Inspektor Ochrony Danych Osobowych – kiedy jest potrzebny
RODO – skrót od Rozporządzenia o Ochronie Danych Osobowych, wprowadza nowe prawa dla klientów. Według przepisów jednym z obowiązków administratorów przetwarzających dane osobowe jest informowanie klientów o przetwarzaniu ich danych. Ustawa o ochronie danych osobowych (Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000)) nakłada na niektórych administratorów danych osobowych obowiązek powołania Inspektora Ochrony Danych Osobowych (IOD). W artykule wyjaśnimy, kim jest Inspektor Danych Osobowych i kiedy jest potrzebny. Inspektor Ochrony Danych Osobowych (IOD) Do powołania Inspektora Danych Osobowych zobowiązane są wszystkie organy państwowe, które przetwarzają dane wrażliwe na duża skalę oraz podmioty, których działalność polega na monitorowaniu osób na dużą skalę. IOD to osoba powoływana przez administratora lub podmiot przetwarzający w celu dopilnowania przestrzegania w firmie lub organizacji przepisów o ochronie danych osobowych. IOD jest pośrednikiem między Urzędem Ochrony Danych Osobowych, podmiotem przetwarzającym dane oraz osobą, której dane są przetwarzane. Dodatkowo Inspektor Ochrony Danych Osobowych pomaga przy sporządzaniu oceny ryzyka oraz oceny skutku ochrony danych osobowych. Zadania Inspektora Ochrony Danych Osobowych Do głównych zadań IOD należą: – informowanie administratora, podmiotu przetwarzającego oraz pracowników o obowiązkach wynikających z RODO – doradzanie, jak przestrzegać przepisów o ochronie danych osobowych – monitorowanie przestrzegania przepisów – pomaganie przy sporządzaniu oceny ryzyka lub oceny skutków dla ochrony danych osobowych – zachowanie poufności w związku z wykonywanymi zadaniami w ramach ochrony danych osobowych – kontaktowanie się z organem nadzorczym . Warto zaznaczyć, że Inspektor Ochrony Danych Osobowych nie ponosi odpowiedzialności za niezgodność z RODO. Obowiązek prawidłowego przestrzegania przepisów o ochronie danych osobowych ma administrator lub podmiot przetwarzający. Obowiązek powołania IOD IOD musi zostać powołany przez wszystkie podmioty publiczne, które na dużą skalę przetwarzają wrażliwe dane, a także podmioty, których główna działalność polega na monitorowaniu osób na dużą skalę. Pozostałe podmioty mogą, ale nie muszą, powoływać IOD. Ale jeśli już go wyznaczą, muszą postępować zgodnie z prawnymi wymaganiami. Zespół ekspertów powołanych do wydawania wytycznych w zakresie RODO, zaleca, sporządzić dokumentację uzasadniającą brak obowiązku wyznaczania IOD. Kto może pełnić funkcję IOD? Inspektor Ochrony Danych Osobowych może być pracownikiem administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług. Grupa przedsiębiorstw może wyznaczyć jednego IOD, ważne aby kontakt z nim był stale zapewniony (w tym celu należy upublicznić jego dane kontaktowe). Inspektor Ochrony Danych Osobowych nie może być odwołany ani ukarany przez administratora ani podmiot przetwarzający za wypełnianie zadań. Polega bowiem najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Odwołanie może jednak mieć miejsce w uzasadnionych przypadkach jak np. kradzież czy rażące naruszenie obowiązków i dotyczy to zarówno inspektorów-pracowników, jak i inspektorów zewnętrznych. RODO nie wyjaśnia, jak i kiedy IOD może zostać odwołany i zastąpiony inną osobą, jest to zależne to od podmiotu, który wyznaczył inspektora. Jak powołać IOD? Inspektor Ochrony Danych Osobowych powoływany jest na podstawie kwalifikacji zawodowych. Jest to głównie wiedza z zakresu prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań w zakresie ochrony danych osobowych. Obowiązkiem administratorów lub podmiotów przetwarzających związanych z IOD jest niezwłoczne włączanie IOD w sprawy związane z ochroną danych osobowych oraz zapewnienie IOD niezbędnych materiałów, aby mógł wykonywać swoją rolę, a także poinformowanie pracowników o wyznaczeniu IOD. Administratorzy i podmioty przetwarzające muszą również wydać instrukcje dla IOD co do sposobu wykonywania zadań, oraz zapewnić odpowiedni wymiar czasu pracy dla zadań IOD, tak by nie kolidowały z pozostałymi obowiązkami (w przypadku pracowników powołanych na stanowisko IOD). Powiadomienie Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu Inspektora Ochrony Danych Osobowych Administrator lub podmiot przetwarzający muszą opublikować dane kontaktowe inspektora i zawiadomić o nich organ nadzorczy (Prezesa Urzędu Ochrony Danych Osobowych). Terminy na takie zawiadomienie, zostały podane w znowelizowanej ustawie o ochronie danych osobowych. W zawiadomieniu o wyznaczeniu IOD trzeba podać: – imię, nazwisko, adres e-mail lub numer telefonu inspektora – imię i nazwisko oraz adres zamieszkania, jeśli administratorem lub podmiotem przetwarzającym jest osoba fizyczna – firmę oraz adres prowadzenia działalności gospodarczej, jeśli administratorem lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą – pełną nazwę oraz adres siedziby, jeśli administratorem lub podmiotem przetwarzającym jest podmiot inny niż przedstawiony w powyższych punktach – REGON, jeżeli został nadany administratorowi lub podmiotowi przetwarzającemu. Zawiadomienia o wyznaczeniu IOD dokonuje się w formie elektronicznej wraz z kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP. Zawiadomienia może też dokonać pełnomocnik podmiotu wyznaczającego. Do takiego zawiadomienia należy dołączyć pełnomocnictwo udzielone w formie elektronicznej.