Inspektor Ochrony Danych – kim jest?
Inspektor Ochrony Danych RODO zastąpił na mocy rozporządzenia o ochronie danych osobowych (RODO) ABI, czyli Administratora Bezpieczeństwa Informacji. ABI funkcjonował na podstawie nieobowiązującej już ustawy o ochronie danych osobowych. Funkcje dwóch powyższych stanowisk są do siebie zbliżone.
Obowiązek powołania Inspektora Ochrony Danych (IOD)
Obowiązek powołania Inspektora Ochrony Danych Osobowych (IOD) spoczywa na administratorze lub podmiocie przetwarzającym. s Sytuacje, w których istnieje obowiązek powołania inspektora ochrony danych zostały wprost wymienione w art. 37 RODO. Do takich sytuacji zaliczyć należy:
- przetwarzanie dokonywane przez organ lub podmiot publiczny z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
- sytuacje, gdzie główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę
- sytuacje, gdzie główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, a także danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Administrator i podmiot przetwarzający zobowiązani są przeprowadzić analizę, która ma za zadanie ustalić, czy mają oni taki obowiązek.
Ważną informacją jest fakt, że podmioty, które nie spełniają wyżej opisanych wytycznych, również mogą powołać Inspektora Ochrony Danych Osobowych. Jest to nawet rekomendowane przez Grupę Roboczą Art. 29.
Zgłoszenie Inspektora Ochrony Danych
Powołanie IOD powinno zostać notyfikowane do Urzędu Ochrony Danych Osobowych. Dopełnienie obowiązku zgłoszenia Inspektora leży po stronie administratora lub podmiotu przetwarzającego.
W momencie wyboru Inspektora Ochrony Danych, administrator lub podmiot przetwarzający, zobowiązani są także do opublikowania danych IOD. Powinny być one udostępnione w takim zakresie, aby umożliwić osobom, których dane dotyczą, a także organowi nadzorczemu nawiązanie kontaktu w łatwy sposób. W tym zakresie dyskusyjne jest to, czy publikacja danych IOD musi obejmować jego imię i nazwisko, czy też wystarczającym jest publikacja adresu e-mail skrzynki funkcyjnej oraz adresu siedziby administratora, czy podmiotu przetwarzającego jako adresu korespondencyjnego.
Inspektor Ochrony Danych RODO – kwalifikacje, status i zadania
Art. 37 ust. 5 RODO wskazuje, że Inspektor Ochrony Danych powinien być wyznaczony na podstawie kwalifikacji zawodowych, fachowej wiedzy na temat prawa i praktyki w dziedzinie ochrony danych osobowych oraz umiejętności wypełniania zadań mu powierzonych.
Inspektor Ochrony Danych Osobowych ma obowiązek wykonywać zadania wynikające wprost z RODO. Do zadań IOD należy informowanie administratora lub podmiotu przetwarzającego, a także jego pracowników przetwarzających dane osobowe, o obowiązkach na nich spoczywających. Innym zadaniem IOD jest monitorowanie przestrzegania przepisów prawa o ochronie danych, a także przepisów wynikających z polityk przyjętych do stosowania przez administratora lub podmiot przetwarzający.
Ma on także obowiązek udzielania na żądanie, zaleceń, co do oceny skutków dla ochrony danych, a także monitorowanie jej wykonania. Z tym jednak zastrzeżeniem, że przeprowadzenie oceny skutków dla ochrony danych należy do obowiązków administratora, a Inspektor Ochrony Danych odgrywa tutaj rolę doradczą.
Ponadto, Inspektor Ochrony Danych RODO współpracuje z organem nadzorczym, a także pełni dla niego rolę punktu kontaktowego we wszystkich kwestiach związanych z przetwarzaniem danych osobowych w tym z uprzednimi konsultacjami, jeśli przeprowadzona ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko dla ochrony danych osobowych.
Powyższe zadania, zostały opisane w art. 39 RODO i stanowią zbiór podstawowych, minimalnych obowiązków IOD. Zadań wymagających zaangażowania IOD jest jednak zdecydowanie więcej. Dlatego IOD w ramach pełnionej funkcji musi samodzielnie dokonać oceny, , gdzie i w jakich przypadkach jego doradztwo i zaangażowanie będą potrzebne. IOD powinien wypełniać swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania. Wykonując powierzone mu obowiązki, musi mieć na względzie charakter, zakres, kontekst i cele przetwarzania.
Inspektor ochrony danych RODO – niezależność
Ponadto IOD powinien mieć możliwość swobodnego pełnienia obowiązków. IOD w pełnieniu swojej funkcji musi pozostawać niezależny i wolny od nacisków ze strony administratora, który powołał go do pełnienia funkcji. Administrator powinien zadbać o to, by IOD nie był skrępowany instrukcjami dotyczącymi wykonywania swoich zadań.W tym celu administrator lub podmiot przetwarzający zobowiązany jest do zapewnienia IOD dostępu do wszystkich danych osobowych oraz operacji przetwarzania, a także wsparcia kierownictwa jednostki.Mogą również powierzyć inspektorowi ochrony danych inne zadania, jeśli nie będą one kolidować z charakterem jego pracy. W tym kontekście należy zawsze rozważyć, czy nie dojdzie do konfliktu interesów pomiędzy wykonywaniem zadań dodatkowych wykraczających poza pełnioną przez niego funkcję oraz zadania wyliczone w art.39 RODO.
Ponadto, Inspektor Ochrony Danych nie może być odwołany lub ukarany przez administratora lub podmiot przetwarzający za wypełnianie swoich zadań w szczególności za odmowę wykonania poleceń administratora.
Ponadto należy podkreślić , że Inspektor Ochrony Danych nie odpowiada za zgodność firmy z przepisami ochrony danych. Taki obowiązek leży bowiem po stronie kierownictwa danej organizacji. Inspektor Ochrony Danych pełni funkcję konsultacyjną, doradczą, a także kontrolną.
