Powołanie w instytucji funkcji – Inspektor Ochrony Danych wynika wprost z zapisów zawartych w ogólnym rozporządzeniu o ochronie danych w art. 37 ust 1 RODO, i przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających wówczas, gdy:
- Przetwarzania dokonuje organ lub podmiot publiczny*, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.
- Główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę.
- Główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO.
W interpretacji terminów użytych w art. 37 ust. 1 lit. b i c RODO („główna działalność”, „regularne i systematyczne monitorowanie” i „na dużą skalę”) pomocne mogą być motywy RODO oraz Wytyczne Grupy Roboczej art. 29 dotyczące inspektora ochrony danych.
Powoływany dla współpracującego z nami podmiotu Inspektor ochrony danych, zapewnia realizację następujących zadań:
- Informuje Administratora Danych, podmiot przetwarzający w imieniu Administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradza im sprawach z tym związanych,
- Monitoruje przestrzegania wspomnianego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podziału obowiązków, działań zwiększających świadomość, szkoleń personelu uczestniczącego w operacjach przetwarzania oraz przeprowadza powiązane z tym audyty,
- Udziela na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitoruje ich wykonanie zgodnie z art. 35 RODO,
- Współpracuje z organem nadzorczym,
- Pełni funkcję punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania Administratora Danych.
*Przez organy i podmioty publiczne obowiązane do wyznaczenia IOD, o których mowa w art. 37 ust. 1 lit. a RODO, rozumie się jednostki sektora finansów publicznych (np. jednostki samorządu terytorialnego, uczelnie publiczne), instytuty badawcze oraz Narodowy Bank Polski (art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).