Inspektor Ochrony Danych – kiedy, po co, jak i dlaczego ?

Published by Marek Mróz on

Inspektor Ochrony Danych (IOD) to osoba, która pomaga organizacji „utrzymać kurs” zgodności z głównymi przepisami o ochronie danych osobowych – Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. U. E. L 119/1 z 4 maja 2016 r.) oraz Ustawy z dnia 10 maja 2018 r. o Ochronie Danych Osobowych (Dz. U. z 2019 r. poz. 1781 z późn. zm.). W praktyce IOD to także doradca w zakresie tzw. Ustawy DODO – Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości oraz zgodności z prawem przetwarzania przez podmiot danych osobowych.

Kiedy Twoja firma lub instytucja musi wyznaczyć IOD?

Obowiązek wyznaczenia Inspektora Ochrony Danych nie dotyczy każdego podmiotu czy organizacji, ale w wielu branżach i instytucjach pojawia się on automatycznie, gdyż jak wynika z art. 37 ust. 1  RODO, IOD-a trzeba wyznaczyć, gdy:

  • przetwarzanie prowadzi organ lub podmiot publiczny (z wyjątkiem sądów w zakresie wymiaru sprawiedliwości),
  • główna działalność polega na operacjach wymagających regularnego i systematycznego monitorowania osób na dużą skalę,
  • główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych (np. zdrowie) lub danych o wyrokach/naruszeniach prawa.

Te informacje są szczególnie ważne dla szkół, urzędów i instytucji państwowych – bo „podmiot publiczny” zwykle oznacza obowiązek wyznaczenia Inspektora Ochrony Danych. Co ważne w opinii Urzędu Ochrony Danych Osobowych, w Polsce zakres podmiotów publicznych powiązany jest m.in. z art. 9 Ustawy z 10 maja 2018 r. o ochronie danych osobowych, który wskazuje na jednostki sektora finansów publicznych. Żeby od razu przełożyć przepisy na praktykę, warto posługiwać się prostą zasadą: liczy się skala i „rdzeń” działalności. Jeśli Twoja organizacja prowadzi działania polegające na profilowaniu i kierowaniu reklam na podstawie zachowań użytkowników w internecie (reklama behawioralna), to może to być traktowane jako regularne i systematyczne monitorowanie na dużą skalę – wtedy powołanie Inspektora Ochrony Danych jest obowiązkowe. Z drugiej strony, jeśli wysyłasz do klientów sporadyczne materiały promocyjne i nie budujesz zaawansowanych profili zachowań – zwykle nie wchodzisz w ten „twardy” obowiązek. Podobnie jest w ochronie zdrowia: mały gabinet może nie spełnić kryterium „dużej skali”, ale szpital lub podmiot przetwarzający dane szczególnych kategorii na szeroką skalę – już tak.

Czym zajmuje się Inspektor Ochrony Danych?

Szczegółowy zakres minimalnego katalogu zadań Inspektora Ochrony Danych opisuje art. 39 RODO. W praktyce IOD monitoruje sposób przetwarzania danych, zgodność z prawem, uświadamiania i szkoli pracowników, doradza przy trudnych decyzjach (np. nowe systemy IT, zapytania, wnioski, monitoring i marketing), a także jest punktem kontaktowym dla organu nadzorczego – Prezesa Urzędu Ochrony Danych. Co ważne Inspektor Ochrony Danych nie przejmuje odpowiedzialności za przetwarzanie danych ciążącej na Administratorze Danych Osobowych, ale pomaga ją realnie spełnić.  W art. 39 RODO wskazano wprost, że Inspektor Ochrony Danych ma za zadanie:

  • informować i doradzać administratorowi/podmiotowi przetwarzającemu oraz pracownikom,
  • monitorować przestrzeganie RODO i przepisów krajowych,
  • doradzać w sprawie oceny skutków dla ochrony danych (DPIA) i monitorować jej wykonanie (o ile dotyczy ona podmiotu),
  • współpracować z organem nadzorczym oraz pełnić funkcję punktu kontaktowego.

W codziennym funkcjonowaniu podmiotu oznacza to m.in.: przygotowanie właściwej dokumentacji, przegląd procedur i instrukcji, wsparcie przy incydentach/naruszeniach, opiniowanie umów powierzenia, stworzenie rejestru czynności i kategorii czynności, konsultacje przy monitoringu wizyjnym, kontroli dostępu, nowych narzędziach HR/CRM, a także szkolenia dla osób bezpośrednio zaangażowanych w przetwarzanie danych osobowych na tzw. „na pierwszej linii” – sekretariat, kadry, księgowość, obsługa klienta, IT.

Inspektor Ochrony Danych musi być niezależny

Wyznaczenie Inspektora Ochrony Danych to jedno, ale zrobienie tego prawidłowo – to drugie. Przepisy RODO wymagają, by Inspektor Ochrony Danych był włączany w sprawy ochrony danych „właściwie i niezwłocznie”, miał zasoby do działania, nie dostawał instrukcji co do wykonywania zadań i podlegał bezpośrednio tylko najwyższemu kierownictwu. Co równie ważne – Inspektor Ochrony Danych nie może być karany za wykonywanie swoich zadań, a dodatkowe obowiązki nie mogą powodować konfliktu interesów. To często naruszana zasada gdzie w praktyce  konflikt interesów pojawia się wtedy, gdy ta sama osoba ma jednocześnie „nadzorować” ochronę danych oraz decydować o celach i sposobach przetwarzania (np. pracownik działu kadr, kierownik IT lub członek zarządu).

Przepisy RODO dopuszczają dwa modele wyznaczenia Inspektora Ochrony Danych. Może być pracownikiem organizacji albo osobą z zewnątrz działającą na podstawie umowy o świadczenie usług. To drugie rozwiązanie jest często bardzo ważne dla małych przedsiębiorstw, szkół czy urzędów, które przy ograniczonych zasobach finansowych, mogą łatwiej zapewnić stałe wsparcie Inspektora Ochrony Danych w modelu zewnętrznym. Warto także pamiętać, iż wyznaczenie Inspektora Ochrony Danych wiąże się z Ustawowym obowiązkiem opublikowania jego danych kontaktowych – Imienia i Nazwiska oraz numeru telefonu lub adresu e-mail oraz zgłoszeniem go do Urzędu Ochrony Danych w ciągu 14 dni od dnia zaistnienia tego obowiązku.

Po co Ci Inspektor Ochrony Danych?

W praktyce w wielu podmiotach, zwłaszcza obsługujących mieszkańców, klientów masowych, uczniów/rodziców, interesantów, pracowników) Inspektora Ochrony Danych działa trochę jak bezpiecznik. Pomaga szybciej wyłapać ryzyka, ustawić procesy i dokumentację, przygotować ludzi do działania, a w razie kontroli lub incydentu – uporządkować komunikację oraz dowody podjęcia należytej staranności w przetwarzaniu danych. Co istotne w wielu przypadkach Inspektor Ochrony Danych zastępuje w swojej dziedzinie prawnika oraz stanowi świetne wsparcie dla pracowników zaangażowanych w procesy przetwarzania danych. Warto pamiętać, że jego kompetencje oraz responsywność, to cechy na które warto najbardziej zwrócić uwagę, decydując się na współpracę.

Zapraszamy do naszego bezpłatnego newslettera – Poradnika Przedsiębiorcy – w którym omawiamy zagadnienia z zakresu bezpieczeństwa i higieny pracy, ochrony przeciwpożarowej, pierwszej pomocy, ochrony danych osobowych i kadr oraz informujemy i nowych artykułach na naszej stronie. Zapisać się do newslettera możesz TUTAJ. Odwiedź też i subskrybuj nasz kanał na YouTube, aby być na bieżąco.

 

Opracowanie / Marek Mróz

Manager Bezpieczeństwa Informacji / Inspektor Ochrony Danych

Niniejszy wpis nie jest sponsorowany, zapraszamy do wsparcia rozwoju poradnika przedsiębiorcy poprzez postawienie nam wirtualnej kawy.

Postaw mi kawę na buycoffee.toPoniżej zamieszczamy ciekawe linki afiliacyjne do polecanych książek i poradników w zakresie Bezpieczeństwa i Higieny Pracy. Dokonując z nich zakupu, wesprzesz rozwój poradnika. Dziękujemy.

Ochrona Danych Medycznych i Osobowych Pacjentów – kupisz tutaj,

Ochrona Danych Osobowych – Poradnik dla Przedsiębiorców – kupisz tutaj,

Bezpieczeństwo aplikacji mobilnych – kupisz tutaj,

Informatyka Śledcza – kupisz tutaj,

Profesjonalne testy penetracyjne – kupisz tutaj.

Categories: ARTYKUŁY
Tags:

Related Posts

ARTYKUŁY

999 czy 112? Który numer wybrać?

999 czy 112? To częste pytanie zadawane przez uczestników prowadzonych przez nas szkoleń. Który numer daje szansę na szybszą reakcję służby, kiedy liczy się każda minuta, gdy liczy się czyjeś życie? Ten ważny problem nie Czytaj więcej

ARTYKUŁY

Kto musi, a kto nie musi mieć RODO ?

Z tytułowym pytaniem – Kto musi, a kto nie musi mieć RODO ?, spotykamy się dość często w zapytaniach płynących zarówno od firm i instytucji, a także od osób prywatnych. Mimo sporego już upływu czasu Czytaj więcej

ARTYKUŁY

Kogo dotyczy audyt Krajowych Ram Interoperacyjności

Audyt Krajowych Ram Interoperacyjności popularnie określany jako KRI, jest zasadniczym elementem zapewnienia zgodności działalności podmiotów publicznych (i współpracujących z nimi podmiotów prywatnych) z wymogami krajowymi w zakresie interoperacyjności i bezpieczeństwa systemów informatycznych. Ten ważny obszar Czytaj więcej

Zasilane przez  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.