Powołanie Inspektora Ochrony Danych.
B.I.LP.2019.3.44
Akt obowiązującyDECYZJA Nr 23
DYREKTORA GENERALNEGO LASÓW PAŃSTWOWYCH
z dnia 22 lutego 2019 r.
w sprawie powołania Inspektora Ochrony Danych
Na podstawie art. 33 ust. 1 oraz art. 47 ust. 2c ustawy z dnia 28 września 1991 r. o lasach (tj. Dz. U. z 2018 r. poz. 2129), art. 46 ust. 1 ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (tj. Dz. U z 2019 r. poz. 125) oraz art. 37 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, postanawiam, co następuje:
ZAŁĄCZNIK
1.Inspektor Ochrony Danych, zwany dalej IOD, wykonuje zadania w zakresie realizacji obowiązków wynikających z:
1.Inspektor Ochrony Danych, zwany dalej IOD, wykonuje zadania w zakresie realizacji obowiązków wynikających z:
2) polityki bezpieczeństwa danych osobowych DGLP oraz upoważnień i pełnomocnictw nadanych przez administratora danych osobowych;
3) niniejszej decyzji oraz innych przepisów z zakresu ochrony danych osobowych.
2. Celem działania IOD jest zapewnienie przestrzegania przepisów o ochronie danych osobowych, w tym zasad bezpieczeństwa i ochrony danych osobowych przetwarzanych w Dyrekcji Generalnej Lasów Państwowych oraz w określonym zakresie w pozostałych jednostkach organizacyjnych PGL Lasy Państwowe.
3. Podczas wykonywania swoich zadań IOD powinien uwzględniać ryzyko związane z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst oraz cele przetwarzania.
4. Do zakresu zadań IOD w szczególności należą:
1) nadzorowanie i aktualizacja polityki bezpieczeństwa danych osobowych DGLP oraz przestrzegania zasad w niej określonych;
2) prowadzenie rejestru czynności przetwarzania oraz innej wymaganej dokumentacji zgodnie z obowiązującymi przepisami;
3) dokonywanie w uzasadnionych przypadkach oceny skutków (analiza ryzyka) planowanych operacji związanych z przetwarzaniem danych osobowych;
4) monitorowanie, identyfikacja i analiza zagrożenia i ryzyka, związanych z przetwarzaniem danych osobowych;
5) nadzorowanie i kontrolowanie przestrzegania stosowania zasad przetwarzania danych osobowych;
6) prowadzenie działań podnoszących świadomość oraz organizowanie szkoleń dla osób uczestniczących w operacjach przetwarzania;
7) wnioskowanie do administratora danych o wdrożenie określonych zabezpieczeń adekwatnych do zagrożeń i ryzyka;
8) tworzenie projektów zarządzeń, instrukcji i wytycznych w zakresie ochrony danych osobowych;
9) koordynacja oraz współuczestniczenie w procesie tworzenia oraz zmiany wewnętrznych aktów prawnych, które odnoszą się do zakresu danych osobowych;
10) wyjaśnianie i dokumentowanie przypadków naruszenia zasad przetwarzania i ochrony danych osobowych;
11) opracowanie stosownego sprawozdania raz na rok, do końca I kwartału za rok ubiegły, z wykonanych zadań z zakresu ochrony i sposobu przetwarzania danych osobowych;
12) współpraca z organem nadzorczym do spraw ochrony danych osobowych - Prezesem Urzędu Ochrony Danych Osobowych - wraz z pełnieniem funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z ochroną danych osobowych;
13) pełnienie funkcji punktu kontaktowego wobec osób, których dane dotyczą w zakresie przysługujących jej praw.
5. Wykonując swoje czynności, IOD realizuje zadania w imieniu administratora danych i posiada uprawnienia oraz upoważnienia w szczególności do:
1) kontrolowania realizacji umów dotyczących udostępniania lub powierzania danych do przetwarzania osobom lub podmiotom zewnętrznym w zakresie stosowania zapisów bezpieczeństwa przetwarzania i ochrony danych osobowych,
2) udzielania wytycznych dotyczących usuwania stwierdzonych nieprawidłowości,
3) zbierania pisemnych wyjaśnień dotyczących okoliczności powstania zagrożeń dla bezpieczeństwa i ochrony danych osobowych,
4) wydawania upoważnień do przetwarzania danych osobowych oraz prowadzenia ewidencji wydanych upoważnień,
5) organizowania szkoleń z zakresu przetwarzania i ochrony danych osobowych,
6) rozpatrywania skarg i wniosków w zakresie przetwarzania i ochrony danych osobowych,
7) kontrolowania pracowników w zakresie przestrzegania zasad bezpieczeństwa i ochrony danych,
8) czasowego wstrzymania przetwarzania danych osobowych - w przypadku naruszenia bezpieczeństwa danych osobowych skutkującego wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, których dane dotyczą.