RODO nakłada na niektórych Administratorów oraz niektóre podmioty przetwarzające obowiązek powołana IOD. Rekomendowane jest powołanie IOD nawet, jeśli nie jest to wymagane przepisami prawa. Wyznaczenie specjalisty do pełnienia obowiązków wynikających z RODO umożliwi Administratorowi / podmiotowi przetwarzającemu skuteczne przestrzeganie zasad ochrony danych osobowych.

Główne zadania Inspektora Ochrony Danych

Tworzenie dokumentacji

  • aktualizacja i weryfikacja bieżącej dokumentacji
  • opracowanie rejestru czynności i rejestru kategorii czynności przetwarzania danych osobowych
  • opracownie klauzul informacyjnych i treści zgód
  • opracowanie umów przetwarzania danych osobowych
  • opracowanie i wdrozenie dokumentacji przetwarzania danych osobowych, w tym niezbednych procedur

Ochrona przedsiębiorstwa

  • pomoc Administratorowi we właściwym budowaniu systemu ochrony danych osobowych
  • udzielanie wskazówek dotyczących doboru odpowiednich zabezpieczeń organizacyjnych i technicznych
  • szkolenie pracowników oraz kadry zarządzającej
  • bieżące audyty zgodności z przepisami prawa
  • analiza ryzyka i ocena skutków dla ochrony danych (DPIA)
  • konsultacje w razie incydentu bezpieczeństwa, analiza zaistniałej sytuacji oraz wybór najlepszego rozwiązania

Odpowiedzialność

  • reprezentowanie i wsparcie Administratora przez Urzędem Ochrony Danych Osobowych, w tym zgłaszanie naruszeń
  • wsparcie w czasie kontroli, informacje o przysługujących prawach i obowiązkach oraz ukierunkowanie na właściwe działania w czasie kontroli.
  • monitorowanie współpracy z innymi podmiotami pod kątem powierzenia przetwarzania danych osobowych
  • udział w opiniowaniu procesów biznesowych w kontekście przetwarzania danych osobowych

Odpowiedzi na pytania

  • pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą we wszystkich sprawach związanych z  przetwarzaniem tych danych oraz przysługujących prawach tych osób
  • obsługa wniosków i żądań osób, których dane dotyczą
  • zawiadamianie osoby, której dane dotyczą o naruszeni ochrony danych

Korzyści z powierzenia funkcji Inspektora Ochrony Danych firmie zewnętrznej

Zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) Inspektorem Ochrony Danych (IOD) może być pracownik firmy zewnętrznej (outsourcing)

Korzyści z powierzenia funkcji IOD podmiotowi zewnętrznemu:

  • wykorzystanie wiedzy i doświadczenia zdobytego na stanowisku IOD w inych organizacjach
  • współpraca z całym zespołem ekspertów
  • brak konieczności szkolenia wsłanego pracownika w celu spełnienia warunków z art. 37 ust. 5 RODO
  • brak konfliktu interesów
  • niezależność

Inspektor Ochrony Danych – pytania i odpowiedzi

Kiedy należy powołać inspektora ochrony danych?

IOD musi zostać wyznaczony, gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Jakie warunki powinna spełniać osoba pełniąca funkcję inspektora ochrony danych?

IOD powinien mieć odpowiedni kwalifikacje, czyli posiadać fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych oraz posiadać umiejętność wypełniania swoich zadań wynikających z przepisów prawa.
RODO jasno precyzuje, jakie warunki musi spełniać osoba pełniąca funkcję IOD:

  • musi podlegać bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego,
  • administrator oraz podmiot przetwarzający muszą włączyć IOD we wszystkie sprawy dotyczące ochrony danych osobowych dziejące się w jednostce organizacyjnej,
  • administrator oraz podmiot przetwarzający nie mogą narzucać IOD instrukcji dotyczących wykonywania przez niego zadań,
  • IOD nie może być karany ani odwołany przez administratora lub podmiot przetwarzający za właściwe wypełnianie swoich zadań,
  • IOD jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywanych zadań,
  • IOD może wykonywać inne zadania i obowiązki, pod warunkiem, że nie powodują one konfliktu interesów.
Czy jedna osoba może pełnić funkcję inspektora ochrony danych w kilku podmiotach?

Tak, pod warunkiem, że nawiązanie z nią kontaktu z każdej jednostki nie będzie stanowiło trudności. Przed wyznaczeniem na stanowisko IOD osoby z zewnątrz jednostki organizacyjnej warto zorientować się w ilu miejscach taka osoba pełni już tę funkcję i tym samym, czy będzie miała realną możliwość na wykonywanie swoich zadań. Przepisy prawa nie precyzują jednak w maksymalnie ilu podmiotach jedna osoba może pełnić funkcję IOD. Należy pamiętać, że każdy administrator lub podmiot przetwarzający musi wyznaczyć inspektora i zgłosić go do Urzędu Ochrony Danych Osobowych samodzielnie. Ta sama osoba pełniąca funkcję IOD nie jest wspólnym inspektorem dla wszystkich podmiotów – oddzielnie dla każdego wykonuje wszystkie zadania wynikające z przepisów prawa.

W jaki sposób powołać inspektora ochrony danych?

Administrator lub podmiot przetwarzający, zawiadamia Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu IOD w ciągu 14 dni od dnia jego wyznaczenia (art. 10 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).
Jedynym sposobem zawiadomienia o wyznaczeniu IOD jest zgłoszenie w postaci elektronicznej, opatrzone kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.
Zawiadomienie należy przesłać korzystając z dwóch możliwości:

  1. usług znajdujących się na stronie www.biznes.gov.pl,
  2. platformy ePUAP kierując się wskazówkami w zamieszczonej na stronie instrukcji.

Skutecznie dostarczone do UODO zawiadomienia są potwierdzane Urzędowym Poświadczeniem Przedłożenia (generowanym przez epuap.gov.pl w postaci pliku UPP.xml)

Czy osoba pełniąca funkcję inspektora ochrony danych musi być pracownikiem firmy?

Niekoniecznie. Inspektorem ochrony danych może zostać zarówno pracownik danej organizacji, jak również osoba spoza firmy zatrudniona na podstawie umowy o świadczenie usług. Korzystanie z takiego rozwiązania to wybór odpowiedniego specjalisty, podobnie jak zewnętrznej usługi księgowej czy radcy prawnego. W tym modelu zadania, które stawia przed nami ochrona danych osobowych, nie będą stanowiły przeszkody dla profesjonalisty wykorzystującego zdobytą wiedzę oraz doświadczenie. Nierzadko zwracają się do nas po poradę i pomoc inspektorzy ochrony danych osobowych powołani przez swojego pracodawcę, których przerósł zakres nowych obowiązków. Poziom złożoności nowych przepisów i dostosowanie ich do polskiego przedsiębiorcy, to jeden z powodów, dla którego w największych miastach powstają serie merytorycznych spotkań, w których eksperci dzielą się wiedzą oraz dyskutują nad najlepszymi rozwiązaniami wprowadzanymi w swoich organizacjach. Skorzystanie z usług profesjonalisty ma wiele zalet, o których piszemy na naszym blogu: kiedy należy zatrudnić inspektora ochrony danych.