych inspektorów ochrony danych.
Ponadto FDPIC podkreśliła, że inspektor ochrony danych jest punktem kontaktowym w przypadku wewnętrznych pytań dotyczących ochrony danych lub przetwarzania danych w organizacji, zarówno dla osób, których dotyczy przetwarzanie danych, jak i dla FDPIC. Ponadto FDPIC zauważyła, że nowy portal sprawozdawczy umożliwia organom federalnym i osobom prywatnym bezpieczne przesyłanie danych kontaktowych DPO drogą cyfrową, z dodatkową wygodą modyfikowania wpisów i otrzymywania powiadomień potwierdzających.
Inspektor Ochrony Danych Osobowych
Ustawa o Ochronie Danych Osobowych umożliwia firmom samoregulację. Firmy, które wyznaczą inspektora ochrony danych i poinformują FDPIC o tym fakcie, będą podlegać mniejszym wymaganiom dotyczącym oceny skutków ochrony danych. Rola inspektora ochrony danych oraz osoba wyznaczona do pełnienia tej roli muszą jednak spełniać określone kryteria. Monitorują oni zgodność firmy z wymogami ochrony danych i udzielają kierownikowi danych porad dotyczących ochrony danych.
Zgodnie obowiązującą ustawą o ochronie danych osobowych, firmy, które wyznaczają inspektora ochrony danych i informują o tym FDPIC, mogą powstrzymać się od zgłaszania nam swoich zbiorów danych. Lista właścicieli zbiorów danych, którzy są zwolnieni z obowiązku zgłoszenia poprzez wyznaczenie inspektora ochrony danych lub inspektorów ochrony danych firmy, jest dostępna do czasu wejścia w życie nowej ustawy o ochronie danych osobowych we wrześniu 2023 roku i jest aktualizowana na bieżąco. (Lista w języku niemieckim, francuskim lub włoskim)
Prywatne przedsiębiorstwa mogą wyznaczać inspektora ochrony danych zgodnie z art. 10 ustawy o ochronie danych osobowych. Inspektor ochrony danych może być, ale nie musi być, istniejącym pracownikiem. Porady dotyczące ochrony danych powinny być udzielane niezależnie od innych działań przedsiębiorstwa w każdym przypadku.
Praca inspektora ochrony danych powinna być idealnie oddzielona od innych porad prawnych i reprezentacji. Inspektor ochrony danych powinien mieć możliwość przedstawienia swojego punktu widzenia w przypadkach, gdy zarząd przedsiębiorstwa nie zgadza się z nim.
W przeciwieństwie do przepisów RODO, tylko organy federalne są zobowiązane do wyznaczenia inspektora ochrony danych; dla prywatnych firm jest to dobrowolne. Jednak prywatne przedsiębiorstwa muszą powiadomić FDPIC o swoim inspektorze ochrony danych, jeśli chcą być zwolnione z oceny skutków ochrony danych. Mogą to zrobić za pomocą dedykowanego portalu zgłoszeniowego FDPIC.
Portal zgłoszeniowy
Oprócz pełnienia funkcji punktu kontaktowego dla osób wewnątrz swoich firm, inspektor ochrony danych jest również osobą kontaktową dla FDPIC i innych organów odpowiedzialnych za ochronę danych w Szwajcarii. Jeśli inspektor ochrony danych przedsiębiorstwa nie jest pracownikiem prywatnego kontrolera danych, regularnie będzie musiał przedstawiać pełnomocnictwo dla prywatnego kontrolera danych podczas jego reprezentowania.
Zadania inspektora ochrony danych obejmują również udzielanie pracownikom firmy ogólnych porad i szkoleń z zakresu ochrony danych. Biorą udział w tworzeniu i stosowaniu regulaminów użytkowania i zasad ochrony danych. Doradzają kierownikowi danych w sprawach ochrony danych, ale wyłącznie kierownik danych jest odpowiedzialny za zapewnienie, że dane osobowe są przetwarzane zgodnie z wymaganiami ochrony danych.
Prywatny kontroler danych musi zapewnić inspektorowi ochrony danych zasoby, których potrzebuje, i ogólnie zapewnić mu dostęp do wszystkich niezbędnych informacji, dokumentów, rejestrów przetwarzania danych i danych osobowych. Inspektor ochrony danych musi mieć dostęp do dokumentów, które są faktycznie potrzebne do wykonania jego obowiązków. Na przykład, inspektor ochrony danych nie będzie potrzebował dostępu do danych osobowych, jeśli przeprowadza ogólne sprawdzanie wewnętrznych zasad ochrony danych lub procedur przetwarzania danych. Ponadto, kontroler danych musi dać inspektorowi ochrony danych prawo do udzielania informacji najwyższemu kierownictwu lub organowi nadzorczemu w ważnych przypadkach.
Wyjątek dotyczący oceny skutków ochrony danych o wysokim ryzyku
Po przeprowadzeniu oceny skutków ochrony danych, firma może polegać wyłącznie na wewnętrznych poradach bez konsultowania się z FDPIC, nawet w przypadkach, gdy poziom ryzyka pozostaje wysoki. Jest to dozwolone, gdy inspektor ochrony danych spełnia również kryteria określone w art. 10 ust. 3 ustawy o ochronie danych osobowych:
Inspektor ochrony danych musi być w stanie wykonywać swoją funkcję niezależnie i nie może być związany instrukcjami kontrolera danych. Jego miejsce w hierarchii organizacyjnej firmy powinno odzwierciedlać tę niezależność. W zasadzie powinien raportować do zarządu wykonawczego kontrolera danych. W tym zakresie inspektor ochrony danych powinien również mieć prawo do udzielania informacji najwyższemu kierownictwu lub organowi nadzorczemu w ważnych przypadkach. Będzie to najwyższy szczebel zarządzania danymi kontrolera, czyli organ odpowiedzialny za przestrzeganie zasad ochrony danych.
Inspektor ochrony danych w firmie nie może pełnić zadań, które są w konflikcie z jego funkcją. Taki konflikt może wystąpić, gdy inspektor ochrony danych jest również członkiem zarządu wykonawczego, gdy pełni funkcje w zarządzaniu zasobami ludzkimi lub zarządzaniu systemami informatycznymi lub gdy pracuje w jednostce przetwarzającej wrażliwe dane osobowe. Może jednak być możliwe połączenie zadań inspektora ochrony danych z zadaniami oficera bezpieczeństwa informacji.
Prywatny kontroler danych musi opublikować informacje kontaktowe swojego inspektora ochrony danych i przekazać te informacje FDPIC za pomocą portalu zgłoszeniowego.
Więcej: https://www.edoeb.admin.ch/edoeb/en/home/meldeportale.html
Jeżeli chcesz być informowany na bieżąco o naszych publikacjach w www.odoserwis.pl dołącz do nas:
Facebook https://www.facebook.com/odoserwis.pl.2016/
Linkedin https://www.linkedin.com/company/odoserwis-pl/
-----------------------------------------------------
Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl