Inspektor ochrony danych (“IOD”) to instytucja, którą reguluje Sekcja 4 ogólnego rozporządzenia Parlamentu i Rady (UE) o ochronie danych osobowych 2016/679 z dnia 27.04.2016 – #RODO. Idea IOD wynika z faktu, iż poza obowiązkiem wdrożenia odpowiednich zasad ochrony danych osobowych, proces przetwarzania wymaga regularnego i systematycznego monitorowania oraz nadzoru. Dzieje się tak szczególnie wtedy, gdy jest bardzo istotnym elementem prowadzonej działalności lub odbywa się na dużą skalę, czy też dotyczy danych szczególnych kategorii danych.
Inspektor Ochrony Danych – kiedy go wyznaczyć?
Zgodnie z art. 37 RODO inspektor ochrony danych powinien zostać wyznaczony w sytuacji:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych np. danych biometrycznych, stanu zdrowia;
Podsumowując, obligatoryjność IOD występuje w przypadku podmiotów publicznych w pozostałym zakresie do oceny administratora należy, aby zbadał, czy ze względu na istotę procesów przetwarzania IOD jest mu potrzebny. Co ważne, “grupa przedsiębiorstw” oraz kilka organów lub podmiotów publicznych może wyznaczyć jednego IOD – oczywiście pod pewnymi warunkami.
Kwalifikacje IOD
RODO nie precyzuje szczegółowo warunków jakie spełniać ma osoba zostająca IOD – organicza się jedynie do stwierdzenia, że IOD jest wyznaczany na podstawie:
- kwalifikacji zawodowych – wiedzy w zakresie prawa i praktyk ochrony danych;
- umiejętności wypełnienia określonych w RODO zadań.
Status IOD
Administrator jest zobowiązany do zapewnienia IOD odpowiednich warunków pracy i realizacji obowiązków w tym:
- niezwłocznie i właściwie włączyć IOD we wszystkie sprawy dotyczące ochrony danych osobowych;
- zapewnić zasoby niezbędne do realizacji zadań IOD oraz utrzymania jego wiedzy fachowej, a także zapewnić dostęp do danych osobowych i operacji przetwarzania;
- brak otrzymywania instrukcji dotyczących wykonywania zadań;
- brak karania za wypełnianie swoich zadań;
- podleganie najwyższemu kierownictwu administratora lub podmiotu przetwarzającego
Zadania IOD
Zadania IOD są enumeratywnie wskazane w art. 39 RODO i należą do nich:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach wynikających z RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
- monitorowanie przestrzegania prawa ochrony danych osobowych oraz wewnętrznych zasad przetwarzania wraz z podziałem obowiązków oraz podejmowanie działań mających na celu zwiększenia świadomości ochrony danych wśród personelu;
- wykonywanie audytów sprawdzających stan ochrony danych;
- udzielanie zaleceń co do oceny skutków dla ochrony danych;
- współpraca z organem nadzorczym;
- pełnienie funkcji punktu kontaktowego dla organu nadzoru oraz prowadzenie z organem stosownych konsultacji.
W zakresie realizacji zadań IOD przepisy RODO wskazują generalnie, że IOD powinien wypełniać je z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
Inspektor Ochrony Danych – Podsumowanie
Mając na uwadze powyżej wskazane właściwości IOD (bardzo ogólnie) można powiedzieć, że posiadanie IOD powinno być uwzględniane w organizacji w kontekście potrzeby wdrożenia odpowiednich praktyk w zakresie ochrony danych oraz charakteru, zakresu i celów przetwarzania danych osobowych.
Ocena zasadności wyznaczenia IOD będzie należała do administratora bądź przetwarzającego dane. Można jednak z pełnym przekonaniem stwierdzić, że na pewno posiadanie w swoich strukturach osoby fachowej z wiedzą i praktyką w zakresie ochrony danych osobowych pomoże we właściwym prowadzeniu operacji przetwarzania i ograniczy potencjalne ryzyko stwierdzenia naruszenia przepisów prawa ochrony danych osobowych, ergo zmniejszy ryzyko bezpośredniej kary finansowej.