Wraz z wejściem w życie przepisów RODO, pojawiło się kilka nowych przepisów, pojęć i obowiązków określonych w rozporządzeniu. Na niektóre podmioty (administratorów danych osobowych) spadł między innymi obowiązek powołania Inspektora Ochrony Danych Osobowych (w skrócie: IOD). W uproszczeniu, to osoba wspierająca administratora danych w realizacji obowiązków dotyczących ochrony danych osobowych.
Czym dokładniej się dokładniej zajmuje i jakie ma zadania? Kiedy trzeba go powołać i jak to zrobić? Na te i inne pytania odpowiemy w dzisiejszym wpisie.
Czym zajmuje się Administrator Ochrony Danych?
Zacznijmy od tego, że IOD to nowa instytucja, która ma służyć wypełnianiu zadań z zakresu ochrony danych osobowych, oraz do współpracy z organami nadzorczymi. Powoływany przez administratora, ma charakter pomocnika, jak również łącznika pomiędzy zainteresowanymi podmiotami: Urzędem Ochrony Danych Osobowych, podmiotem przetwarzającym dane oraz osobą, której dane są przetwarzane.
Wcześniej na straży ochrony danych w firmie stał głównie ABI (Administrator Bezpieczeństwa Informacji), ale od wejścia w życie RODO ta funkcja nieco się zmieniła. Nie tylko z nazwy, o czym zaraz się przekonacie. Czym zajmuje się Inspektor Ochrony Danych? Jakie dokładnie ma zadania?
Główne zadania Inspektora Ochrony Danych
Przepisy szczegółowo określają, w jakim celu jest powoływany IOD i jakie ciążą na nim obowiązki w związku z pełnieniem swojej funkcji. Do podstawowych zadań należy spełnianie obowiązku informacyjnego wobec podmiotów, u których pełni on funkcję Inspektora Ochrony Danych. W skład tego wchodzi doradztwo w zakresie prawa ochrony danych osobowych, udzielanie zaleceń w tym zakresie oraz szkolenia personelu podmiotów przetwarzających dane. Oczywiście, aby kompetentnie edukować i doradzać innym, IOD musi być do tego dobrze przygotowany merytorycznie. Musi bardzo dobrze znać przepisy, obowiązki, zasady i dobre praktyki dotyczące ochrony danych osobowych. Musi być też na bieżąco z nowymi zaleceniami, ponieważ jego rola i praca mają charakter długofalowy, powtarzalny. Nie kończą się na pojedynczym wdrożeniu procedur. Wspominaliśmy o tym szerzej w artykule poświęconym obowiązkom Inspektora Ochrony Danych.
Inspektor sprawuje również funkcję kontrolną – monitoruje przestrzeganie przepisów rozporządzenia. Zgodnie z Wytycznymi Grupy Roboczej art. 29 dotyczącymi inspektorów ochrony danych monitorowanie polega na:
- zbieraniu informacji w celu identyfikacji procesów przetwarzania;
- analizowanie i sprawdzanie zgodności przetwarzania;
- informowanie, doradzanie i rekomendowanie działań.
Inspektor Danych Osobowych na bazie przeprowadzonego audytu, wyciąga odpowiednie wnioski i proponuję skuteczne rozwiązania. Dokładna lista zadań IOD, będzie zatem zależna od danego przypadku, od specyfiki przetwarzania danych, indywidualnych cech podmiotu z którym współpracuje. Co ważne, będzie to związane także z obowiązkami dla samego Administratora Danych. Poniżej podsumowaliśmy podstawowe obowiązki dla obu przypadków.
Podstawowe obowiązki IOD
- bieżąca weryfikacja przetwarzania danych osobowych
- nadzór nad opracowaniem i aktualizacją polityki ochrony danych osobowych
- wsparcie w prowadzeniu rejestrów czynności przetwarzania danych osobowych
- szkolenie pracowników firmy
- szkolenie kadry kierowniczej
- modelowanie procesów biznesowych pod kątem zgodności z RODO
- opiniowanie bieżącej dokumentacji w zakresie zgodności z RODO
- obsługa incydentów naruszenia ochrony danych osobowych
- pełnienie punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia,
- pełnienie punktu kontaktowego z UODO
- doradztwo w zakresie przeprowadzania oceny skutków naruszenia ochrony danych
- przeprowadzanie audytów okresowych oraz przygotowywanie raportów
Podstawowe obowiązki Administratorów związanych z IOD
- niezwłoczne włączanie Inspektora Ochrony Danych Osobowych w sprawy związane z ochroną danych osobowych;
- zapewnienie IOD niezbędnych materiałów i baz danych
- zakomunikowanie pracownikom o wyznaczeniu IOD;
- jeśli inspektorem zostanie jeden z pracowników, należy zapewnić odpowiedni wymiar czasu pracy dla zadań IOD, tak aby te zadania nie kolidowały z pozostałymi obowiązkami.
- Administrator (lub podmiot przetwarzający dane) muszą opublikować dane kontaktowe IOD i zawiadomić o nich organ nadzorczy (Prezesa Urzędu Ochrony Danych Osobowych).
Kiedy należy wyznaczyć IOD?
Jak łatwo się domyślić, wytyczne w tym zakresie odnajdujemy bezpośrednio w RODO. Konkretniej w Art. 37 ust. 1 Rozporządzenia, który zawiera dość nieostre, jednak co do zasady poddawalne weryfikacji kryteria, które powinny służyć nam jako wyznacznik kwestii, czy powołanie IOD powinno mieć miejsce w prowadzonej przez nas działalności, czy też nie.
Do powołania Inspektora Ochrony Danych z pewnością zobowiązane będą podmioty, które:
- są organami lub podmiotami publicznymi (wyjątkiem jest tutaj objęta działalność sprawowana przez sądy)
- ich główna działalność skupia się na przetwarzaniu danych osobowych objętych w rozporządzeniu kategorią danych wrażliwych, do których należą dane o pochodzeniu rasowym lub etnicznym, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne, dane dotyczące seksualności, zdrowia lub orientacji seksualnej osoby,
- podmioty, które główną działalność opierają na operacjach przetwarzania na dużą skalę i przetwarzanie to z uwagi na jego cel, zakres, charakter, wymaga regularnego i systematycznego monitorowania osób, których dane dotyczą.
Warto nadmienić, iż poprzez działalność i przetwarzanie rozumiemy działanie podmiotu zarówno przetwarzającego dane jako Administrator Danych Osobowych ale też działanie w roli podmiotu, który przetwarza dane na podstawie stosownych umów powierzenia danych zawartych z innymi Administratorami Danych. Zastanawiającą kwestią jest użycie przez ustawodawcę unijnego pojęć takich jak główna działalność czy duża skala, których interpretacja wydaje się być kluczowa jeżeli chodzi o obowiązek wyznaczenia IOD.
Co ciekawe RODO nie zawiera definicji legalnych tych pojęć, co z pewnością stanowiłoby duże ułatwienie i sprawiłoby, iż przepisy rozporządzenia zyskałyby w tym zakresie pewną przejrzystość. No ale nie ma co się przesadnie czepiać.
Pomocne w tej kwestii będą z pewnością wytyczne Grupy Roboczej art. 29 ds. Danych Osobowych, czyli mówiąc prościej – organu konsultacyjnego na poziomie unijnym, który wydaje wskazówki i reguły interpretacyjne przepisów rozporządzenia. Takie wytyczne pojawiły się również w kwestii IOD, możecie je znaleźć pod tym LINKIEM. Jak dokonać zgłoszenia Inspektora Ochrony Danych i jakie są obowiązujące terminu?
Jak dokonać zgłoszenia IOD?
Zgłoszenie administratora ochrony danych nie jest skomplikowane i można to załatwić online:
- Zgłoszenia można dokonać drogą elektroniczną poprzez stronę: LINK
Konieczna będzie rejestracja na stronie www.biznes.gov.pl oraz podpisanie wypełnionego wniosku elektronicznym podpisem kwalifikowanym lub profilem zaufanym. - Strona krok po kroku przeprowadzi przez proces zgłoszenia IOD. Konieczne będzie wskazanie imienia i nazwiska osoby IOD oraz adresu e-mail lub numeru kontaktowego.
- Po poprawnym wygenerowaniu wniosku, należy podpisać go kwalifikowanym podpisem elektronicznym lub profilem zaufanym. W sytuacji, kiedy zgłoszenia dokonuje pełnomocnik, powinno zostać również dołączone stosowne pełnomocnictwo.
- Po podpisaniu wniosku i poprawnym przesłaniu go do Urzędu, powinno wygenerować się UPP – Urzędowe Poświadczenie Przedłożenia – jest to dowód, potwierdzający dokonanie prawidłowego zgłoszenia do Urzędu.
- Należy pamiętać, iż Urząd powinien zostać zawiadomiony o zmianie danych i danych kontaktowych Inspektora lub o jego odwołaniu w terminie 30 dni.
Do kiedy należy powołać i zgłosić IOD?
Powołanie Inspektora Ochrony Danych powinno zostać wykonane w następującym czasie:
• u podmiotów, które wcześniej miały powołanego ABI – z dniem 25.05.2018 r. automatycznie przekształca się on w Inspektora Ochrony Danych. Termin na zawiadomienie urzędu o danych IOD został wyznaczony na dzień 1.09.2018 r.; do tego czasu jest również czas na powołanie nowego IOD i zgłoszenie jego danych do Urzędu;
• u podmiotów, które przed dniem 25.05.2018 r. nie miały w swojej strukturze wyznaczonego ABI, termin na powołanie nowego IOD został wyznaczony do 31.07.2018 r. W tym samym terminie IOD powinien zostać zgłoszony do Urzędu.
Powołanie Inspektora Ochrony Danych powinno zostać zgłoszone w terminie 14 dni. Tak jak wspomnieliśmy już w poprzedniej części, dane dotyczące IOD przekazujemy do Prezesa Urzędu Ochrony Danych Osobowych. Teraz natomiast odpowiemy sobie na pytanie, kto może zostać powołany na tę funkcję?
Kto może pełnić funkcję Inspektora Ochrony Danych?
Zgodnie z przepisami rozporządzenia, do pełnienia funkcji IOD może zostać wyznaczony pracownik danej firmy, bądź osoba z zewnątrz (umowa o świadczenie usług na zasadzie outsourcingu). Jeżeli na IOD decydujemy się wyznaczyć pracownika należy zadbać o to, aby wykonywane przez niego obowiązki nie powodowały konfliktu interesów z funkcją IOD (np. członkowie zarządu, dyrektorzy zarządzający, główny księgowy itd.). Inspektor Ochrony Danych, musi mieć zapewnioną pełną niezależność. Jak pokazują znane nam przykłady, nie zawsze będzie to możliwe, gdy w rolę wchodzi pracownik firmy.
Należy pamiętać, że podmiotem, który faktycznie podejmuje decyzje i odpowiada za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiedni stopień bezpieczeństwa oraz wykazanie, że przetwarzanie odbywa się zgodnie z przepisami ochrony danych osobowych jest administrator lub podmiot przetwarzający.
W szeroko rozumianym interesie firmy i administratora powinno być zatem zapewnienie sobie jak najlepszego wsparcia. Najlepiej doświadczonego Inspektora, który będzie w stanie znaleźć luki w systemie bezpieczeństwa, będzie w stanie opracować plan naprawczy. Najlepiej zanim dojdzie do sytuacji kryzysowej lub kontroli. Jeśli szukasz takiego jakościowego, niezależnego wsparcia w tym zakresie zapraszamy do kontaktu. Tak jak wspomnieliśmy, administratorem ochrony danych może zostać specjalista zewnętrzny. Pełnimy już taką funkcję u klientów u których przeprowadzaliśmy wdrożenia RODO.
Jeśli szukasz IOD do swojej firmy – skontaktuj się z nami i porozmawiajmy o szczegółach!