Więcej
Nawigacja
ROZDZIAŁ I Przepisy ogólne (1-4)
Artykuł 1. Przedmiot i celeArtykuł 2. Materialny zakres stosowaniaArtykuł 3. Terytorialny zakres stosowaniaArtykuł 4. Definicje
ROZDZIAŁ II Zasady (5-11)
Artykuł 5. Zasady dotyczące przetwarzania danych osobowychArtykuł 6. Zgodność przetwarzania z prawemArtykuł 7. Warunki wyrażenia zgodyArtykuł 8. Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnegoArtykuł 9. Przetwarzanie szczególnych kategorii danych osobowychArtykuł 10. Przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawaArtykuł 11. Przetwarzanie niewymagające identyfikacji
ROZDZIAŁ III Prawa osoby, której dane dotyczą (12-23)
Artykuł 12. Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotycząArtykuł 13. Informacje podawane w przypadku zbierania danych od osoby, której dane dotycząArtykuł 14. Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotycząArtykuł 15. Prawo dostępu przysługujące osobie, której dane dotycząArtykuł 16. Prawo do sprostowania danychArtykuł 17. Prawo do usunięcia danych („prawo do bycia zapomnianym”)Artykuł 18. Prawo do ograniczenia przetwarzaniaArtykuł 19. Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzaniaArtykuł 20. Prawo do przenoszenia danychArtykuł 21. Prawo do sprzeciwuArtykuł 22. Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanieArtykuł 23. Ograniczenia
ROZDZIAŁ IV Administrator i podmiot przetwarzający (24-43)
Artykuł 24. Przedmiot i celeArtykuł 25. Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danychArtykuł 26. WspóładministratorzyArtykuł 27. Przedstawiciele administratorów lub podmiotów przetwarzających niemających jednostki organizacyjnej w UniiArtykuł 28. Podmiot przetwarzającyArtykuł 29. Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającegoArtykuł 30. Rejestrowanie czynności przetwarzaniaArtykuł 31. Współpraca z organem nadzorczymArtykuł 32. Bezpieczeństwo przetwarzaniaArtykuł 33. Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemuArtykuł 34. Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowychArtykuł 35. Ocena skutków dla ochrony danychArtykuł 36. Uprzednie konsultacjeArtykuł 37. Wyznaczenie inspektora ochrony danych
Artykuł 38. Status inspektora ochrony danych
Artykuł 39. Zadania inspektora ochrony danychArtykuł 40. Kodeksy postępowaniaArtykuł 41. Monitorowanie zatwierdzonych kodeksów postępowaniaArtykuł 42. CertyfikacjaArtykuł 43. Podmiot certyfikujący
ROZDZIAŁ V Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych (44-50)
Artykuł 44. Ogólna zasada przekazywaniaArtykuł 45. Przekazywanie na podstawie decyzji stwierdzającej odpowiedni stopień ochronyArtykuł 46. Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeńArtykuł 47. wiążące reguły korporacyjnychArtykuł 48. Przekazywanie lub ujawnianie niedozwolone na mocy prawa UniiArtykuł 49. Wyjątki w szczególnych sytuacjachArtykuł 50. Międzynarodowa współpraca na rzecz ochrony danych osobowych
ROZDZIAŁ VI Niezależne organy nadzorcze (51-59)
Artykuł 51. Organ nadzorczyArtykuł 52. NiezależnośćArtykuł 53. Ogólne warunki dotyczące członków organu nadzorczegoArtykuł 54. Zasady ustanawiania organu nadzorczegoArtykuł 55. WłaściwośćArtykuł 56. Właściwość wiodącego organu nadzorczegoArtykuł 57. ZadaniaArtykuł 58. UprawnieniaArtykuł 59. Sprawozdanie z działalności
ROZDZIAŁ VII Współpraca i spójność (60-70)
Artykuł 60. Współpraca miedzy wiodącym organem nadzorczym a innymi organami nadzorczymi, których sprawa dotyczyArtykuł 61. Wzajemna pomocArtykuł 62. Wspólne operacje organów nadzorczychArtykuł 63. Mechanizm spójnościArtykuł 64. Opinia Europejskiej Rady Ochrony DanychArtykuł 65. Rozstrzyganie sporów przez Europejską Radę Ochrony DanychArtykuł 66. Tryb pilnyArtykuł 67. Wymiana informacjiArtykuł 68. Europejska Rada Ochrony DanychArtykuł 69. NiezależnośćArtykuł 70. Zadania Europejskiej Rady Ochrony DanychArtykuł 71. SprawozdaniaArtykuł 72. ProceduraArtykuł 73. PrzewodniczącyArtykuł 74. Zadania przewodniczącegoArtykuł 75. SekretariatArtykuł 76. Poufność
ROZDZIAŁ VIII Środki ochrony prawnej, odpowiedzialność i sankcje (77-84)
Artykuł 77. Prawo do wniesienia skargi do organu nadzorczegoArtykuł 78. Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko organowi nadzorczemuArtykuł 79. Prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemuArtykuł 80. Reprezentowanie osób, których dane dotycząArtykuł 81. Zawieszenie postępowaniaArtykuł 82. Prawo do odszkodowania i odpowiedzialnośćArtykuł 83. Ogólne warunki nakładania administracyjnych kar pieniężnychArtykuł 84. Sankcje
ROZDZIAŁ IX Przepisy dotyczące szczególnych sytuacji związanych z przetwarzaniem (85-91)
Artykuł 85. Przetwarzanie a wolność wypowiedzi i informacjiArtykuł 86. Przetwarzanie a publiczny dostęp do dokumentów urzędowychArtykuł 87. Przetwarzanie krajowego numeru identyfikacyjnegoArtykuł 88. Przetwarzanie w kontekście zatrudnieniaArtykuł 89. Zabezpieczenia i wyjątki mające zastosowanie do przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznychArtykuł 90. Obowiązek zachowania tajemnicyArtykuł 91. Istniejące zasady ochrony danych obowiązujące kościoły i związki wyznaniowe
ROZDZIAŁ X Akty delegowane i akty wykonawcze (92-93)
Artykuł 92. Wykonywanie przekazanych uprawnieńArtykuł 93. Procedura komitetowa
ROZDZIAŁ XI Przepisy końcowe (94-95)
Artykuł 94. Uchylenie dyrektywy 95/46/WEArtykuł 95. Stosunek do dyrektywy 2002/58/WEArtykuł 96. Stosunek do uprzednio zawartych umówArtykuł 97. Sprawozdania KomisjiArtykuł 98. Przegląd innych aktów prawnych Unii dotyczących ochrony danychArtykuł 99. Wejście w życie i stosowanie
RODO > Artykuł 38. Status inspektora ochrony danych
Pobierz jako plik PDF

Artykuł 38 RODO. Status inspektora ochrony danych

1. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

2. Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.

Powiązane teksty
Powiązane teksty

3. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Powiązane teksty
Powiązane teksty

4. Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.

5. Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 13.2.4.

Here is the relevant paragraph to article 5(1)(f) GDPR:

6.10.2.4 Confidentiality or non-disclosure agreements

Implementation guidance

The organization should ensure that individuals operating under its control with access to PII are subject to a confidentiality obligation. The confidentiality agreement, whether part of a contract or separate, should specify the length of time the obligations should be adhered to.

 


aby uzyskać dostęp do pełnego tekstu

6. Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.

Powiązane teksty
Powiązane teksty
Ogólne rozporządzenie o ochronie danych (RODO)

Komentarz eksperta ISO 27701 Motywy Wytyczne & Case Law zostaw komentarz
Komentarz eksperta

(EN) Article 38 describes the specifics of the position of the Data Protection Officer (DPO). In particular, the emphasis is on the fact that DPO performs its work independently, while the responsibility for their timely and quality performance lies partly with the company itself (the controller or processor). Therefore, the text emphasizes that the company provides DPO with the necessary resources and access on the one hand, and is responsible for the independence of the DPO, not having the right to give them any instructions on the other.

In order to provide DPO with support, the company is recommended to ensure the following:

  • DPO is actively and timely involved in all data protection issues; DPO is invited to participate regularly in senior and middle management meetings when decisions with data protection implications are being made


aby uzyskać dostęp do pełnego tekstu

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 6.1.1.

Here is the relevant paragraph to article 38 GDPR:

6.3.1.1 Information security roles and responsibilities

Implementation guidance

The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).


aby uzyskać dostęp do pełnego tekstu

Motywy

(97) Jeżeli przetwarzania dokonuje organ publiczny z wyjątkiem sądów lub niezależnych organów wymiaru sprawiedliwości w ramach sprawowania wymiaru sprawiedliwości lub jeżeli w sektorze prywatnym przetwarzania dokonuje administrator, którego główna działalność polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub jeżeli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, to w monitorowaniu wewnętrznego przestrzegania niniejszego rozporządzenia administrator lub podmiot przetwarzający powinni być wspomagani przez osobę dysponującą wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych. W sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Niezbędny poziom wiedzy fachowej należy ustalić w szczególności w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe przetwarzane przez administratora lub podmiot przetwarzający. Tacy inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny.

Wytyczne & Case Law zostaw komentarz
[js-disqus]