Kim jest Inspektor Ochrony Danych i za co odpowiada?
Praca z danymi osobowymi wymaga ciągłego monitorowania zgodności procesów zachodzących w organizacji z przepisami o ochronie danych. To także konieczność stosowania zabezpieczeń dostosowanych do poziomu ryzyka oraz identyfikowania ewentualnych uchybień i naruszeń. Czynności te można powierzyć Inspektorowi Ochrony Danych - kto to jest i na czym polega jego praca?
Kim jest Inspektor Ochrony Danych?
Inspektor Ochrony Danych to specjalista, który zajmuje się kwestiami związanymi z przestrzeganiem przepisów o ochronie danych osobowych w organizacji (np. firmie, szkole, placówce medycznej). Osoba pełniąca funkcję IOD zapewnia bieżące doradztwo w zakresie ochrony danych, a także pomoc doraźną, na przykład w razie wystąpienia incydentu bezpieczeństwa lub zapowiedzianej kontroli RODO. Inspektor Ochrony Danych zapewnia również wsparcie w realizowaniu zasady rozliczalności (art. 5 ust. 2 RODO), zgodnie z którą administrator powinien wykazywać przestrzeganie podstawowych zasad dotyczących ochrony danych osobowych.
Kto musi wyznaczyć Inspektora Ochrony Danych?
Inspektora Ochrony Danych wyznacza administrator danych lub podmiot przetwarzający. W większości przypadków organizacja może, ale nie musi wyznaczać osoby pełniącej funkcję IOD. Obowiązek wyznaczenia IOD może wynikać z przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) lub ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (DODO).
Obowiązek wyznaczenia Inspektora Ochrony Danych dotyczy:
- organów lub podmiotów publicznych (z wyjątkiem sądów w zakresie kwestii związanych z wymiarem sprawiedliwości);
- podmiotów, których główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę;
- podmiotów, których główna działalność polega na przetwarzaniu na dużą skalę danych osobowych szczególnej kategorii oraz dotyczących wyroków skazujących i czynów zabronionych.
Kto może pełnić funkcję Inspektora Ochrony Danych?
Administrator lub podmiot przetwarzający może wyznaczyć specjalistę od ochrony danych spośród swoich pracowników lub zatrudnić w tym celu nową osobę. Jest jednak inna możliwość – Inspektor Ochrony Danych może świadczyć usługi na podstawie umowy o świadczenie usług, czyli organizacja może skorzystać z outsourcingu IOD. Co ważne, funkcję tę powinna pełnić osoba posiadająca odpowiednie kwalifikacje zawodowe, wiedzę na temat przepisów i praktyk w zakresie ochrony danych oraz umiejętności pozwalające na wykonywanie zadań IOD. Ponadto od Inspektora Ochrony Danych należy oczekiwać wysokiego poziomu etyki zawodowej, poczucia odpowiedzialności oraz rzetelnego wywiązywania się z obowiązków IOD. Dodatkowo z art. 46 ust. 2 DODO wynikają dodatkowe wymogi, takie jak pełna zdolność do czynności prawnych i pełnia praw publicznych oraz IOD nie może być skazany prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe.
Za co odpowiada Inspektor Ochrony Danych?
Najpierw wyjaśnijmy, za co nie odpowiada Inspektor Ochrony Danych. Otóż osoba wyznaczona na to stanowisko nie powinna realizować zadań należących do administratora lub podmiotu przetwarzającego. W związku z tym nie ponosi odpowiedzialności za niezgodność organizacji z przepisami o ochronie danych, ale odpowiada za prawidłowe wykonywanie własnych obowiązków. Specjalista ma przede wszystkim zapewniać wsparcie merytoryczne poprzez udzielanie opinii oraz doradztwo w związku z przetwarzaniem danych.
Zgodnie z RODO i Wytycznymi Grupy Roboczej art. 29 do zadań Inspektora Ochrony Danych należą:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników przetwarzających dane osobowe o obowiązkach wynikających z przepisów o ochronie danych (m.in. RODO);
- monitorowanie przestrzegania przepisów i polityk o ochronie danych w organizacji, w tym zbieranie informacji mających na celu identyfikację procesów przetwarzania, analizowanie zgodności przetwarzania oraz informowanie, doradzanie i zalecanie odpowiednich działań;
- wspieranie administratora w zakresie oceny skutków dla ochrony danych oraz monitorowania jej wykonania;
- współpraca z organem nadzorczym (Prezesem Urzędu Ochrony Danych Osobowych);
- pełnienie roli pośrednika pomiędzy organizacją (administratorem lub podmiotem przetwarzającym) a organem nadzorczym;
- pełnienie funkcji punktu kontaktowego dla osób, których dane są przetwarzane przez organizację.
Wyznaczanie Inspektora Ochrony Danych
Podmioty wyznaczające Inspektora Ochrony Danych muszą powiadomić o tym organ nadzorczy – Prezesa Urzędu Ochrony Danych Osobowych. Zawiadomienie o wyznaczeniu IOD należy złożyć za pomocą właściwego formularza elektronicznego dostępnego na stronie internetowej uodo.gov.pl. Podmioty zobowiązane do wyznaczenia Inspektora Ochrony Danych na podstawie RODO i DODO (np. Policja, sądy, prokuratura) przesyłają osobne zawiadomienia, używając odpowiednich formularzy. Zgłoszenie należy przesłać za pośrednictwem jednego z trzech serwisów: portal biznes.gov.pl, e-Doręczenia lub ePUAP. Ponadto podmiot wyznaczający IOD ma obowiązek podania danych kontaktowych tej osoby na swojej stronie internetowej, przy czym dane te muszą być łatwo dostępne dla osób, których dane są przetwarzane.
Czy warto wyznaczyć Inspektora Ochrony Danych?
Administrator danych lub podmiot przetwarzający powinien rozważyć wyznaczenie Inspektora Ochrony Danych, nawet jeżeli nie ma takiego obowiązku. Specjalista zwiększa świadomość wewnątrz organizacji na temat ryzyk i zagrożeń dla bezpieczeństwa danych, pomaga w realizowaniu procedur wynikających z przetwarzania danych, a także ułatwia podejmowanie decyzji z tym związanych. Stałe wsparcie ze strony IOD poprawia standard ochrony danych w organizacji, a także pomaga zidentyfikować zagrożenia na wczesnym etapie. Można w ten sposób ustrzec się błędów i naruszeń oraz związanych z tym konsekwencji, w tym negatywnego wyniku kontroli RODO i wysokich kar administracyjnych. Ponadto Inspektor Ochrony Danych wspomaga administratora danych lub podmiot przetwarzający w kontaktach z Prezesem UODO oraz osobami, których dane są przetwarzane.
Poprawność merytoryczną artykułu zweryfikowała Kancelaria Prawa Gospodarczego i Oświatowego – eksperci od RODO w placówkach oświatowych i biznesie.
Inspektor Ochrony Danych – https://www.kpgio.pl/outsourcing-iod/
Kancelaria Prawa Gospodarczego i Oświatowego – https://www.kpgio.pl/

