Inspektor Ochrony Danych – kiedy i jak powołać?

Zakładamy, że skrót IOD jest Wam znany, zwłaszcza, że od wejścia w życie RODO minęło już trochę czasu. Nie zaszkodzi natomiast przypomnieć. Pod tym skrótem skrywa się Inspektor Ochrony Danych. Czym się dokładniej zajmuje? Kiedy trzeba go powołać i jak to zrobić? Na te i inne pytania odpowiemy w dzisiejszym wpisie.

Czym zajmuje się Administrator Ochrony Danych?

Zacznijmy od tego, że IOD to nowa instytucja, która ma służyć wypełnianiu zadań z zakresu ochrony danych osobowych, oraz do współpracy z organami nadzorczymi. Wcześniej na straży ochrony danych w firmie stał głównie ABI (Administrator Bezpieczeństwa Informacji), ale od wejścia w życie RODO ta funkcja nieco się zmieniła. Nie tylko z nazwy. 

RODO dokładnie wskazuje, w jakim celu jest powoływany IOD i jakie ciążą na nim obowiązki w związku z tą funkcją. Przede wszystkim, do jego zadań należy spełnianie obowiązku informacyjnego wobec podmiotów, u których pełni on funkcję Inspektora Ochrony Danych. Innym obowiązkiem jest doradztwo w zakresie prawa ochrony danych osobowych, udzielanie zaleceń w tym zakresie oraz szkolenia personelu podmiotów przetwarzających dane. Inspektor sprawuje również funkcję kontrolną – monitoruje przestrzeganie przepisów rozporządzenia oraz dot. ochrony danych osobowych poprzez przeprowadzanie okresowych audytów zgodności przetwarzania z przepisami obowiązującego prawa. IOD to osoba wyznaczona do współpracy z organem nadzorczym (Prezesem Urzędu Ochrony Danych Osobowych), a także „punkt kontaktowy”.

Podsumowując, do obowiązków IOD należy:

  • bieżąca weryfikacja przetwarzania danych osobowych
  • nadzór nad opracowaniem i aktualizacją polityki ochrony danych osobowych
  • wsparcie w prowadzeniu rejestrów czynności przetwarzania danych osobowych
  • szkolenie pracowników firmy
  • modelowanie procesów biznesowych pod kątem zgodności z RODO
  • opiniowanie bieżącej dokumentacji w zakresie zgodności z RODO
  • obsługa incydentów naruszenia ochrony danych osobowych
  • pełnienie punktu kontaktowego dla organu nadzorczego
  • przygotowanie propozycji odpowiedzi w korespondencji z Organem nadzorczym
  • doradztwo w zakresie przeprowadzania oceny skutków naruszenia ochrony danych
  • przeprowadzanie audytów okresowych oraz przygotowywanie raportów

Pojawia się jednak zasadnicze pytanie: Czy w każdej firmie IOD jest niezbędny? Kiedy i jak należy go wyznaczyć?

Kiedy należy wyznaczyć IOD?

Jak łatwo się domyślić, wytyczne w tym zakresie wyznacza RODO. Konkretniej art. 37 ust. 1 Rozporządzenia, który zawiera dość nieostre, jednak co do zasady poddawalne weryfikacji kryteria, które powinny służyć nam jako wyznacznik kwestii, czy powołanie IOD powinno mieć miejsce w prowadzonej przez nas działalności, czy też nie.

Do powołania Inspektora Ochrony Danych z pewnością zobowiązane będą podmioty, które:

  • są organami lub podmiotami publicznymi (wyjątkiem jest tutaj objęta działalność sprawowana przez sądy)
  • ich główna działalność skupia się na przetwarzaniu danych osobowych objętych w rozporządzeniu kategorią danych wrażliwych, do których należą dane o pochodzeniu rasowym lub etnicznym, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne, dane dotyczące seksualności, zdrowia lub orientacji seksualnej osoby,
  • podmioty, które główną działalność opierają na operacjach przetwarzania na dużą skalę i przetwarzanie to z uwagi na jego cel, zakres, charakter, wymaga regularnego i systematycznego monitorowania osób, których dane dotyczą.

Warto nadmienić, iż poprzez działalność i przetwarzanie rozumiemy działanie podmiotu zarówno przetwarzającego dane jako Administrator Danych Osobowych, ale też działanie w roli podmiotu, który przetwarza dane na podstawie stosownych umów powierzenia danych zawartych z innymi Administratorami Danych.

Zastanawiającą kwestią jest użycie przez ustawodawcę unijnego pojęć takich jak główna działalność czy duża skala, których interpretacja wydaje się być kluczowa jeżeli chodzi o obowiązek wyznaczenia IOD.
Co ciekawe RODO nie zawiera definicji legalnych tych pojęć, co z pewnością stanowiłoby duże ułatwienie i sprawiłoby, iż przepisy rozporządzenia zyskałyby w tym zakresie pewną przejrzystość. No ale nie ma co płakać nad rozlanym mlekiem.

Pomocne w tej kwestii są wytyczne Grupy Roboczej art. 29 ds. Danych Osobowych, czyli mówiąc prościej – organu konsultacyjnego na poziomie unijnym, który wydaje wskazówki i reguły interpretacyjne przepisów rozporządzenia. Takie wytyczne pojawiły się również w kwestii IOD, możecie je znaleźć pod tym LINKIEM. A co z terminami?

Do kiedy należy powołać i zgłosić IOD?

Powołanie Inspektora Ochrony Danych powinno zostać wykonane w następującym czasie:

• u podmiotów, które wcześniej miały powołanego ABI – z dniem 25.05.2018 r. automatycznie przekształca się on w Inspektora Ochrony Danych. Termin na zawiadomienie urzędu o danych IOD został wyznaczony na dzień 1.09.2018 r.; do tego czasu jest również czas na powołanie nowego IOD i zgłoszenie jego danych do Urzędu;

• u podmiotów, które przed dniem 25.05.2018 r. nie miały w swojej strukturze wyznaczonego ABI, termin na powołanie nowego IOD został wyznaczony do 31.07.2018 r. W tym samym terminie IOD powinien zostać zgłoszony do Urzędu.

Ogólnie obowiązuje zasada, w której powołanie IOD powinno zostać zgłoszone w terminie 14 dni od aktu powołania Inspektora. A kto może zostać powołany na tę funkcję?

Kto może zostać powołany na IOD?

Zgodnie z przepisami rozporządzenia, do pełnienia funkcji IOD może zostać wyznaczony pracownik danej firmy, bądź osoba z zewnątrz (umowa o świadczenie usług na zasadzie outsourcingu). Jeżeli na IOD decydujemy się wyznaczyć pracownika należy zadbać o to, aby wykonywane przez niego obowiązki nie powodowały konfliktu interesów z funkcją IOD (np. członkowie zarządu, dyrektorzy zarządzający, główny księgowy itd.)

Powinna być to osoba charakteryzująca się fachową wiedzą i doświadczeniem z zakresu prawa ochrony danych osobowych, tak, aby była w stanie należycie realizować obowiązki narzucone jej przez rozporządzenie.

Warto nadmienić, iż Inspektor Ochrony Danych w firmie, musi mieć zapewnioną pełną niezależność. Inspektora należy natychmiastowo włączać we wszystkie sprawy z zakresu ochrony danych osobowych, zaś podmioty przetwarzające dane powinny mu w tym zakresie służyć wsparciem oraz niezbędnymi informacjami.

Sporo firm, zwłaszcza tych mniejszych, ma spory problem w wyznaczeniu pracownika pełniącego funkcję IOD. Jeśli szukasz wsparcia w tym zakresie zapraszamy do kontaktu. Tak jak wspomnieliśmy, administratorem ochrony danych może zostać specjalista zewnętrzny, czyli na przykład z WBT-IT. W swojej ofercie posiadamy taką usługę, z której korzystają już nasi klienci, głównie Ci u których przeprowadzaliśmy wdrożenia RODO.

Jeśli szukasz IOD do swojej firmy – skontaktuj się z nami i porozmawiajmy o szczegółach! Jeśli masz już odpowiedniego kandydata, pozostaje kwestia tego jak dokonać zgłoszenia.

Jak dokonać zgłoszenia IOD?

Zgłoszenie administratora ochrony danych nie jest skomplikowane i można to załatwić online:

  1. Zgłoszenia można dokonać drogą elektroniczną poprzez stronę: LINK
    Konieczna będzie rejestracja na stronie www.biznes.gov.pl oraz podpisanie wypełnionego wniosku elektronicznym podpisem kwalifikowanym lub profilem zaufanym.
  2. Strona krok po kroku przeprowadzi przez proces zgłoszenia IOD. Konieczne będzie wskazanie imienia i nazwiska osoby IOD oraz adresu e-mail lub numeru kontaktowego.
  3. Po poprawnym wygenerowaniu wniosku, należy podpisać go kwalifikowanym podpisem elektronicznym lub profilem zaufanym. W sytuacji, kiedy zgłoszenia dokonuje pełnomocnik, powinno zostać również dołączone stosowne pełnomocnictwo.
  4. Po podpisaniu wniosku i poprawnym przesłaniu go do Urzędu, powinno wygenerować się UPP – Urzędowe Poświadczenie Przedłożenia – jest to dowód, potwierdzający dokonanie prawidłowego zgłoszenia do Urzędu.
  5. Należy pamiętać, iż Urząd powinien zostać zawiadomiony o zmianie danych i danych kontaktowych Inspektora lub o jego odwołaniu w terminie 30 dni.

Mamy nadzieję, że dzisiejszym wpisem udało nam się skutecznie podsumować temat IOD i jednocześnie zaprosić do współpracy. Skorzystanie z dobrodziejstw outsourcingu IT i profesjonalnych usług informatycznych zaufanego partnera, jest nie tylko tańsze ale też skuteczniejsze i bezpieczniejsze. Chętnie opowiemy od szczegółach możliwej współpracy.

Jeśli temat ochrony danych osobowych i RODO jest Wam szczególnie bliski, szukacie aktualnych informacji i praktycznych wskazówek, zapraszamy też do udział w darmowych szkoleniach RODO, które organizujemy już w listopadzie! Więcej o bezpłatnym szkoleniu dowiedziecie się z naszych aktualności, a jeśli chcecie zapisać się na to wydarzenie, wystarczy przejść tutaj: LINK.

Zapraszamy!

kontakt IOD Warszawa

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *