Inspektor Ochrony Danych Osobowych w firmie. Informacje Ogólne

Możliwość komentowania Inspektor Ochrony Danych Osobowych w firmie. Informacje Ogólne została wyłączona Aktualności, porady ekspertów, Prawo i Podatki

W dobie masowego przetwarzania danych osobowych, które odbywa się przy wykorzystywaniu ciągle ewoluujących technologii, ochrona danych osobowych staje się coraz trudniejsza, mimo, że jest ona niezwykle istotnym zagadnieniem. Jak więc zadbać o bezpieczeństwo danych osobowych? Jakie środki ku temu przedsięwziąć?

PUTZ Logo poziome_jpg-01.jpg

Jednym ze sposobów na zapewnienie bezpieczeństwa danych osobowych jest powołanie w organizacji Inspektora Ochrony Danych Osobowych (IOD). Kim jest IOD? Jakie ma obowiązki? Czy każdy podmiot musi posiadać IOD? W tym artykule przyjrzymy się bliżej temu zagadnieniu, aby pomóc Państwu zrozumieć, kim jest IOD, oraz czy jego powołanie jest obowiązkowe.

Kim jest Inspektor Ochrony Danych Osobowych tzw. IOD?

Inspektor Ochrony Danych Osobowych to w dużym uproszczeniu prawnik RODO, który odpowiedzialny jest za monitorowanie zgodności z przepisami o ochronie danych osobowych oraz prowadzący doradztwo w zakresie ochrony danych. Zakres obowiązków IOD obejmuje m.in. prowadzenie (własnych) stosownych rejestrów, np. rejestru udostępnień danych osobowych, rejestru naruszeń, doradztwo w sprawach, związanych z ochroną danych osobowych, które to może być świadczone na rzecz pracowników organizacji jak i jej samej. IOD stanowi również tzw. pierwszy kontakt z organem nadzorczym w zakresie ochrony danych osobowych (Prezesem Urzędu Ochrony Danych Osobowych) oraz osobami, których dane są przetwarzane przez organizacje, czyli odpowiada za sprawną komunikacje z UODO oraz osobami, których dane osobowe przetwarzamy. Do obowiązków inspektora należy także m.in. wspieranie wewnętrznych audytów związanych z ochroną danych osobowych czy np. udzielanie opinii (wsparcia) w zakresie stosowanych lub przyjmowanych środków bezpieczeństwa dotyczących ochrony danych osobowych przez organizacje. W powyższym zakresie IOD może korzystać z przewidzianych prawem narzędzi, do których zaliczyć można np. analizy ryzyka, czy DPIA (ang. Data Protection Impact Assessment) czyli Ocena Skutków dla Ochrony Danych Osobowych.

Czy powołanie IOD jest zawsze konieczne?

Powołanie IOD w większości sytuacji nie jest obowiązkiem, jednakw przypadku instytucji lub organów publicznych (za wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości) oraz podmiotów przetwarzających dane na dużą skalę zwłaszcza tych, które przetwarzają dane szczególnej kategorii lub wykonują systematyczne monitorowanie osób fizycznych na dużą skale, staje się konieczne. IOD z reguły powinien być wyznaczony w takich podmiotach jak np.: banki, agencje ubezpieczeniowe czy chociażby szpitale oraz przychodnie lekarskie. Z kolei IOD co do zasady nie musi być wyznaczany m.in. u lekarzy prowadzących indywidualną praktykę lekarską czy radców prawnych oraz adwokatów, jeśli przetwarzają dane o wyrokach skazujących lub naruszeniach prawa.

Należy podkreślić, że nie można dokonywać odgórnej i jednoznacznej oceny czy powołanie IOD w danej organizacji jest konieczne – np. z uwagi na prowadzony przez nią rodzaj działalności (oczywiście poza pewnymi wyjątkami, które zostały wskazane powyżej). Powyższa ocena każdorazowo powinna dotyczyć konkretnego przypadku oraz wynikać z uprzednio przeprowadzonej analizy ww. zakresie, która to powinna obejmować co najmniej skalę oraz sposób przetwarzania danych osobowych, w tym określenie rodzaju oraz kategorii danych osobowych, które są lub będą przetwarzane. Istotne jest również udzielenie odpowiedzi na inne pytania, które mogą „przechylić szalę” w kierunku konieczności powołania IOD przez organizacje.

Jakie obowiązki przedsięwziąć aby powołanie IOD było skuteczne?

Aby prawidłowo powołać inspektora, należy przygotować stosowne dokumenty, w szczególności należy pamiętać o zawarciu z IOD umowy na podstawie, której dojdzie do powierzenia mu obowiązków. Oprócz umowy z inspektorem, istotne jest również zgłoszenie go do Urzędu Ochrony Danych Osobowych (UODO). Powinno to nastąpić w terminie 14 dni od dnia jego powołania w formie elektronicznej. W związku z powołaniem inspektora niezbędna będzie także realizacja stosownych obowiązków informacyjnych wobec osób, których dane osobowe przetwarza podmiot.

Inspektor Ochrony Danych Osobowych – znaczenie dla organizacji czyli wartość dodana

Ustanowienie stanowiska Inspektora Ochrony Danych Osobowych może mieć istotne znaczenie dla funkcjonowania każdej organizacji przetwarzającej dane osobowe, nawet jeśli konieczność jego powołania nie wynika z przepisów prawa. Powyższe może być szczególnie widoczne gdy przetwarzanie te odbywa się na masową skalę lub też istnieje wysokie ryzyko dla praw i wolności osób, których dane osobowe są przetwarzane.

Dzięki pracy IOD, podmioty są z reguły w stanie rzetelniej realizować wymagania wynikające m.in. z RODO jak i innych przepisów regulujących kwestie dotyczące ochrony danych osobowych. Co istotne powołanie IOD może również zminimalizować ryzyko naruszenia ochrony danych osobowych, a w przypadku ewentualnego naruszenia tych danych, usprawnić komunikacje z Urzędem Ochrony Danych Osobowych (UODO) jak i osobami, których dotyczy naruszenie. Powołanie IOD w podmiocie, pozwala również przenieść część zadań związanych z realizacją obowiązków wynikających z przepisów dotyczących ochrony danych osobowych właśnie na inspektora, co powinno nie tylko pozytywnie wpłynąć na sposób realizacji ww. obowiązków, ale również znacząco odciążyć daną organizacje ww. zakresie – z reguły nie ma potrzeby zatrudniania nowych pracowników w tym obszarze działalności organizacji.

Warto dodać, że wiedza i doświadczenie IOD powinny pozytywnie wpływać na zapewnienie bezpieczeństwa danych osobowych oraz mogą przyczynić się do uniknięcia nałożenia przez PUODO kar pieniężnych wynikających z nieprzestrzegania przepisów dotyczących ochrony danych osobowych.

Na sam koniec zaznaczyć należy, że usługi Inspektora Ochrony Danych Osobowych, nie muszą wiązać się z zatrudnianiem nowego pracownika, ponieważ mogą być one przekazywane poza organizację. Tym samym funkcja inspektora może być powierzona innej osobie niż pracownik organizacji (tzw. outsourcing usług).

Aby otrzymać jeszcze więcej informacji na temat zagadnienia związanego z powołaniem oraz rolą Inspektora Ochrony Danych Osobowych w organizacji, zapraszamy do lektury kolejnego artykułu w ramach cyklu: „Inspektor Ochrony Danych Osobowych w firmie.”, który przedstawiać będzie informacje na temat tego jakie kompetencje, wiedzę oraz wykształcenie powinien mieć IOD, aby jego powołanie było zgodne z zaleceniami oraz wytycznymi PUODO w tym zakresie.

Patryk Skłodowski – aplikant radcowski

patryk.sklodowski@putz.pl

PUTZ Kancelaria Prawna

Legnicka Business House, ul. Legnicka 56, IV p.

54-204 Wrocław

www.putz.pl