Rozporządzenie określa tryb i sposób realizacji przez inspektora ochrony danych zadań, o których mowa w art. 47 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwal- czaniem przestępczości, zwanej dalej „ustawą”.
Inspektor ochrony danych realizuje zadania, o których mowa w art. 47 ust. 1 ustawy, w sposób uwzględniający specyfikę przetwarzania danych przez właściwy organ, ryzyka związane z przetwarzaniem danych oraz w sposób umożli- wiający wykazanie prowadzonych przez niego działań oraz ich zgodności z przepisami o ochronie danych osobowych.
Inspektor ochrony danych realizuje zadanie, o którym mowa w art. 47 ust. 1 pkt 1 ustawy, przez:
1) zapoznawanie, ustnie lub pisemnie, w postaci papierowej, elektronicznej lub za pośrednictwem środków komunikacji elektronicznej w rozumieniu art. 2 pkt 5 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2019 r. poz. 123 i 730), administratora oraz osób zajmujących się przetwarzaniem danych osobowych z przepisami o ochronie danych osobowych, ze szczególnym uwzględnieniem przepisów określających obowiązki spoczywające na tych osobach w związku z przetwarzaniem przez nie danych osobowych;
2) doradzanie, na piśmie lub w formie ustnej, administratorowi i osobom zajmującym się przetwarzaniem danych oso- bowych w zakresie prawidłowego sposobu wypełniania obowiązków wynikających z przepisów o ochronie danych osobowych.
Inspektor ochrony danych realizuje zadania, o których mowa w art. 47 ust. 1 pkt 2 ustawy, przez:
1) informowanie osób, które uczestniczą w operacjach przetwarzania danych osobowych, o zmianach przepisów doty- czących ochrony danych osobowych oraz wytycznych i zaleceniach Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej „Prezesem Urzędu”;
2) przygotowywanie, w porozumieniu z administratorem, dla osób, które uczestniczą w operacjach przetwarzania da- nych osobowych:
a) cyklicznych lub organizowanych w zależności od bieżących potrzeb instruktaży i kursów, w tym z wykorzysta- niem technologii informatycznych, które składają się z zajęć teoretycznych i praktycznych,
b) samokształcenia kierowanego, w tym z wykorzystaniem technologii informatycznych lub w celu realizacji samo- kształcenia online, przy jednoczesnym zapewnieniu konsultacji oraz udostępnieniu materiałów
– umożliwiających uzyskanie, aktualizowanie lub uzupełnianie wiedzy i umiejętności w zakresie przetwarzania da- nych osobowych oraz obowiązujących przepisów o ochronie danych osobowych. Dziennik Ustaw –2– Poz. 1041
1. Inspektor ochrony danych realizuje zadanie, o którym mowa w art. 47 ust. 1 pkt 3 ustawy, przez gromadzenie informacji uzyskanych od administratora lub osób odpowiedzialnych za bezpieczeństwo przetwarzanych danych osobo- wych na temat procesów przetwarzania danych osobowych w celu ich identyfikacji, analizę tych informacji oraz ich ocenę pod kątem zgodności przetwarzania danych osobowych przez administratora oraz osoby zajmujące się przetwarzaniem danych osobowych z przepisami o ochronie danych osobowych, a także z zaleceniami w zakresie oceny skutków dla ochrony danych osobowych, w tym wydanymi przez Prezesa Urzędu w ramach uprzednich konsultacji. W przypadku stwierdzenia nieprawidłowości w tym zakresie inspektor ochrony danych przekazuje administratorowi pisemne rekomen- dacje dotyczące podjęcia określonych działań. 2. Realizacja zadania określonego w art. 47 ust. 1 pkt 3 ustawy może nastąpić także w ramach prowadzonych spraw- dzeń, o których mowa w art. 11 ust. 1 ustawy.
1. Inspektor ochrony danych realizuje zadanie, o którym mowa w art. 47 ust. 1 pkt 4 ustawy, przez gromadzenie informacji uzyskanych od administratora lub osób odpowiedzialnych za bezpieczeństwo przetwarzanych danych osobo- wych na temat:
1) procesów przetwarzania danych osobowych w celu ich identyfikacji, analizę tych informacji oraz ich ocenę pod kątem zgodności przetwarzania danych osobowych przez administratora oraz osoby zajmujące się przetwarzaniem danych osobowych z politykami administratora w dziedzinie ochrony danych osobowych, w tym przydzielonymi na ich pod- stawie obowiązkami dla osób zajmujących się przetwarzaniem danych osobowych;
2) stosowania odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo ochrony danych osobowych. 2. Realizacja zadania określonego w art. 47 ust. 1 pkt 4 ustawy może nastąpić także w ramach prowadzonych spraw- dzeń, o których mowa w art. 11 ust. 1 ustawy.
Inspektor ochrony danych realizuje zadanie, o którym mowa w art. 47 ust. 1 pkt 5 ustawy, przez prowadzenie bezpośrednich konsultacji, wymianę korespondencji w postaci papierowej lub elektronicznej, w zależności od bieżących potrzeb, lub przez ułatwienie Prezesowi Urzędu dostępu do informacji i dokumentów związanych z przetwarzaniem da- nych osobowych.
Inspektor ochrony danych realizuje zadanie, o którym mowa w art. 47 ust. 1 pkt 6 ustawy, przez:
1) gromadzenie informacji uzyskanych od administratora lub osób odpowiedzialnych za bezpieczeństwo przetwarzanych danych osobowych w zakresie objętym zaleceniem, o którym mowa w art. 38 ust. 4 ustawy, przez analizę tych infor- macji oraz ustalanie stanu realizacji tego zalecenia;
2) pisemne dokumentowanie czynności, o których mowa w pkt 1, i zamieszczanie w sporządzonej dokumentacji w szczególności wniosków wynikających z tych czynności;
3) przekazanie Prezesowi Urzędu pisemnej informacji o stanie realizacji zalecenia, o którym mowa w art. 38 ust. 4 usta- wy, wraz z wnioskami określonymi w pkt 2, i informowanie o tym jednocześnie administratora.
Inspektor ochrony danych realizuje zadanie, o którym mowa w art. 47 ust. 1 pkt 7 ustawy, przez wymianę z Prezesem Urzędu korespondencji, w tym przekazywanie pisemnych opinii, w postaci papierowej, elektronicznej lub za pośrednictwem środków komunikacji elektronicznej w rozumieniu art. 2 pkt 5 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, w sprawach dotyczących danych osobowych i przeprowadzanie z Prezesem Urzędu, w miarę potrzeby, pisemnych lub ustnych konsultacji w sprawach z zakresu ochrony danych osobowych.
Inspektor ochrony danych realizuje zadanie, o którym mowa w art. 47 ust. 1 pkt 8 ustawy, przez udzielanie oso- bom, których dane dotyczą, ustnych lub pisemnych, w postaci papierowej, elektronicznej lub za pośrednictwem środków komunikacji elektronicznej w rozumieniu art. 2 pkt 5 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektro- niczną informacji na temat ich praw określonych w rozdziale 4 ustawy oraz sposobu ich realizacji.
1. Inspektor ochrony danych realizuje zadanie, o którym mowa w art. 47 ust. 1 pkt 9 ustawy, przez dokonanie analizy planowanego charakteru, zakresu, kontekstu i celów przetwarzania danych osobowych, technologii przewidzianych do użycia w ramach tego przetwarzania oraz szacowania ryzyka naruszenia praw i wolności osób fizycznych i przygotowa- nie pisemnego stanowiska, które zawiera wyniki tej analizy i szacowania ryzyka, w zakresie odnoszącym się do skutków planowanych operacji przetwarzania dla ochrony danych osobowych, o której mowa w art. 37 ustawy. 2. Inspektor ochrony danych przygotowuje zalecenia co do oceny skutków dla ochrony danych osobowych w terminie wskazanym przez administratora. 3. Inspektor ochrony danych monitoruje wykonanie zaleceń, o których mowa w ust. 2, przez ustalenie, czy dokonana przez administratora ocena skutków planowanych operacji przetwarzania dla ochrony danych osobowych uwzględnia przygotowane przez inspektora ochrony danych zalecenia. Dziennik Ustaw –3– Poz. 1041
Inspektor ochrony danych realizuje zadanie, o którym mowa w art. 47 ust. 1 pkt 10 ustawy, przez:
1) sporządzenie dla administratora pisemnego sprawozdania z wykonania zadań z zakresu ochrony i sposobu przetwa- rzania danych osobowych po uprzedniej analizie stanu faktycznego przetwarzania danych osobowych;
2) przekazanie administratorowi sprawozdania, o którym mowa w pkt 1, w sposób uniemożliwiający zapoznanie się z jego treścią innym osobom.
Inspektor ochrony danych realizuje zadania określone w art. 47 ust. 1:
1) pkt 1 i 2 ustawy – z własnej inicjatywy albo na wniosek administratora, Prezesa Urzędu lub osób zajmujących się przetwarzaniem;
2) pkt 3 ustawy – z własnej inicjatywy albo na wniosek administratora, Prezesa Urzędu, osób zajmujących się przetwa- rzaniem lub osób, których dane dotyczą;
3) pkt 4 ustawy – z własnej inicjatywy albo na wniosek Prezesa Urzędu;
4) pkt 5, 8 i 10 ustawy – z własnej inicjatywy;
5) pkt 6 ustawy – z własnej inicjatywy albo na wniosek administratora lub Prezesa Urzędu;
6) pkt 7 ustawy – w zakresie pełnienia funkcji punktu kontaktowego wobec Prezesa Urzędu w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 38 ustawy – z własnej inicjatywy, a w zakresie prowadzenia z Prezesem Urzędu konsultacji we wszelkich innych sprawach – z własnej inicjatywy albo na wniosek administratora, Prezesa Urzędu, osób zajmujących się przetwarzaniem lub osób, których dane dotyczą;
7) pkt 9 ustawy – w zakresie przygotowywania zaleceń co do oceny skutków dla ochrony danych osobowych, w przypadku, o którym mowa w art. 37 ustawy – z własnej inicjatywy, a w zakresie monitorowania wykonania tych zaleceń – z własnej inicjatywy albo na wniosek administratora lub Prezesa Urzędu.