Rozporządzenie o ochronie danych osobowych (RODO) przewiduje wiele obowiązków dla administratorów tych danych. Jednym z nich jest konieczność wyznaczenia inspektora ochrony danych osobowych. W związku z tym pojawia się pytanie, czy taki obowiązek ciąży na każdej firmie, która zajmuje się przetwarzaniem danych osobowych? Zobaczmy.
Kto ma obowiązek wyznaczenia inspektora ochrony danych osobowych?
Obowiązek powołania inspektora danych osobowych został zapisany w art.37 ust.1 RODO. Zgodnie z nim obowiązek powołania IODO spoczywa na tych podmiotach i organizacjach, których główna działalność polega na przetwarzaniu na dużą skalę wrażliwych danych osobowych. Inspektora ochrony danych osobowych muszą powoływać organy administracji publicznej – wyjątkiem są sądy w ramach sprawowania przez nie wymiaru sprawiedliwości. Także jednostki sektora publicznego (zalicza się do nich uczelnie publiczne, jednostki samorządu terytorialnego, instytuty badawcze) oraz choćby Narodowy Bank Polski także mają obowiązek wyznaczenia inspektora ochrony danych osobowych. Ponadto IODO muszą powołać te podmioty, których działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych – zalicza się do nie nie tylko wspomniane dane wrażliwe (są to dane odnoszące się do sfery prywatnej, ujawniające na przykład przekonania religijne czy stanu zdrowia) ale także te, które dotyczą naruszeń prawa oraz wyroków skazujących. Podmiot, który nie powołała wyznaczy IOD mimo że jest do tego zobowiązany może zostać ukarany karą pieniężną.
Kto nie musi wyznaczać inspektora ochrony danych osobowych?
Wspomniany art. 37 ust.1 RODO dokładnie wymienia podmioty, które muszą wyznaczyć inspektora ochrony danych osobowych. Podmioty, które nie należą do żadnej z wymienionych kategorii zwolnione są z obowiązku wyznaczania IODO. Istotne jest jednak to, że nawet w organizacjach, które nie muszą powoływać IODO, mają prawo dobrowolnego wyznaczenia inspektora. Takie dobrowolne wyznaczenie IODO będzie się oczywiście wiązała z pewnymi kosztami, mimo zwiększonych kosztów rozwiązanie to warto jednak wziąć pod uwagę.
Kogo można wyznaczyć na stanowisko IODO?
Istotne jest to, że na stanowisko inspektora ochrony danych osobowych nie trzeba zatrudniać nowego pracownika, może nim zostać osoba z kręgu obecnych pracowników, która posiada odpowiednie kwalifikacje, jak też osoba nie związana z organizacją. W tej drugiej sytuacji możliwe jest skorzystanie z usług firmy outsourcingowej. Istotne jest to, że podmiot przetwarzający dane osobowe bądź administrator nie ma może odwołać ani ukarać IODO tylko dlatego, że wypełnia on rzetelnie swoje obowiązki.
Monika Zygmunt-Jakuć (Inspektor ochrony danych)