25 maja 2018 roku weszło w życie Rozporządzenie o Ochronie Danych Osobowych. Popularnie jest ono nazywane RODO. Wprowadziło ono wiele ważnych zmian w dotychczas obowiązujących przepisach o ochronie danych osobowych. Wdrożenie RODO było obowiązkiem każdej organizacji, która zbiera i przechowuje dane osobowe. Wraz z nowym rozporządzeniem pojawiło się nowe stanowisko: Inspektora Danych Osobowych. W jakich organizacjach stanowisko to musi zostać utworzone? Co należy do jego obowiązków?
Organizacje zobowiązane do utworzenia stanowiska IOD
Inspektor Ochrony Danych jest stosunkowo nowym stanowiskiem. Przed wejściem w życie przepisów RODO takie stanowisko nie istniało, choć pewne podobieństwo znajdywaliśmy w ramach funkcjonowania Administratora Bezpieczeństwa Informacji. Zgodnie z RODO Inspektor Ochrony Danych jest stanowiskiem, które powinno zostać utworzone we wszystkich organizacjach, które gromadzą, przechowują i udostępniają dane osobowe w ramach sektora publicznego.
Stanowisko to musi zostać utworzone także w sektorze prywatnym w tych organizacjach, które na dużą skalę przetwarzają dane osobowe. Również te podmioty, których działalność polega na monitorowaniu osób fizycznych zobowiązane są do utworzenia stanowiska Inspektora Danych Osobowych. Istotne jest nie tylko utworzenie samego stanowiska Inspektora Danych Osobowych, ale stworzenie także takich warunków, które sprawią, że osoby, które chcą się z nim skontaktować nie będą z tym miały najmniejszych problemów. Do obowiązków administratora danych osobowych należy podanie numeru telefonu bądź adresu do tradycyjnej lub elektronicznej korespondencji w widocznym miejscu w siedzibie firmy a w przypadku jeśli jednostka ma stronę www to właśnie na tej stronie. Co ważne, zakres obowiązków należących do Inspektora Danych Osobowych jest na tyle istotny i szeroki, że stanowisko to powinno zostać utworzone nawet w tych organizacjach, na których nie spoczywa obowiązek jego tworzenia.
Jakie są kompetencje Inspektora Ochrony Danych?
Zakres obowiązków spoczywających na IOD jest bardzo szeroki. Jednym z najważniejszych jest informowanie o obowiązkach, które wynikają nie tylko z RODO, ale także z innych przepisów, których celem jest ochrona danych osobowych. Monitorowanie przestrzegania zasad o ochronie danych osobowych to kolejny obowiązek IOD. Inne obowiązki IOD to:
-audyty;
-szkolenia pracowników;
-wdrażanie polityki ochrony danych osobowych.
Inspektor Ochrony Danych musi otrzymać dostęp do danych osobowych. Tylko wtedy jest w stanie prawidłowo wypełniać ciążące na nim obowiązki. Co ważne, IOD zobowiązany jest do zachowania tajemnicy.
RODO nakłada na większość podmiotów, które gromadzą dane osobowe obowiązek utworzenia stanowiska Inspektora Danych Osobowych. Co ważne, stanowisko to może pełnić osoba z zewnątrz, profesjonalnie przygotowana merytorycznie do pełnienia tej funkcji.
Każdy Administrator zastanawiający się nad sensem powołania Inspektora ochrony danych powinien zacząć od analizy czy może sobie pozwolić na potencjalne kary, które grożą za brak funkcjonującego w praktyce RODO. Należy bowiem pamiętać, iż samo wdrożenie dokumentacji to zdecydowanie za mało aby uznać, iż organizacja przestrzega zasad bezpieczeństwa danych osobowych. Posiadanie dobrego i wyspecjalizowanego merytorycznie Inspektora zapewne taką gwarancję daje.