Stanowisko inspektora ochrony danych (IOD) powstało w 2018, razem z wejściem w życie rozporządzenia o ochronie danych osobowych (RODO). Inspektor danych osobowych w firmie ma za zadanie kontrolować, czy przebieg operacji na danych osobowych, które zachodzą w przedsiębiorstwie jest prawidłowy. Zakres obowiązków inspektora ochrony danych jest dość szeroki i niezwykle istotny dla prawidłowego przetwarzania danych osobowych w przedsiębiorstwie, warto więc dokładnie je poznać.
Każda firma przetwarza jakiś rodzaj danych osobowych – pracowników, klientów czy choćby kandydatów do pracy. W przedsiębiorstwach, w których przetwarza się dane osobowe na „dużą skalę” (wedle zapisów RODO) powołanie inspektora ochrony danych jest obowiązkowe. Zapisy RODO wskazują, że operacje przetwarzania danych na dużą skalę to operacje, które
– służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym,
– mogą wpłynąć na dużą liczbę osób, których dane dotyczą,
– mogą powodować wysokie ryzyko, w tym naruszenie praw lub wolności osób, których dane dotyczą, w szczególności gdy operacje te utrudniają tym osobom wykonywanie przysługujących im praw.
Inspektorem ochrony danych w firmie może być osoba z zewnątrz, może to też być pracownik danej firmy. Najważniejsze jest, żeby obowiązki IOD były wykonywane z należytą rzetelnością i znajomością przepisów. Funkcje i obowiązki IOD można przekazać zewnętrznym ekspertom, co nierzadko może okazać się najlepszym rozwiązaniem, szczególnie jeśli w firmie brakuje pracowników, którzy mogliby przejść odpowiednie kursy oraz poświęcić wystarczająco dużo uwagi na rzecz zagadnienia ochrony danych osobowych w przedsiębiorstwie.
Inspektor ochrony danych w firmie musi posiadać wiedzę z przepisów unijnego rozporządzenia oraz krajowych regulacji na temat ochrony danych osobowych. IOD powinien mieć również wiedzę na temat regulacji dotyczących branży, w której przedsiębiorstwo działa. Jednym z najbardziej odpowiedzialnych zadań jest pełnienie funkcji punktu kontaktowego z organem nadzorczym – Urzędem Ochrony Danych Osobowych oraz osobami, których dane są przetwarzane.
– współpraca z organem nadzorczym (Prezesem UODO);
– pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, również wynikających z uprzednich konsultacji z organem nadzorczym, oraz – w stosownych przypadkach – prowadzenie konsultacji we wszelkich innych sprawach;
– pełnienie funkcji punktu kontaktowego dla podmiotów danych (osoby, których dane dotyczą, mogą kontaktować się z Inspektorem Ochrony Danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz wykonywaniem praw przysługujących im na mocy RODO – art. 38 ust. 4 RODO);
– informowanie Administratora / Podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów o ochronie danych, jak również doradzanie im w tej sprawie. IOD występuje tutaj w potrójnej roli: wskazuje obowiązki, rekomenduje sposób ich wykonania, a następnie ocenia poprawność realizacji;
– monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich oraz polityk administratora w dziedzinie ochrony danych osobowych, w tym: podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z nimi audyty. W tym zakresie istotne będzie:
– zbieranie informacji w celu identyfikacji procesów przetwarzania;
– analizowanie i sprawdzanie zgodności przetwarzania;
– informowanie, doradzanie i rekomendowanie określonych działań;
– udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie wykonania tej oceny zgodnie z art. 35 RODO. Dokonując oceny, Administrator powinien konsultować się z IOD w następujących kwestiach:
– konieczności przeprowadzenia oceny skutków dla ochrony danych oraz metodologii tej oceny;
– wyboru między przeprowadzeniem wewnętrznej oceny a zleceniem jej podmiotowi zewnętrznemu;
– zabezpieczeń (w tym środków technicznych i organizacyjnych) stosowanych do łagodzenia zagrożeń praw i interesów osób, których dane dotyczą;
– prawidłowości przeprowadzonej oceny skutków dla ochrony danych i zgodności jej wyników z RODO (czy należy kontynuować przetwarzanie, czy też nie, oraz jakie zabezpieczenia należy zastosować).
Jak widać, wybór Inspektora Danych Osobowych to sprawa, która nie powinna zostać potraktowana “po macoszemu”. Stanowisko to wiąże się z niemałą odpowiedzialnością, dlatego wybór zawsze powinien zostać poparty odpowiednią analizą. Warto przy tym dodać fakt, że brak powołania IOD w firmie, w której jest to obligatoryjne, będzie sankcjonowane, zgodnie z art. 83 ust. 4 RODO, administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie będzie miała kwota wyższa.
Ukończył studia prawnicze na Uniwersytecie Adama Mickiewicza w Poznaniu. Aplikację adwokacką odbywał w Okręgowej Radzie Adwokackiej w Poznaniu, od 2011 r. wpisany na listę adwokatów ORA Poznań. Specjalizuje się w prawie gospodarczym oraz administracyjnym. Posiada kilkunastoletnią praktykę w zakresie obsługi prawnej podmiotów gospodarczych.
Autor artykułu