Inspektor ochrony danych (IOD) to funkcja, wokół której krąży wiele “mitów”. Często pracodawcy nie wiedzą, komu powierzyć tę rolę, jakie zadania stoją przed inspektorem i jak powinna wyglądać jego praca. Dlatego przygotowaliśmy ten artykuł.
Monika Kacprzak
Po pierwsze, nie wszystkie organizacje przetwarzające dane osobowe są zobowiązane do wyznaczenia inspektora ochrony danych. Przepisy RODO nakazują powołanie IOD w konkretnych przypadkach. Wiele firm pomimo braku obowiązku prawnego decyduje się jednak na powołanie IOD. Zdają sobie sprawę z faktu, że w ogólnym rozrachunku koszt nieposiadania IOD może być o wiele większy niż koszt związany z jego utrzymaniem.
Na administratorze oraz podmiocie przetwarzającym ciąży obowiązek spełnienia wielu wymagań wynikających z RODO oraz innych przepisów sektorowych związanych z ochroną danych osobowych. Co ważne, administrator jak i podmiot przetwarzający muszą być w stanie rozliczyć się ze spełnienia tych wymagań. IOD posiadający odpowiednie kwalifikacje z pewnością jest osobą, która będzie efektywnie wspierać organizację w wypełnianiu tych obowiązków. Pomoże również zminimalizować ryzyko wystąpienia negatywnych skutków (prawnych i finansowych) związanych z nieprawidłowym przetwarzaniem danych lub nieodpowiednim ich zabezpieczeniem.
Zgodnie z art. 37 ust. 1 RODO inspektora ochrony danych muszą powołać administrator i podmiot przetwarzający zawsze gdy:
Podmioty nie spełniające powyższych kryteriów nie muszą wyznaczać IOD. MOGĄ jednak to zrobić, do czego z uwagi na liczne korzyści niewątpliwie zachęcamy.
RODO nie stawia wymagań dotyczących formy współpracy pomiędzy IOD a administratorem. Administrator może zatrudnić IOD na odrębnym stanowisku (umowa o pracę), może też powierzyć zadania IOD dotychczasowemu pracownikowi. Warto dodać, że w przypadku powierzenia zadań IOD pracownikowi na innym stanowisku należy pamiętać o tym, aby jego dotychczasowe obowiązki nie kolidowały z obowiązkami IOD. Taka osoba musi mieć odpowiednio dużo czasu na wypełnianie wszystkich zadań.
Polecamy również trzecią opcję – outsourcing funkcji IOD, czyli zawarcie umowy o świadczenie usług z zewnętrzną firmą. Nasi klienci są bardzo zadowoleni z outsourcingu IOD. Do zalet takiego rozwiązanie należą m.in.: posiadanie inspektora ochrony danych z odpowiednimi kwalifikacjami i doświadczeniem w dziedzinie ochrony danych, wysoki poziom obiektywizmu i niezależności, pewność niewystępowania konfliktu interesów, brak kosztów finansowych i czasowych związanych z koniecznością dokształcania i doszkalania swoich pracowników. Więcej informacji można znaleźć w naszej ofercie.
Bez względu na to czy IOD jest zatrudniony na umowę o pracę czy na podstawie umowy o świadczenie usług, musi mieć zagwarantowaną niezależność służbową w wykonywaniu swoich zadań i musi być włączany we wszystkie procesy związane z przetwarzaniem i ochroną danych osobowych.
Zgodnie z art. 37 ust. 5 RODO: Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO.
RODO nie precyzuje jakie wykształcenie ma mieć inspektor ochrony danych czy jakie kursy ma skończyć. Ważne jest aby posiadał fachową wiedzę w dziedzinie ochrony danych osobowych i odpowiednie kwalifikacje w celu umiejętnego wypełniania swoich zadań. Należy pamiętać też o kolizji w przypadku pełnienia niektórych funkcji w organizacji, które mogą utrudnić bądź uniemożliwić prawidłowe pełnieni funkcji inspektora ochrony danych np. osoby będące członkiem zarządu spółki, prokurenci, radcy prawni reprezentujący administratora.
Osoba obejmująca stanowisko IOD powinna posiadać m.in. umiejętności związane z: opracowywaniem odpowiedniej dokumentacji ochrony danych, przeprowadzaniem szkoleń pracowników z zakresu ochrony danych, przeprowadzaniem audytów wewnętrznych i szacowaniem ryzyka. Przydatna będzie również wiedza w zakresie rodzajów zabezpieczeń danych w systemach informatycznych jak i funkcjonowania samych systemów IT.
Po wyznaczeniu IOD Administrator ma obowiązek zawiadomienia o tym fakcie Prezesa UODO w terminie 14 dni od daty wyznaczenia. Zawiadomienie można wysłać jedynie w formie elektronicznej. Szczegółowa instrukcja postępowania znajduje się na stronie internetowej Urzędu Ochrony Danych Osobowych.
Oprócz wysłania zawiadomienia o powołaniu IOD, administrator ma obowiązek opublikowania danych IOD w zakresie imię i nazwisko oraz adres e-mail lub nr telefonu na swojej stronie internetowej, a jeśli takiej nie posiada, w sposób ogólnodostępny w miejscu prowadzenia działalności czyli np. na tablicy informacyjnej przy wejściu do siedziby (wymaganie art. 11 ustawy z dnia 10 maja 2018 o ochronie danych osobowych).
Publikacja danych kontaktowych do IOD ma na celu umożliwienie łatwego kontaktu z IOD osób, których dane dotyczą jak i samego organu nadzorczego.
Do podstawowych zadań IOD należą:
W praktyce inspektor ochrony danych bierze czynny udział w wielu zadaniach. Są to m.in.: szacowanie ryzyka ochrony danych, ocena skutków dla ochrony danych, opracowywanie dokumentacji ochrony danych osobowych (polityki, procedury i instrukcje), odpowiadanie na żądania osób, których dane dotyczą i pomoc w wypełnianiu ich praw, pomoc w prowadzeniu rejestru czynności przetwarzania danych i rejestrze kategorii czynności przetwarzania danych, sporządzanie projektów decyzji, pism, porozumień z zakresu ochrony danych osobowych; opiniowanie umów i umów powierzenia pod kątem zgodności z RODO i negocjowanie warunków umów powierzenia.
Wymienione powyżej zadania nie są proste – inspektor musi bardzo dobrze znać prawo i ciągle podnosić swoje kwalifikacje. Rekomendowane przez niego rozwiązania muszą być zgodne z obowiązującymi przepisami.
Na koniec należy podkreślić, że wbrew mylnemu przekonaniu większości, to nie IOD ponosi odpowiedzialność za prawidłowe wdrożenie procedur i polityk ochrony danych osobowych oraz ogólną „zgodność organizacji z RODO” ale administrator, a w domyśle kierownictwo zarządzające organizacją. Dlatego niezwykle istotna jest współpraca z dobrze wykwalifikowanym IOD posiadającym fachową wiedzę w dziedzinie ochrony danych osobowych, którego rady i rekomendacje przyczynią się do prawidłowego spełnienia wymagań RODO, a nie narażą administratora na koszty związane z potencjalnymi karami finansowymi czy odszkodowaniami z powodu nieprzestrzegania przepisów o ochronie danych osobowych.