Inspektor Ochrony Danych Osobowych (IOD) - uprawnienia, rola oraz obowiązek wyznaczenia
Każda osoba zainteresowana ochroną danych osobowych oraz RODO z pewnością słyszała o tzw. IOD, czyli Inspektorach Ochrony Danych Osobowych. Często jednak przedsiębiorcy nie zdają sobie sprawy z tego kim jest Inspektor Ochrony Danych Osobowych, jakie są jego kompetencje, a także czy oraz kiedy powołanie Inspektora Ochrony Danych Osobowych jest obowiązkowe.
Poniżej znajdziecie Państwo podstawowe informacje na temat IOD, który od maja 2018 r. zastąpi obecnego Administratorów Bezpieczeństwa Informacji (ABI).
Inspektor Ochrony Danych Osobowych - znaczenie oraz rola
Wraz z początkiem obowiązywania RODO w Polsce dojdzie do zmiany podejścia do ochrony danych osobowych. Nowe rozporządzenie obciąża administratorów oraz podmioty przetwarzające w dużo większym stopniu niż miało to miejsce dotychczas. Obok nowych uprawnień, dla osób, których dane osobowe są przetwarzane oraz obowiązków tych podmiotów, które będą przetwarzały te dane, nowe regulacje w znaczący sposób poszerzają obowiązek autokontroli tych drugich, zobowiązując ich m.in. do badania poprawności przetwarzania przez nich danych osobowych oraz zgłaszania ewentualnych stwierdzonych naruszeń.
Powyższe z pewnością będzie miało istotny wpływ na sposób działania wielu przedsiębiorców, którzy w celu wykonania ciążących na nich obowiązków, będą zmuszeni skorzystać z wykwalifikowanych specjalistów, posiadających odpowiednią wiedzę oraz doświadczenie w zakresie przetwarzania danych osobowych. Właśnie taką rolę ma pełnić Inspektor Ochrony Danych Osobowych (obecnie ABI).
Zadania Inspektora Ochrony Danych Osobowych
Zakres obowiązków oraz zadań Inspektora Ochrony Danych Osobowych określa art. 39 RODO. Zgodnie z ww. artykułem do obowiązków IOD należą następujące zadania:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów dot. ochrony danych osobowych, a także doradzanie ww. podmiotom w sprawie ochrony danych osobowych;
- monitorowanie przestrzegania RODO oraz innych przepisów dot. ochrony danych osobowych ora polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
- na żądanie - udzielanie zleceń co do oceny skutków dla ochrony danych osobowych oraz monitorowanie jej wykonania zgodnie z RODO;
- współpraca z organem nadzorczym (według obecnego projektu nowej ustawy o ochronie danych osobowych będzie to Prezes Urzędu Ochrony Danych Osobowych);
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych, w tym z uprzednimi konsultacjami, o których mowa w RODO oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;
- pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz wykonywaniem praw przysługujących im na mocy RODO oraz innych przepisów.
Należy przy tym pamiętać, iż Inspektor Ochrony Danych Osobowych powinien być niezwłocznie włączane we wszystkie sprawy dotyczące ochrony danych osobowych, a administrator oraz podmiot przetwarzający mają obowiązek wspierać IOD w wypełnianiu prze niego ww. zadań, zapewniając mu zasoby niezbędne do ich wykonywania oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego fachowej wiedzy.
Inspektor Ochrony Danych Osobowych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań - zgodnie z obowiązującymi przepisami.
Inspektor Ochrony Danych Osobowych - kwalifikacje do pełnienia funkcji
Biorąc pod uwagę zakres obowiązków Inspektora Ochrony Danych Osobowych, należy bezsprzecznie stwierdzić, iż osoba IOD powinna cechować się bardzo dobrym przygotowaniem merytorycznym do pełnienia tej funkcji, albowiem jedynie posiadanie odpowiedniej wiedzy w dziedzinie ochrony danych osobowych umożliwi mu prawidłowe wykonywanie jego obowiązków.
Wspomniany wymóg odpowiedniego fachowego przygotowania IOD został wrażony wprost w RODO, gdzie w art. 37 ust. 5 wskazano, iż Inspektor Ochrony Danych Osobowych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz umiejętności wykonywania powierzonych mu zadań.
Rolę IOD może przy tym pełnić zarówno członek personelu administratora lub podmiotu przetwarzającego (ich pracownik) lub podmiot zewnętrzny, na podstawie umowy o świadczenie usług. Istotnym przy tym jest fakt, że Inspektor Ochrony Danych Osobowych, w zakresie zagadnień dotyczących przetwarzania danych osobowych, musi dysponować pełną swobodą oraz niezależnością. Oznacza to, iż administrator lub podmiot przetwarzający nie mogą wydawać IOD żadnych instrukcji dotyczących wykonywania jego zadań. Ponadto Inspektor Ochrony Danych Osobowych nie może być w żaden sposób karany lub odwoływany przez administratora lub podmiot przetwarzający za wypełnianie swoich obowiązków.
O niezależnym charakterze IOD świadczy ponadto fakt, iż ma on podlegać wyłącznie najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Jakiekolwiek próby podporządkowania IOD jakimkolwiek innym osobom lub podmiotom jest zatem niedopuszczalne.
Obowiązek wyznaczenia Inspektora Ochrony Danych Osobowych
Inaczej niż to miało miejsce dotychczas z ABI, których powołanie było stricte fakultatywne, RODO przewiduje określony przypadki, w których powołanie IOD będzie obowiązkowe.
Obowiązek wyznaczenia Inspektora Ochrony Danych Osobowych będą mieli przede wszystkim administratorzy danych osobowych oraz podmioty przetwarzające będące organami lub podmiotami publicznymi (z wyjątkiem sądów w zakresie sprawowania prze nie wymiaru sprawiedliwości).
Obok ww. podmiotów również administratorzy oraz podmioty przetwarzające, których główna działalność polega na operacjach przetwarzania danych osobowych wymagających, ze względu na swój charakter, zakres lub cele, regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę oraz administratorów i procesorów, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
W związku z powyższym wyjaśnienia wymagają takie pojęcia jak "główna działalność" oraz "na dużą skalę".
Pomocne przy tym mogą być informacje zawarte w motywach RODO, gdzie znajdziemy informacje, iż "w sektorze prywatnym, przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności" (motyw 97 RODO).
O przetwarzaniu na dużą skalę mówi natomiast motyw 91 RODO, zgodnie z którym operacje przetwarzania na duża skalę "służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na duża liczbę osób, których dane dotyczą". Analizując zatem procesy przetwarzania pod kątem wielkości konieczne będzie każdorazowe uwzględnienie terytorium, na którym dochodzi do przetwarzania.
Możliwość powołania jednego IOD dla kilku podmiotów
Należy również wspomnieć, iż w art. 37 ust. 2 RODO przewidziano możliwość powołania jednego Inspektora Ochrony Danych Osobowych dla kilku przedsiębiorców. Zgodnie z powyższym przepisem grupa przedsiębiorców może wyznaczyć jednego inspektora ochrony danych osobowych pod warunkiem, że będzie można z nim łatwo nawiązać kontakt z każdej jednostki organizacyjnej. Jest to z pewnością ułatwienie dla przedsiębiorców, którzy prowadzą działalność w oparciu o spółki powiązane ze sobą kapitałowo lub organizacyjnie.