Przepisy RODO nakładają na niektórych administratorów danych osobowych obowiązek powołania Inspektora Ochrony Danych Osobowych (IOD). Przed dniem 25 maja 2018, czyli przed wprowadzeniem RODO podobną funkcję pełnił Administrator Bezpieczeństwa Informacji (ABI). IOD zajął jego miejsce ora przejął funkcje, jednak ma on też sporo dodatkowych zadań, które narzucają mu przepisy RODO. Z tego powodu Inspektor Ochrony Danych Osobowych ma również większą odpowiedzialność.
Kim jest IOD i jaką rolę pełni?
Inspektor Ochrony Danych Osobowych (IOD) jest osobą, która została powołana przez administratora lub podmiot przetwarzający, w celu pomocy przy przestrzeganiu przepisów o ochranie danych osobowych w firmie lub organizacji, w której pełni tą funkcję. IOD pełni także rolę pośrednika pomiędzy zaineresowanymi podmiotami, czyli Urzędem Ochrony Danych Osobowych, podmiotem przetwarzającym dane oraz osobą, której dane są przetwarzane.
IOD zapewnia także realizację zasady rozliczalność, czyli pomaga przy sporządzaniu oceny ryzyka czy oceny skutku ochrony danych osobowych. IOD musi być za każdym razem niezwłocznie włączany we wszystkie spawy organizacji związane z ochroną danych osobowych. IOD podlega bezpośrednio najwyższemu kierownictwu organizacji i nie może otrzymywać instrukcji dotyczących wykonywania swoich zadań od administratora ani podmiotu przetwarzającego dane osobowe.
Zadania Inspektora Ochrony Danych Osobowych to:
- Informowanie oraz doradzanie administratorowi lub podmiotowi przetwarzającemu dane, oraz jego pracownikom, w zakresie ich obowiązków, jakie wynikają z przepisów prawa o ochronie danych osobowych.
- Kontrolowanie zgodności organizacji ze wszystkimi przepisami prawa dotyczącego ochrony danych osobowych, w tym audyty, różnego rodzaju działania podnoszące świadomość oraz szkolenia dla personelu zajmującego się przetwarzaniem danych osobowych.
- Pełnienie funkcji punktu kontaktowego dla osób fizycznych, które składają wnioski i żądania dotyczące przetwarzania ich danych osobowych i wykonywania ich praw.
- Udzielanie zaleceń co do oceny skutków dla ochrony danych oraz kontrolowanie jej wykonania.
- Współpracowanie z organami ochrony danych osobowych i pełnienie funkcji kontaktu dla organów ochrony danych osobowych w kwestiach związanych z ich przetwarzaniem.
Kiedy powołanie Inspektora Ochrony Danych Osobowych jest obowiązkowe?
Zgodnie z przepisami RODO powołanie IOD jest obowiązkowe w trzech przypadkach, gdy:
- Przetwarzania danych dokonuje organ lub podmiot publiczny, wyjątkiem w tym przypadku są sądy w zakresie sprawowania przez nie wymiaru sprawiedliwości
- Działalność podmiotów polega na przetwarzaniu danych osobowych objętych w rozporządzeniu kategoria danych wrażliwych, do których należą m.in. dane o pochodzeniu rasowym i etnicznym, przekonania religijne, poglądy polityczne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne, dane na temat seksualności, zdrowia lub orientacji seksualnej osoby.
- Podmioty prowadza działalność opartą na operacjach przetwarzania na dużą skalę i przetwarzanie to z uwagi na jego cel, charakter oraz zakres wymaga regularnego i dokładnego monitorowania osób, których te dane osobowe dotyczą.
Jak powołać Inspektora Ochrony Danych Osobowych?
Inspektor Ochrony Danych Osobowych (IOD) wyznaczany jest na podstawie kwalifikacji zawodowych, fachowej wiedzy oraz umiejętności i doświadczenia wypełniania zadań w zakresie ochrony danych osobowych. Może to być zarówno pracownik firmy jak i podmiot zewnętrzny. Podmiot przetwarzający dane osobowe lub administrator muszą opublikować dane kontaktowe inspektora oraz zawiadomić o nich organ nadzorczy, czyli Prezesa Urzędu Ochrony Danych Osobowych.
Niezbędne jest także niezwłoczne włączenie inspektora w bieżące sprawy związane z ochroną danych osobowych, zapewnienie IOD niezbędnych materiałów do wykonywania jego pracy, powiadomienie innych pracowników o wyznaczeniu IOD. W sytuacji, gdy IOD zostaje pracownik firmy, należy zapewnić odpowiedni wymiar czasu pracy tak aby zadania IOD nie kolidowały z pozostałymi obowiązkami pracownika. IOPD można wyznaczyć i zgłosić do GIODO za pomocą formularza internetowego.
Należy pamiętać także o tym, że podmiotem, który podejmuje decyzje i odpowiada za wdrażanie odpowiednich środków technicznych i organizacyjnych, które mają zapewnić odpowiedni stopień bezpieczeństwa oraz wykazać, że przetwarzanie odbywa się zgodnie z przepisami o ochronie danych osobowych jest administrator lub podmiot przetwarzający dane osobowe.