Przepisy RODO nakazują niektórym administratorom danych powołanie Inspektora Ochrony Danych Osobowych. Są do tego zobowiązane przede wszystkim podmioty przetwarzające dane poufne na szeroką skalę, których działalność polega na monitorowaniu osób, a także organy państwowe. Dowiedz się nieco więcej na temat tego stanowiska oraz obowiązków, jakie ciążą na IOD.
Inspektor Ochrony Danych Osobowych – na czym polega ta funkcja?
Jest to osoba powoływana przez administratora lub podmiot przetwarzający do ochrony danych osobowych. Zgodnie z obowiązującymi aktualnie przepisami RODO osoba na tym stanowisku stanowi rolę pośrednika między osobą, której dane są przetwarzane, podmiotem zajmującym się tym a Urzędem Ochrony Danych Osobowych.
Najważniejsze zadania Inspektora Ochrony Danych Osobowych, to:
- informowanie pracowników, podmiotu przetwarzającego oraz administratora o obowiązkach wynikających z RODO,
- monitorowanie, czy przestrzegane są przepisy o ochronie danych osobowych,
- sporządzenia oceny ryzyka złamania zasad gromadzenia i przechowywania danych osobowych.
Do głównych obowiązków osoby zajmującej to stanowisko, można zaliczyć także:
- szkolenie pracowników i kadry kierowniczej,
- nadzór nad wdrażaniem i aktualizacją polityki ochrony danych osobowych,
- opiniowanie bieżącej dokumentacji pod kątem jej zgodności z RODO,
- kontakt z Urzędem Ochrony Danych Osobowych.
Jest to jednak tylko kilka najważniejszych obowiązków, jakie musi wypełnić osoba piastująca to stanowisko. Co ważne, IOD nie ponosi odpowiedzialności za to, że nieprzestrzegane są przepisy RODO. Jest to bowiem obowiązek administratora lub podmiotu przetwarzającego.
Obowiązek powołania IOD – kto musi to zrobić?
Stanowisko Inspektora Ochrony Danych Osobowych muszą powołać:
- podmioty i organy publiczne,
- administratorzy zajmujący się przetwarzaniem danych, które z uwagi na swój charakter, cele lub zakres wymagają monitorowania osób, których gromadzone informacje dotyczą.
Kto może być Inspektorem Ochrony Danych Osobowych?
Funkcję IOD może pełnić pracownik firmy lub osoba z zewnątrz. W tym drugim przypadku niezbędne jest zawarcie umowy o usługach outsourcingowych. Jeśli IOD ma zostać pracownik, to jego dotychczasowe obowiązki oraz nowa funkcja nie mogą wywoływać konfliktu interesów. Musi on wykazywać pełną niezależność, co niekiedy jest dość trudne w przypadku pracowników firmy.
Inspektor pełni rolę organu doradczego, a więc wszelkie decyzje podejmuje administrator lub podmiot przetwarzający. Warto więc dobrze przemyśleć wybór osoby na to stanowisko. Powinna ona zapewniać jak najlepsze wsparcie w zakresie ochrony danych osobowych. Jeśli wewnętrzny pracownik ma funkcję, jaką jest Inspektor Danych Osobowych, szkolenie jest niezbędne do tego, aby zapoznał się ze wszystkimi informacjami na ten temat.
Osoba pełniącą funkcję IOD musi mieć fachową wiedzę na temat właściwego gromadzenia, przechowywania oraz przetwarzania danych osobowych. Powinien on także dysponować wiedzą z zakresu sektora i branży, w której działalność prowadzi administrator. Nie ma określonych jednoznaczne wymagań, jakie stawiane są osobie na tym stanowisku. Ukończenie specjalistycznego szkolenia dla Inspektorów Ochrony Danych Osobowych pozwala nabyć niezbędną wiedzę oraz zaznajomić się dokładnie z przepisami RODO. Dzięki temu może z powodzeniem objąć stanowisko IOD i we właściwy sposób wywiązywać się ze swoich obowiązków.
W jaki sposób zgłosić Inspektora Ochrony Danych Osobowych?
Zadaniem Administratora Danych jest znalezienie i wybór osoby, która będzie pełniła funkcję IOD. Może go wyznaczyć na podstawie postanowienia zawartego w umowie lub w formie oświadczenia woli administratora na drodze uchwały lub zarządzenia wystawionego przed uprawniony do tego organ.
Administrator w ciągu 14 dni od momentu wyznaczenia osoby na to stanowisko musi zgłosić ten fakt do Prezesa Urzędu Ochrony Danych Osobowych. Może to zrobić elektronicznie przy użyciu dokumentu opatrzonego podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP. Stosowny formularz można znaleźć na stronie Urzędu Ochrony Danych Osobowych.
W zawiadomieniu Administrator musi podać zarówno swoje dane, jak i osoby wyznaczonej na stanowisko IOD. Musi także niezwłocznie udostępnić imię, nazwisko oraz adres e-mail lub numer telefonu na stronie internetowej. Jeśli takiej nie ma, to taka informacja musi znaleźć się w dostępnym dla osób trzecich miejscu w siedzibie firmy.