Pełnienie Zadań Inspektora Ochrony Danych (IOD)
  1. Jesteś tutaj: Strona główna
  2. Oferta
  3. Pełnienie Zadań Inspektora Ochrony Danych (IOD)

Pełnienie Zadań Inspektora Ochrony Danych (IOD)

Możemy pełnić dla Twojej firmy obowiązki Inspektora Ochrony Danych. Napisz wiadomość, lub zadzwoń - dowiedz się więcej.

Inspektorem Ochrony Danych (IOD) może być osoba z personelu firmy, która może także wykonywać inne zadania oraz obowiązki w firmie, ale nie może to powodować konfliktu interesów.

Konfliktem interesu będzie zajmowanie stanowisk kierowniczych takich jak: dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT, ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych.

Z uwagi na obowiązki nałożone na inspektora przepisami RODO, wydaje się mocno utrudnione pełnienie wskazanej funkcji przez pracownika, który wykonuje również dodatkowe zadania w związku z innym stanowiskiem pracy.

Inspektorem Ochrony Danych (IOD) może być osoba spoza organizacji, która wykonuje funkcje na podstawie umowy o świadczenie usług (outsourcing). W szczególności małe i średnie podmioty powinny rozważyć outsourcing takiej funkcji. Możliwe jest także zatrudnienie IOD w oparciu o umowę o pracę, cywilnoprawną, lub świadczenie usług jako odrębna firma współpracująca w tym zakresie.

Inspektor Ochrony Danych podlega bezpośrednio najwyższemu kierownictwu administratora i powinien mieć wsparcie ze strony kadry kierowniczej, w tym odpowiednie wsparcie finansowe oraz infrastrukturalne. Za prawidłowe wypełnianie swoich zadań inspektor nie może być przez administratora karany ani odwołany. Co ważne, administrator zobowiązany jest do terminowego (niezbędne informacje powinny zostać udostępnione IOD odpowiednio wcześniej, umożliwiając IOD zajęcie stanowiska) i właściwego angażowania inspektora we wszystkie sprawy dotyczące ochrony danych osobowych. W związku z powyższym organizacja powinna zapewnić:

  • udział IOD w spotkaniach przedstawicieli wyższego i średniego szczebla organizacji;
  • że przedstawione stanowisko IOD w konkretnej sprawie powinno być wzięte pod uwagę, a postępowania niezgodne ze stanowiskiem IOD powinny być udokumentowane;
  • natychmiastowy kontakt z IOD w przypadku stwierdzenia naruszenia ochrony danych. Inspektor ma szereg obowiązków wynikających z RODO, jest zobowiązany m.in. do:
      • informowania administratora oraz pracowników o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów,
      • monitorowania przestrzegania RODO oraz innych przepisów Unii i państw członkowskich oraz polityk administratora lub procesora czyli sprawdzania zgodności przetwarzania, a w razie konieczności rekomendować określone działania,
      • szkolenia personelu uczestniczącego w operacjach przetwarzania,
      • przeprowadzania systematycznych audytów w organizacji, w której został powołany, współpracy z organem nadzorczym

Nadto IOD może odgrywać istotną rolę przy wykonywaniu oceny skutków dla ochrony danych (DPIA). Należy pamiętać, że wykonywania DPIA jest obowiązkiem administratora danych, a nie IOD. Administrator danych powinien jednak konsultowanie z IOD przede wszystkim fakt, czy należy przeprowadzić ocenę skutków dla ochrony danych oraz metodologii przeprowadzenia takiej oceny. Jeśli chodzi o rejestrowanie czynności przetwarzania, to administrator albo podmiot przetwarzający, a nie IOD, jest zobowiązany do prowadzenia rejestrów. Jednakże nic nie stoi na przeszkodzie, aby administrator lub podmiot przetwarzający powierzył IOD prowadzenie rejestru czynności przetwarzania lub kategorii czynności przetwarzania.

RODO przewiduje możliwość wyznaczenia jednego inspektora danych przez grupę grupa przedsiębiorców oraz przez organy lub podmioty publiczne. Jednakże należy ostrożnie podchodzić do wyznaczenia jednego inspektora ochrony danych w szczególności dla kilku podmiotów publicznych (…).

Inspektor będzie również punktem kontaktowym dla osoby, których dane przetwarza administrator jak i dla organu nadzorczego, czyli Prezesa Urzędu Ochrony Danych i jest zobowiązany z nim współpracować.

Jakie zadania ma IOD?

Do zadań inspektora ochrony danych zgodnie z art. art. 39 ust. 1 oraz 38 ust. 4 RODO należą:

1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

Niewątpliwie prawidłowe wykonywanie powyższego zadania przez IOD bezpośrednio przekłada się na podejmowanie przez administratorów i podmioty przetwarzające świadomych i trafnych decyzji. 

Aby kompetentnie edukować i doradzać innym IOD musi być do tego dobrze przygotowany merytorycznie, musi sam bardzo dobrze znać obowiązki administratorów i podmiotów przetwarzających oraz powiązane z nimi uprawnienia podmiotów danych. Dbanie o edukację osób podejmujących działania i decyzje w zakresie ochrony danych osobowych jest działaniem ciągłym i powtarzalnym, wymagającym umiejętności interpersonalnych i dydaktycznych.

2. monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

Aktywność inspektora ochrony danych w tym zakresie nie powinna mieć charakteru jednorazowego, a charakter ciągły i długofalowy. Zgodnie z Wytycznymi Grupy Roboczej art. 29 dotyczącymi inspektorów ochrony danych monitorowanie to:

  • zbieranie informacji w celu identyfikacji procesów przetwarzania;
  • analizowanie i sprawdzanie zgodności przetwarzania;
  • informowanie, doradzanie i rekomendowanie określonych działań.

Wykonując ten obowiązek inspektor ochrony danych powinien dostosować sposób i rodzaj przekazywanych informacji do grupy docelowej, tak aby zadanie to było realizowane w sposób efektywny i skuteczny.

3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;

Zgodnie z art. 35 ust. 2 RODO administrator dokonując oceny skutków konsultuje się z IOD, jeżeli został wyznaczony, w celu wydania przez niego zaleceń.

RODO określa, kiedy i jak należy dokonywać oceny skutków dla ochrony danych, natomiast nie zawiera konkretnych wskazówek, w jaki sposób oceny takiej należałoby dokonać. Pomocne w tym zakresie mogą być Wytyczne Grupy Roboczej art. 29, zgodnie z nimi administrator dokonując ww. oceny powinien konsultować się z IOD w następujących kwestiach:

  • czy należy przeprowadzić ocenę skutków dla ochrony danych;
  • metodologii przeprowadzenia oceny skutków dla ochrony danych;
  • czy należy przeprowadzić wewnętrzną ocenę czy też zlecić ją podmiotowi zewnętrznemu;
  • zabezpieczeń (w tym środków technicznych i organizacyjnych) stosowanych do łagodzenia wszelkich zagrożeń praw i interesów osób, których dane dotyczą;
  • prawidłowości przeprowadzonej oceny skutków dla ochrony danych i zgodności jej wyników z RODO (czy należy kontynuować przetwarzanie, czy też nie oraz jakie zabezpieczenia należy zastosować).

Jeśli administrator nie zgadza się z zaleceniami IOD w wyżej wymienionych przypadkach, dokumentacja oceny skutków dla ochrony danych powinna zawierać pisemne uzasadnienie nieuwzględnienia zaleceń IOD. 

4. współpraca z Prezesem Urzędu Ochrony Danych Osobowych;

Zgodnie z artykułem 39 ust. 1 lit. d RODO, IOD powinien współpracować z organem nadzorczym w kwestiach związanych z przetwarzaniem danych osobowych oraz w stosownych przypadkach zwracać się do niego.

5. pełnienie funkcji punktu kontaktowego dla Prezesa Urzędu Ochrony Danych Osobowych w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;

Pełnienie przez IOD funkcji punktu kontaktowego należy traktować jako pełnienie przez niego roli pośrednika pomiędzy administratorem lub podmiotem przetwarzającym, a organem nadzorczym.

IOD z jednej strony udziela fachowego wsparcia administratorowi w zakresie sposobu wykonania obowiązków nałożonych na administratora wynikających z RODO, z drugiej strony wspomaga go przed organem nadzorczym w wykazaniu zasadności wybranych rozwiązań w ramach prowadzonych przez organ postępowań.

Obowiązek pełnienia roli punktu kontaktowego przez IOD dla organu nadzorczego, wynika z art. 39 ust. 1 lit. e RODO. Wobec czego, jeżeli organ nadzorczy zwróci się do IOD o udzielenie mu informacji w określonych przypadkach (w tym dostępu do dokumentów), inspektor powinien się z tego obowiązku należycie wywiązać.

Poniżej przykłady sytuacji, w których IOD będzie pełnił funkcję punktu kontaktowego.

1. punkt kontaktowy w zakresie naruszeń (art. 33 RODO);

W przypadku zgłoszenia naruszenia ochrony danych przez administratora Prezesowi Urzędu Ochrony Danych Osobowych, administrator jest zobowiązany do podania danych kontaktowych IOD w celu uzyskania przez organ wszelkich ważnych w tej sprawie informacji.  Przepis ten zobowiązuje jednocześnie inspektora ochrony danych do współpracy oraz przekazywania wszelkich niezbędnych informacji Prezesowi Urzędu.

2. punkt kontaktowy w zakresie uprzednich konsultacji (art. 36 RODO).

Zgodnie z art. 35 RODO na administratora danych nałożony jest obowiązek dokonywania oceny skutków dla ochrony danych oraz konsultowania się w tej sprawie z powołanym IOD. Ponadto, w przypadku, gdy zmienia się ryzyko wynikające z operacji przetwarzania administrator powinien dokonać przeglądu, by stwierdzić czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych. Jeżeli ocena ta wykaże, że przetwarzanie może powodować wysokie ryzyko przy braku zastosowania przez administratora środków dla zminimalizowania tego ryzyka, to zgodnie z art. 36 RODO administrator konsultuje się w tej sprawie z Prezesem Urzędu Ochrony Danych Osobowych. Zasadne jest założenie, że IOD jako doradca administratora, powinien w tej sprawie ściśle współpracować z Prezesem Urzędu, przedstawiając wszystkie istotne aspekty mogące mieć wpływ na treść przyszłego zalecenia.

Warto zwrócić uwagę, że powołany inspektor ochrony danych zgodnie z Wytycznymi Grupy Roboczej art. 29 powinien, komunikować się w języku używanym przez Prezesa Urzędu. 

6. pełnienie roli punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.

Osoby, których dane dotyczą, zgodnie z art. 38 ust. 4 RODO, powinny mieć możliwość skontaktowania się z IOD we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia. W związku z tym, na stronie internetowej administratora lub podmiotu przetwarzającego powinny się znaleźć dane kontaktowe inspektora ochrony danych, umożliwiające kontakt z nim zainteresowanym podmiotom. W dużej organizacji, ilość pytań wpływających do IOD może być tak duża, że mogłoby to powodować trudności w wykonywaniu przez niego innych zadań. W związku z powyższym pożądane byłoby w takim przypadku, wyznaczenie pracowników lub powołanie zespołu osób, które wspierałyby inspektora ochrony danych w zakresie wykonywania tego zadania.

Zadania inspektora ochrony danych w RODO zostały sformułowane w sposób ogólny, bez wskazania trybu oraz terminów ich realizacji. Taki sposób ujęcia obowiązków inspektora jest wyrazem nowego podejścia do ochrony danych osobowych opartego na analizie ryzyka i zasadzie rozliczalności, zapisanej w art. 5 ust. 2 RODO. Wyznaczenie IOD roli doradczej i weryfikacyjnej wobec działań administratora danych i podmiotu przetwarzającego (oraz ich pracowników) sprawia, że zarówno zadania IOD, jak i sposób ich realizacji są ściśle powiązane nie tylko z obowiązkami administratorów danych lub podmiotów przetwarzających, ale też z nowym sposobem podejścia do ich realizacji.

Należy pamiętać, że podmiotem, który faktycznie podejmuje decyzje i odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiedni stopień bezpieczeństwa oraz wykazanie, że przetwarzanie odbywa się zgodnie z przepisami ochrony danych osobowych jest administrator lub  podmiot przetwarzający. Na podstawie art. 24 RODO administratorzy i podmioty przetwarzające są zobowiązani uwzględniać: charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, i odpowiednio do nich - dobierać i wdrażać środki techniczne i organizacyjne, tak, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te powinny być w razie potrzeby poddawane przeglądom i uaktualniane. Ponadto zarówno przy określaniu ilości zbieranych danych osobowych, jak i zakresu ich przetwarzania, okresu przechowywania, dostępności oraz sposobów przetwarzania konieczne jest stosowanie mechanizmów takich jak zapewnienie ochrony danych osobowych na etapie projektowania oraz domyślnej ochrony danych („privacy by design” oraz „privacy by default”), zarówno przed przystąpieniem do przetwarzania danych, jak i w czasie prowadzonego przetwarzania (art. 25 RODO).

(za: www.uodo.gov.pl)