Kim jest i za co odpowiada Inspektor Ochrony Danych?

Kim jest i za co odpowiada Inspektor Ochrony Danych?

Obowiązujące od 25 maja 2018 r. unijne przepisy o ochronie danych osobowych (tzw, RODO) wprowadziły nową funkcję w organizacjach zajmujących się przetwarzaniem takich danych. Tak zwany Inspektor Ochrony Danych (IDO) zastąpił dawnego Administratora Bezpieczeństwa Informacji (ABI), a jego powołanie w firmie jest teraz w wielu przypadkach obowiązkowe. Poniżej wyjaśniamy, o jakie sytuacje chodzi, a także czym dokładnie zajmuje się osoba pełniąca tę funkcję w świetle nowych przepisów.

Inspektor Ochrony Danych – jakie ma zadania w organizacji?

Zgodnie z tym, co mówią zapisy RODO, powołanie Inspektora Ochrony Danych jest obligatoryjne tylko w konkretnych przypadkach (o czym napiszemy niżej), jednak nic nie stoi na przeszkodzie, by stanowisko to było stworzone również w organizacjach, które tego obowiązku nie mają. W praktyce dość często właśnie tak się dzieje, ponieważ głównym zadaniem IOD (ang. DPO – Data Protection Officer) jest dbanie o przestrzeganie przez organizację przepisów RODO.

Szczegółowy zakres zadań Inspektora Ochrony Danych znaleźć można we wspomnianym już rozporządzeniu (dokładnie w  art. 39 ust. 1 oraz 38 ust. 4) i należą do nich m.in.:

- informowania administratora oraz osób przetwarzających dane osobowe w organizacji o obowiązkach w tym zakresie, które wynikają z przepisów np. poprzez organizowanie stosownych szkoleń (funkcja informacyjna i edukacyjna),

- monitorowanie przestrzegania przez administratora oraz organizacji przepisów dotyczących przetwarzania i ochrony danych osobowych (funkcja kontrolna),

- uczestnictwo w procedurze oceny skutków dla ochrony danych, w tym monitorowanie jej wykonania (oceny dokonuje administrator, ale jeśli w organizacji został powołany IOD, powinien z nim konsultować np. samą kwestię konieczności przeprowadzenia oceny, czy jej metodologię, ale też oczekiwać zaleceń związanych z oceną czy wdrożenia niezbędnych zabezpieczeń w przypadku wykrycia zagrożeń),

- współpraca z organem nadzorczym, czyli z Prezesem UODO,

- przeprowadzanie niezbędnych audytów w organizacji.

Zasady zatrudniania IDO i jego pracy w organizacji

Należy pamiętać, że Inspektor Ochrony Danych w pełnieniu swoich obowiązków powinien być niezależny i podlegać wyłącznie najwyższemu kierownictwu. Oznacza to, że administrator nie może mu wydawać żadnych poleceń, lecz jedynie wspierać w realizowaniu powierzonych mu zadań. Samo zatrudnienie IDO może mieć dowolną formę, jednak osoba taka ze względu na niezależność i neutralność nie powinna łączyć pewnych funkcji w firmie, choć zakres jej obowiązków może wykraczać poza ramy wyznaczone przez RODO. Przede wszystkim IDO nie może pełnić jednocześnie funkcji kierowniczych np. dyrektora finansowego lub operacyjnego, członka zarządu lub prokurenta. Z racji konkretnego zakresu zadań, jaki narzuca IDO rozporządzenie o ochronie danych osobowych, osoba zatrudniona na tym stanowisku powinna wykazać się odpowiednią wiedzą na temat ochrony danych i obowiązujących przepisów.

Fakt powołania IOD i jego dane personalne należy zgłosić do Prezesa UODO w ciągu 14 dni.

 Kiedy powołanie IOD jest obowiązkowe?

Teoretycznie Inspektora Ochrony Danych może powołać każdy podmiot zajmujący się przetwarzaniem danych, o ile uzna, że taka osoba się przyda. Jednak niektóre podmioty muszą to zrobić obligatoryjnie, ponieważ wymagają tego od nich przepisy i są to:

- podmioty publiczne przetwarzające dane osobowe,

- podmioty, które ze względu na charakter swojej działalności dokonują regularnego i systematycznego monitorowania osób i przetwarzania na ich temat danych na dużą skalę (dotyczy to m.in. profilowania i pozyskiwania danych w Internecie),

- podmioty przetwarzające na dużą skalę dane szczególnej kategorii np. w służbie zdrowia lub dotyczące wyroków skazujących i czynów zabronionych (ten rodzaj podmiotów także ma najczęściej charakter publiczny).

Warto pamiętać, że po wyznaczeniu w firmie Inspektora Ochrony Danych należy jego dane umieścić na swojej firmowej stronie internetowej, ponieważ pełni on funkcję punktu kontaktowego dla osób, których dane są przetwarzane w danej organizacji, a organem nadzorczym.

Monika Zygmunt - Jakuć (Inspektor Ochrony Danych)

Podziel się

Napisz do nas

Powrót do góry