Inspektor ochrony danych
Inspektor ochrony danych - to osoba w organizacji, firmie lub instytucji zajmująca się wspieraniem tej organizacji w czynnościach związanych z ochroną danych osobowych. Instytucja inspektora ochrony danych (IOD) została wprowadzona przez ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) tzw. RODO. "Zastępuje" on funkcję obecnego administratora bezpieczeństwa informacji (ABI), jednak jego zakres zadań i obowiązków (K. Gałaj-Emiliańczyk 2018, s. 122) Osoba powołana do pełnienia funkcji inspektora odpowiedzialna jest za pełnienie dozoru nad przestrzeganiem przepisów prawa, które odnoszą się do przetwarzania danych osobowych. Ponadto wspomaga administratora, a także podmiot przetwarzający w działaniu, aby wykorzystywanie danych było bezpieczne i zgodne z prawem (D. Lubasz i in. 2018, s. 126)
TL;DR
Inspektor ochrony danych (IOD) to osoba odpowiedzialna za ochronę danych osobowych w organizacji. Jego zadaniem jest monitorowanie przestrzegania przepisów dotyczących przetwarzania danych osobowych, informowanie pracowników o ich obowiązkach, współpraca z organem nadzorczym oraz zapewnienie bezpieczeństwa danych. IOD jest wyznaczany w trzech przypadkach określonych w RODO, ale może być także dobrowolne. Administrator i podmiot przetwarzający mają obowiązek uwzględnić IOD we wszystkich sprawach dotyczących ochrony danych. IOD nie jest karany za sposób wykonania swoich obowiązków i musi zachować tajemnicę i poufność.
Główne zadania inspektora ochrony danych
- Ma on zachowywać poufność i ochronę danych, które są przetwarzane (M. Gawroński (red.) 2018, s. 368)
- Jego powołanie ma wpłynąć na wzrost przestrzegania przepisów ogólnego rozporządzenia o ochronie danych, przede wszystkim respektowanie praw, które przysługują podmiotom danych, zasad ochrony takich informacji już w fazie ich projektowania. Ma on zapewnić ochronę i zabezpieczyć dane, a w razie wystąpienia naruszeń jest zobowiązany do notyfikacji (M. Kawecki 2017, s. 150)
- Jego zadaniem jest informowanie administratora, pracowników zajmujących się przetwarzaniem danych, podmiot przetwarzania o spoczywających na nich obowiązkach wynikających z RODO oraz innych przepisów Unii Europejskiej, a także państw członkowskich odnoszących się do ochrony danych osobowych; powinien on także im doradzać w tych sprawach (Dz. Urz. UE L 119, art. 39 ust. 1 pkt. a)
- Monitorowanie przestrzegania przepisów, w tym także podziału obowiązków, działań zmierzających do zwiększenia świadomości, szkoleń personelu (Dz. Urz. UE L 119, art. 39 ust. 1 pkt b)
- Ma on także współpracować z organem nadzorczym oraz pełnić funkcję punktu kontaktowego dla osób, których dotyczą przetwarzane dane (Dz. Urz. UE L 119, art. 39 ust. 1 pkt. d)
- Nie powinien wykonywać ponadto na innym stanowisku w przedsiębiorstwie pracy, na którym mógłby wystąpić "konflikt interesów", który wiąże się z tym, że ta praca nie może wymagać określania, w jaki sposób i w jakim celu przetwarzane są dane. W głównej mierze są to stanowiska kierownicze (M. Gawroński 2018, s. 369)
- Musi on wykonywać z należytą starannością swoje zadania biorąc pod uwagę ryzyko, które wiąże się z operacjami dotyczącymi przetwarzania danych, uwzględniając ich zakres, charakter, cele przetwarzania i kontekst (Dz. Urz. UE L 119, art. 39 ust. 2)
Kiedy wyznaczany jest inspektor ochrony danych?
Administrator, a także podmiot przetwarzający mają obowiązek wyznaczenia IOD, w trzech przypadkach, które wskazuje art. 37 ust 1 ogólnego rozporządzenia o ochronie danych:
"Artykuł 37
1.Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy: a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10". (Dz. Urz. UE L 119, art. 37 ust. 1)
Ponadto wyznaczenie inspektora ochrony danych może być dobrowolne. Świadczyć to może o przewadze konkurencyjnej przedsiębiorstwa i wykorzystaniu tego elementu jako strategii PR, ze względu na zachowanie należytej dbałości i staranności przy ochronie danych, które są przetwarzane w przedsiębiorstwie. Jednak, także w tym przypadku zachowane być muszą wszystkie przepisy RODO dotyczące jego powołania, kwalifikacji, jakie musi posiadać czy obowiązków (D. Lubasz 2018, s. 133)
Status IOD
- Administrator wraz z podmiotem przetwarzającym zobligowani są do właściwego i niezwłocznego włączania IOD w każdą sprawę związaną z ochroną danych osobowych (M. Kawecki 2017, s. 144)
- Ponadto mają oni zapewnić inspektorowi zasoby potrzebne do realizowania zadań, a także dostęp do danych, jak również zasoby istotne do podtrzymania wiedzy specjalistycznej, którą posiada (M. Kawecki 2017, s. 146)
- IOD podlega naczelnemu kierownictwu administratora czy też podmiotu przetwarzającego. Nie jest on karany bądź odwoływany za realizację swoich zadań, co znaczy, że nie jest odpowiedzialny za sposób czy treść działań dotyczących wykonywania obowiązków (M. Kawecki 2017, s. 148)
- Zobowiązany jest do dotrzymania tajemnicy oraz poufności (Dz. Urz. UE L 119 art. 38 ust. 5)
Inspektor ochrony danych — artykuły polecane |
Ustawa o ochronie informacji niejawnych — Rzecznik konsumentów — Rola związków zawodowych w firmie — Informacja niejawna — Bezpieczeństwo i higiena pracy — Notariusz — Powiernik — Urzędnik — Administrator bezpieczeństwa informacji |
Bibliografia
- Gałaj-Emiliańczyk K. (2018). Wdrożenie RODO w małych i średnich organizacjach. Praktyczny poradnik, Wydawnictwo ODDK, Gdańsk
- Gawroński M. (red.) (2018). RODO przewodnik ze wzorami, Wolters Kluwer Polska, Warszawa
- Kawecki M., Osieja T. (red.) (2017), Ogólne rozporządzenie o ochronie danych. Wybrane zagadnienia, C.H. Beck, Warszawa
- Lubasz D. (red.) (2018), RODO dla małych i średnich przedsiębiorstw, Wolters Kluwer, Warszawa
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), OJ L 119 nr 2016/679
- Sibiga G, Syska K. (red.) (2017). Ogólne rozporządzenie o ochronie danych, Wydawnictwo C.H. Beck, Warszawa
- Stanik J., Kiedrowicz M. (2016). Model służby bezpieczeństwa dla potrzeb utrzymywania wymaganego poziomu bezpieczeństwa informacji w organizacji, "Symulacja w Badaniach i Rozwoju", Vol. 7, Nr 1-2
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, Dz.U. 2018 poz. 1000
- Utracka M. (2017), Zmiany w zakresie regulacji karnych dotyczących naruszenia zasad ochrony danych osobowych, Rynek - Społeczeństwo - Kultura, Nr 26
Autor: Katarzyna Urbańska
Treść tego artykułu została oparta na aktach prawnych. Zwróć uwagę, że niektóre akty prawne mogły ulec zmianie od czasu publikacji tego tekstu. |