Od czasu bezpośrednio poprzedzającego rozpoczęcie stosowania RODO (potocznie mówi się o wejściu w życie RODO 25. maja 2018 – kto czytał rozporządzenie do końca, wie, że nie jest to sformułowanie w 100% poprawne 😉 ), często spotykam się z pytaniami o rolę i kompetencje Inspektora Ochrony Danych (IOD):

  1. czy każda firma musi powołać IOD?
  2. jakie kwalifikacje powinien posiadać IOD?
  3. jakie jest miejsce IOD w organizacji?
  4. czy inspektor może mieć inne obowiązki?
  5. czy można wyznaczyć IOD wspólnego dla kilku podmiotów?

Poniżej zestawiłam odpowiedzi na te pytania 🙂

RODO-Positivity-Consulting.pl

1. Czy każda firma przetwarzająca dane osobowe musi powołać IOD?

Nie. Art. 37 ust.1 RODO mówi wyraźnie, że IOD musi być wyznaczony:

  • w przypadku podmiotów publicznych (dokładniej – organów publicznych, bo takiego dokładnie pojęcia używa RODO) Wyjątek, wprost wymieniony w tekście rozporządzenia to sądy. Nie muszą one wyznaczać IOD, ale w zakresie sprawowania przez nie wymiaru sprawiedliwości.
  • Podmioty (publiczne i prywatne), dla których operacje przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę stanowią ich główną działalność
  • Podmioty publiczne i prywatne, których główną działalność stanowi przetwarzanie danych wrażliwych na dużą skalę, a także

przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

O tym, czy IOD musi być powołany w Twojej organizacji, decyduje fakt przetwarzania przez organizację danych na dużą skalę. Jeśli przetwarzasz dane osobowe na dużą skalę, a ich charakter wymaga regularnego i systematycznego przetwarzania, albo na dużą skalę przetwarzasz dane wrażliwe – bezwzględnie musisz wyznaczyć IOD.

O tym, czy IOD musi być powołany w Twojej organizacji, decyduje fakt przetwarzania przez organizację danych na dużą skalę. Jeśli przetwarzasz dane osobowe na dużą skalę, a ich charakter wymaga regularnego i systematycznego przetwarzania, albo na dużą skalę przetwarzasz dane wrażliwe - bezwzględnie musisz wyznaczyć IOD.Click To Tweet

2. Jakie kwalifikacje powinien posiadać IOD?

Zadaniem Inspektora Ochrony Danych będzie wspieranie przetwarzania danych w organizacji w sposób zgodny z RODO, dlatego powinien mieć kwalifikacje zawodowe w zakresie wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Musi więc posiadać odpowiednią wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych, w tym dogłębną znajomość samego rozporządzenia.

Zgodnie z wytycznymi Grupy Roboczej Art. 29 (czyli zgromadzenia organów nadzorczych w zakresie ochrony danych osobowych krajów Unii Europejskiej) dotyczącymi inspektorów ochrony danych niezbędny poziom wiedzy fachowej należy ustalić, biorąc pod uwagę w szczególności szczególności prowadzone prowadzone operacje przetwarzania danych oraz ochronę, której wymagają przetwarzane dane osobowe. Inspektor powinien także mieć odpowiednią wiedzę na temat operacji przetwarzania danych, systemów informatycznych, zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych. W przypadku organów i podmiotów publicznych powinien być zaznajomiony z procedurami administracyjnymi i zasadami funkcjonowania jednostki

Przy wyznaczaniu inspektora administrator powinien zatem wziąć pod uwagę: kwalifikacje, cechy osobowe i pozycje w strukturach podmiotu.

W ten sposób płynnie przechodzimy do kolejnego zagadnienia 🙂

3. Jakie jest miejsce IOD w organizacji?

Proszę zauważyć, że IOD (jak wiele instytucji wprowadzonych przez RODO) nie jest funkcją zupełnie nową. Przed stosowaniem RODO, podobną funkcję  pełnił Administrator Bezpieczeństwa Informacji (ABI).

Inspektor Ochrony Danych powinien bezpośrednio podlegać najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Powinien mieć możliwość niezależnego wykonywania swoich zadań i nie być związany instrukcjami dotyczącymi ich wykonywania. Nie ma natomiast znaczenia to, czy inspektor jest przez administratora danych zatrudniony pracowniczo (na podstawie umowy o pracę), czy też w sposób inny niż pracowniczy (np. na podstawie umowy zlecenia lub umowy o dzieło).

4. Czy inspektor może mieć inne obowiązki?

Inspektor ochrony danych może wykonywać inne zadania i obowiązki jednak pod warunkiem że te inne zadania i obowiązki nie powodują konfliktu interesów. Zgodnie z wytycznymi wspomnianej już Grupy Roboczej Art. 29 za powodujące konflikt interesów mogą być uważane m.in. stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również i niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych.

Aby zachować niezależność inspektora ochrony danych, najlepszym rozwiązaniem jest utworzenie samodzielnego stanowiska lub powierzenie tej funkcji odrębnemu podmiotowi w drodze umowy cywilnoprawnej.

Aby zachować niezależność inspektora ochrony danych, najlepszym rozwiązaniem jest utworzenie samodzielnego stanowiska lub powierzenie tej funkcji odrębnemu podmiotowi w drodze umowy cywilnoprawnej.Click To Tweet

5. Czy można wyznaczyć IOD wspólnego dla kilku podmiotów?

Europejski prawodawca przewidział możliwość powołania jednego wspólnego inspektora ochrony danych dla:

  • grupy przedsiębiorstw – jeśli można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej,
  • kilku organów lub podmiotów publicznych – z uwzględnieniem ich struktury organizacyjnej i wielkości,
  • zrzeszeń lub innych podmiotów reprezentujących określone kategorie administratorów.

Mam nadzieję, że udało mi się przybliżyć Ci instytucję Inspektora Ochrony Danych. Jeżeli tak – możesz śmiało udostępnić ten wpis na swoim Facebooku, Twitterze czy LinkedIn. A jeśli masz dodatkowe pytania dotyczące tego tematu – napisz je, proszę w komentarzu poniżej. Postaram się odpowiedzieć na każde z nich 🙂

Leave a comment

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *