Kiedy należy wyznaczyć inspektora ochrony danych (IOD)?
15 listopada 2019, 9:04
15 listopada 2019, 9:04
Kiedy należy wyznaczyć IOD - inspektora ochrony danych (DPO - data protection officer)?
Inspektor ochrony danych? Dla kogo? Dlaczego? Po co?
Taki obowiązek będą miały wszystkie organy i podmioty publiczne (niezależnie od zakresu przetwarzanych danych), jak również podmioty, które w ramach swojej głównej działalności regularnie, systematycznie i na dużą skalę monitorują osoby lub jeżeli działalność podmiotu polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.
Nawet jeżeli RODO bezpośrednio nie nakłada obowiązku powołania IOD, niejednokrotnie korzystnym dla podmiotów może być dobrowolne wyznaczenie takiej osoby. Europejska Rada Ochrony Danych (dawna grupa art. 29) zachęca do takiego postępowania.
Z rozporządzenia jasno wynika, że to administrator lub podmiot przetwarzający zobowiązany jest do zapewnienia i udowodnienia zgodności przetwarzania danych osobowych z przepisami prawa (artykuł 24 RODO). Przetwarzanie danych zgodne z rozporządzeniem jest obowiązkiem administratora lub podmiotu przetwarzającego.
Tak, jak wskazywałam wyżej, Artykuł 37 ust. 1 RODO wskazuje na obowiązek wyznaczenia IOD w następujących przypadkach:
1. przetwarzania dokonują organ lub podmiot publiczny,
2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Europejska Rada Ochrony Danych zaleca administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia IOD, celem wykazania, iż stosowne czynniki zostały uwzględnione. Ta procedura powinna zostać częścią dokumentacji tworzonej zgodnie z zasadą rozliczalności.
W sytuacji, w której podmiot dobrowolnie decyduje się na wyznaczenie IOD, wymagania wskazane w artykułach 37 - 39 RODO stosuje się odpowiednio do jego wyznaczenia, statusu i zadań, tak jakby wyznaczenie było obowiązkowe.
Nic nie stoi na przeszkodzie by podmiot, który nie jest zobowiązany przepisami prawa do wyznaczenia inspektora ochrony danych i nie zamierza dobrowolnie wyznaczać takiego inspektora zatrudnił np. zewnętrznego konsultanta do wypełniania zadań związanych z ochroną danych osobowych. W przypadku powołania takiej osoby istotne jest, aby nazwa stanowiska, status pracownika, pozycja i zadania nie wprowadzały w błąd.
Artykuł 37 ma zastosowanie zarówno do administratorów, jak i podmiotów przetwarzających dane (procesorów).
Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych. Najważniejsza jest wiedza fachowa na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętność wypełnienia swoich zadań.
Niezbędny poziom wiedzy fachowej należy ustalić m.in. biorąc pod uwagę, jakie operacje na danych w firmie wykonujemy.
Wymagany poziom wiedzy fachowej nie jest nigdzie wyraźnie określony, ale musi być odpowiedni do charakteru, skomplikowania i ilości danych przetwarzanych w ramach firmy. W przypadku wyjątkowo skomplikowanych procesów przetwarzania danych osobowych lub w przypadku przetwarzania dużej ilości danych szczególnych kategorii, IOD może potrzebować wyższego poziomu wiedzy i wsparcia. W związku z tym wybór IOD nie powinien być przypadkowy.
IOD powinien jednak posiadać wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych i praktyk. O dogłębnej znajomości RODO nie wspominając.
Przydatna jest również wiedza IOD na temat danego sektora i podmiotu administratora.
IOD powinien także posiadać odpowiednią wiedzę na temat operacji przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora.
Jestem radcą prawnym. Wykonując zadania IOD muszę posiadać wiedzę nie tylko prawną. Sądzę, że moja wiedza "okołoinformatyczna" i dotycząca bezpieczeństwa organizacyjnego jest spora, dlatego pełnienie funkcji IOD przeze mnie jest bardziej efektywne. Nie samym prawem człowiek żyje, przynajmniej jeżeli chodzi o RODO. :)
Do cech osobowych takiego IOD, EROD zalicza rzetelne podejście i wysoki poziom etyki zawodowej. Priorytetem IOD powinno być zapewnienie przestrzegania RODO.
Wyznaczenie IOD jest pierwszym krokiem, jeżeli podejmujemy decyzję o jego ustanowieniu.
Należy zapewnić IOD wystarczającą niezależność i środki umożliwiające skuteczne wykonywanie obowiązków.
Wyznaczenie IOD jest pierwszym krokiem, jeżeli podejmujemy decyzję o jego ustanowieniu.
Istotne jest zapewnienie wystarczającej niezależności i środków umożliwiających skuteczne wykonywanie obowiązków przez IOD.
Często pojawia się pytanie, czy IOD może być osoba z zewnątrz albo czy można "wynająć firmę od RODO i IOD".
Funkcja IOD może być pełniona np. na podstawie umowy o świadczenie usług zawartej z osobą fizyczną lub innym podmiotem spoza firmy administratora/procesora. W tym ostatnim przypadku konieczne jest, aby każdy członek podmiotu sprawującego funkcję IOD spełniał wszystkie odpowiednie wymogi wskazane w Sekcji 4 RODO (np. konieczne jest, aby każda z osób unikała konfliktu interesów). Równie ważne jest, aby każdą z tych osób objąć ochroną przewidzianą w przepisach RODO (np. aby nie miało miejsca nieuzasadnione rozwiązanie umowy o świadczenie usług w zakresie pełnienia funkcji IOD, ale również aby nie miało miejsca niezgodne z prawem zwolnienie osoby będącej członkiem podmiotu realizującego zadania IOD).
Jeżeli macie jakieś pytania, zapraszam do komentowania.
Do napisania :)
Zdjęcie obrazujące post pochodzi ze strony www.kaboompics.com