Inspektur Perlindungan Data Pribadi - kapan dibutuhkan?

Melayani

GDPR mengharuskan beberapa administrator data pribadi untuk menunjuk Personal Data Protection Officer (DPO). Semua otoritas negara, entitas yang memproses data sensitif dalam skala besar, dan entitas yang aktivitas utamanya memantau orang dalam skala besar wajib menunjuk DPO. Kapan Inspektur Perlindungan Data Pribadi dibutuhkan?

Siapa Inspektur Perlindungan Data Pribadi (DPO)?

Pemeriksa Perlindungan Data Pribadi adalah orang yang ditunjuk oleh administrator atau pengolah untuk membantu pemenuhan ketentuan perlindungan data pribadi di perusahaan atau organisasi. DPO bertindak sebagai perantara antara entitas yang berkepentingan (Kantor Perlindungan Data Pribadi, pemroses data, dan subjek data). Selain itu, Inspektur Perlindungan Data Pribadi memastikan penerapan prinsip akuntabilitas - membantu dalam persiapan penilaian risiko atau penilaian efek perlindungan data pribadi.

Tugas Personal Data Protection Officer adalah:

  • memberi tahu administrator, pemroses, dan karyawan tentang kewajiban terkait perlindungan data pribadi yang dihasilkan dari GDPR,

  • memberi nasihat tentang cara mematuhi ketentuan tentang perlindungan data pribadi,

  • memantau kepatuhan terhadap ketentuan dan kebijakan di bidang perlindungan data pribadi,

  • membantu dalam persiapan penilaian risiko atau penilaian dampak untuk perlindungan data pribadi,

  • menjaga kerahasiaan sehubungan dengan tugas yang dilakukan di bawah perlindungan data pribadi,

  • bertindak sebagai titik kontak untuk otoritas pengawas.

Perhatian!
Inspektur Perlindungan Data Pribadi tidak bertanggung jawab atas ketidakpatuhan terhadap GDPR. Kewajiban untuk mematuhi dengan benar ketentuan tentang perlindungan data pribadi berada pada pengontrol atau pemroses. DPO dapat dibandingkan dengan peran asisten, konsultan.

Siapa yang perlu menunjuk DPO?

Entitas publik, entitas yang memproses data sensitif dalam skala besar, dan entitas yang kegiatan utamanya memantau orang dalam skala besar wajib menunjuk DPO. Entitas lain juga dapat menunjuk DPO, tetapi tidak wajib bagi mereka. Namun, jika, meskipun tidak ada kewajiban seperti itu, mereka menunjuk DPO, mereka harus bertindak sesuai dengan persyaratan untuknya (berkenaan dengan tugas, peran inspektur).

Kelompok Kerja 29, yaitu tim ahli yang ditunjuk untuk mengeluarkan pedoman di bidang GDPR, merekomendasikan bahwa jika entitas tertentu tidak diwajibkan untuk menunjuk DPO, ia harus menyiapkan dokumentasi yang membenarkannya.

Siapa yang mempercayakan fungsi DPO - karyawan atau entitas eksternal?

Inspektur Perlindungan Data Pribadi dapat menjadi karyawan administrator atau prosesor atau melakukan tugas berdasarkan kontrak untuk penyediaan layanan.

Sekelompok perusahaan dapat menunjuk satu DPO jika mudah untuk menghubungi mereka dari masing-masing entitas ini, dari setiap unit organisasi. Untuk memfasilitasi kontak, entitas yang menunjuk inspektur harus mengumumkan rincian kontaknya.

Inspektur Perlindungan Data Pribadi tidak dipanggil kembali atau dihukum oleh administrator atau prosesor karena memenuhi tugasnya. Ini melapor langsung ke manajemen puncak pengontrol atau prosesor.

Namun, itu dapat dicabut dalam kasus-kasus yang dibenarkan, untuk alasan yang berlaku, misalnya, untuk hubungan kerja atau kontrak, misalnya pelecehan, pencurian, pelanggaran kewajiban yang serius. Ini berlaku untuk inspektur karyawan serta inspektur eksternal. GDPR tidak menjelaskan bagaimana dan kapan DPO dapat dicabut dan diganti oleh orang lain - itu tergantung pada entitas yang menunjuk inspektur.

Mulai masa percobaan 30 hari gratis tanpa pamrih!

Bagaimana cara menunjuk DPO?

Pejabat Perlindungan Data Pribadi diangkat berdasarkan kualifikasi profesional, khususnya pengetahuan profesional tentang hukum dan praktik perlindungan data, dan kemampuan untuk memenuhi tugas di bidang perlindungan data pribadi.

Kewajiban bagi pengontrol atau pemroses yang terkait dengan DPO:

  • penyertaan langsung Petugas Perlindungan Data Pribadi dalam hal-hal yang berkaitan dengan perlindungan data pribadi;

  • memberikan DPO materi yang diperlukan untuk memungkinkannya menjalankan perannya, misalnya akses ke data pribadi, operasi pemrosesan, dan akses ke keahlian;

  • menginformasikan kepada karyawan tentang penunjukan DPO;

  • tidak memberikan instruksi kepada DPO tentang cara melakukan tugasnya - petugas perlindungan data - apakah mereka karyawan pengontrol atau bukan - harus dapat melakukan tugas dan tugasnya secara mandiri;

  • jika salah satu pegawai menjadi inspektur, harus dipastikan waktu kerja yang cukup untuk tugas-tugas DPO, sehingga tugas-tugas tersebut tidak mengganggu tugas-tugas lainnya.

Pengontrol atau pemroses harus mempublikasikan perincian kontak inspektur dan memberi tahu otoritas pengawas, yaitu Presiden Kantor Perlindungan Data Pribadi, tentang mereka.

Kapan dan siapa yang harus diberitahu tentang penunjukan Inspektur Perlindungan Data Pribadi?

Badan pengawas, yaitu Presiden Kantor Perlindungan Data Pribadi, harus diberitahu tentang penunjukan DPO. Tenggat waktu di mana pemberitahuan harus dibuat ditentukan dalam Undang-Undang Polandia yang diamandemen tentang Perlindungan Data Pribadi.

Jika administrator menunjuk DPO, pemberitahuan harus dibuat:

  • hingga 1 September 2018 - ketika administrator menunjuk ABI sebelum 25 Mei 2018 dan memutuskan bahwa orang yang sama akan bertindak sebagai Inspektur Perlindungan Data Pribadi (Pasal 158 (1) dan (2) Undang-Undang baru),

  • hingga 1 September 2018 - ketika administrator menunjuk administrator keamanan informasi (ISA) sebelum 25 Mei 2018, tetapi dia ingin menunjuk orang lain untuk bertindak sebagai Inspektur Perlindungan Data Pribadi (Pasal 158 (1) Undang-undang baru),

  • hingga 31 Juli 2018 - ketika administrator tidak menunjuk ABI sebelum 25 Mei 2018 (Pasal 158 (4) UU baru),

  • dalam waktu 14 hari sejak tanggal penunjukan petugas perlindungan data - ketika administrator tidak menunjuk ABI sebelum 25 Mei 2018, tetapi memutuskan untuk secara sukarela menunjuk Inspektur Perlindungan Data Pribadi (Pasal 10 Undang-Undang baru).

Untuk prosesor yang:

  • wajib menunjuk DPO - pemberitahuan harus dilakukan paling lambat 31 Juli 2018 (Pasal 158 (5) UU baru),

  • tidak diwajibkan untuk menunjuk DPO, dan mereka memutuskan untuk menunjuk orang tersebut - pemberitahuan harus dilakukan dalam waktu 14 hari sejak tanggal pengangkatan (Pasal 10 (1) UU baru).

Pemberitahuan pengangkatan DPO harus mencakup:

  • nama, nama keluarga dan alamat e-mail atau nomor telepon inspektur,

  • nama dan nama keluarga dan alamat tempat tinggal - jika pengontrol atau pengolah adalah orang perseorangan,

  • perusahaan pengusaha dan alamat tempat usahanya, jika pengurus atau pengolah adalah orang perseorangan yang menjalankan usaha,

  • nama lengkap dan alamat kantor terdaftar, jika pengontrol atau pengolah adalah badan selain yang disebutkan dalam poin di atas,

  • REGON, jika telah ditetapkan ke administrator atau prosesor.

Pemberitahuan tentang penunjukan DPO harus dilakukan dalam bentuk elektronik dan dibubuhi tanda tangan elektronik yang memenuhi syarat atau tanda tangan yang dikonfirmasi oleh profil ePUAP yang terpercaya. Setelah 25 Mei 2018, formulir elektronik untuk tujuan ini akan tersedia di situs web kantor.

Pemberitahuan juga dapat dilakukan oleh kuasa dari entitas yang menunjuk. Surat kuasa yang diberikan dalam bentuk elektronik dilampirkan pada pemberitahuan.