Wyjaśniamy mity o IOD

Inspektor ochrony danych (IOD) to funkcja, wokół której krąży wiele “mitów”. Często pracodawcy nie wiedzą, komu powierzyć tę rolę, jakie zadania stoją przed inspektorem i jak powinna wyglądać jego praca. Dlatego przygotowaliśmy ten artykuł. 

Monika Kacprzak

Na początek…

Po pierwsze, nie wszystkie organizacje przetwarzające dane osobowe są zobowiązane do wyznaczenia inspektora ochrony danych. Przepisy RODO nakazują powołanie IOD w konkretnych przypadkach. Wiele firm pomimo braku obowiązku prawnego decyduje się jednak na powołanie IOD. Zdają sobie sprawę z faktu, że w ogólnym rozrachunku koszt nieposiadania IOD może być o wiele większy niż koszt związany z jego utrzymaniem.

Na administratorze oraz podmiocie przetwarzającym ciąży obowiązek spełnienia wielu wymagań wynikających z RODO oraz innych przepisów sektorowych związanych z ochroną danych osobowych. Co ważne, administrator jak i podmiot przetwarzający muszą być w stanie rozliczyć się ze spełnienia tych wymagań. IOD posiadający odpowiednie kwalifikacje z pewnością jest osobą, która będzie efektywnie wspierać organizację w wypełnianiu tych obowiązków. Pomoże również zminimalizować ryzyko wystąpienia negatywnych skutków (prawnych i finansowych) związanych z nieprawidłowym przetwarzaniem danych lub nieodpowiednim ich zabezpieczeniem.

Kto musi powołać IOD?

Zgodnie z art. 37 ust. 1 RODO inspektora ochrony danych muszą powołać administrator i podmiot przetwarzający zawsze gdy:

1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Podmioty nie spełniające powyższych kryteriów  nie muszą wyznaczać IOD. MOGĄ jednak to zrobić, do czego z uwagi na liczne korzyści niewątpliwie zachęcamy.

Jaka powinna być forma zatrudnienia IOD?

RODO nie stawia wymagań dotyczących formy współpracy pomiędzy IOD a administratorem. Administrator może zatrudnić IOD na odrębnym stanowisku (umowa o pracę), może też powierzyć zadania IOD dotychczasowemu pracownikowi. Warto dodać, że w przypadku powierzenia zadań IOD pracownikowi na innym stanowisku należy pamiętać o tym, aby jego dotychczasowe obowiązki nie kolidowały z obowiązkami IOD. Taka osoba musi mieć odpowiednio dużo czasu na wypełnianie wszystkich zadań.

Polecamy również trzecią opcję – outsourcing funkcji IOD, czyli zawarcie umowy o świadczenie usług z zewnętrzną firmą. Nasi klienci są bardzo zadowoleni z outsourcingu IOD. Do zalet takiego rozwiązanie należą m.in.: posiadanie inspektora ochrony danych z odpowiednimi kwalifikacjami i doświadczeniem w dziedzinie ochrony danych, wysoki poziom obiektywizmu i niezależności, pewność niewystępowania konfliktu interesów, brak kosztów finansowych i czasowych związanych z koniecznością dokształcania i doszkalania swoich pracowników. Więcej informacji można znaleźć w naszej ofercie.

Bez względu na to czy IOD jest zatrudniony na umowę o pracę czy na podstawie umowy o  świadczenie usług, musi mieć zagwarantowaną niezależność służbową w wykonywaniu swoich zadań i musi być włączany we wszystkie procesy związane z przetwarzaniem i ochroną danych osobowych.

Kto może zostać IOD?

Zgodnie z art. 37 ust. 5 RODO: Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO.

RODO nie precyzuje jakie wykształcenie ma mieć inspektor ochrony danych czy jakie kursy ma skończyć. Ważne jest aby posiadał fachową wiedzę w dziedzinie ochrony danych osobowych i odpowiednie kwalifikacje w celu umiejętnego wypełniania swoich zadań. Należy pamiętać też o kolizji w przypadku pełnienia niektórych funkcji w organizacji, które mogą utrudnić bądź uniemożliwić  prawidłowe pełnieni funkcji inspektora ochrony danych np. osoby będące członkiem zarządu spółki, prokurenci, radcy prawni reprezentujący administratora.

Osoba obejmująca stanowisko IOD powinna posiadać m.in. umiejętności związane z: opracowywaniem odpowiedniej dokumentacji ochrony danych, przeprowadzaniem szkoleń pracowników z zakresu ochrony danych, przeprowadzaniem audytów wewnętrznych i szacowaniem ryzyka. Przydatna będzie również wiedza w zakresie rodzajów zabezpieczeń danych w systemach informatycznych jak i funkcjonowania samych systemów IT.

Co trzeba zrobić gdy wyznaczono IOD?

Po wyznaczeniu IOD Administrator ma obowiązek zawiadomienia o tym fakcie Prezesa UODO w terminie 14 dni od daty wyznaczenia. Zawiadomienie można wysłać jedynie w formie elektronicznej. Szczegółowa instrukcja postępowania znajduje się na stronie internetowej Urzędu Ochrony Danych Osobowych.

Oprócz wysłania zawiadomienia o powołaniu IOD, administrator ma obowiązek opublikowania danych IOD w zakresie imię i nazwisko oraz adres e-mail lub nr telefonu na swojej stronie internetowej, a jeśli takiej nie posiada, w sposób ogólnodostępny w miejscu prowadzenia działalności czyli np. na tablicy informacyjnej przy wejściu do siedziby (wymaganie art. 11 ustawy z dnia 10 maja 2018 o ochronie danych osobowych).

Publikacja danych kontaktowych do IOD ma na celu umożliwienie łatwego kontaktu z IOD osób, których dane dotyczą jak i samego organu nadzorczego.

Jakie zadania ma inspektor ochrony danych?

Do podstawowych zadań IOD należą:

1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub przepisów krajowych o ochronie danych i doradzanie im w tej sprawie;
2. monitorowaniu przestrzegania RODO, innych przepisów Unii lub przepisów krajowych o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
4. współpraca z Prezesem Urzędu Ochrony Danych Osobowych;
5. pełnieniu funkcji punktu kontaktowego dla Prezesa Urzędu Ochrony Danych Osobowych w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

W praktyce inspektor ochrony danych bierze czynny udział w wielu zadaniach. Są to m.in.: szacowanie ryzyka ochrony danych, ocena skutków dla ochrony danych, opracowywanie dokumentacji ochrony danych osobowych (polityki, procedury i instrukcje), odpowiadanie na żądania osób, których dane dotyczą i pomoc w wypełnianiu ich praw, pomoc w prowadzeniu rejestru czynności przetwarzania danych i rejestrze kategorii czynności przetwarzania danych, sporządzanie projektów decyzji, pism, porozumień z zakresu ochrony danych osobowych; opiniowanie umów i umów powierzenia pod kątem zgodności z RODO i negocjowanie warunków umów powierzenia.

Wymienione powyżej zadania nie są proste – inspektor musi bardzo dobrze znać prawo i ciągle podnosić swoje kwalifikacje. Rekomendowane przez niego rozwiązania muszą być zgodne z obowiązującymi przepisami.

Odpowiedzialność

Na koniec należy podkreślić, że wbrew mylnemu przekonaniu większości, to nie IOD ponosi odpowiedzialność za prawidłowe wdrożenie procedur i polityk ochrony danych osobowych oraz  ogólną „zgodność organizacji z RODO” ale administrator, a w domyśle kierownictwo zarządzające organizacją. Dlatego niezwykle istotna jest współpraca z dobrze wykwalifikowanym IOD posiadającym fachową wiedzę w dziedzinie ochrony danych osobowych, którego rady i rekomendacje przyczynią się do prawidłowego spełnienia wymagań RODO, a nie narażą administratora na koszty związane z potencjalnymi karami finansowymi czy odszkodowaniami z powodu nieprzestrzegania przepisów o ochronie danych osobowych.