Artykuły eksperckie

Wejście w życie RODO spowodowało daleko idące zmiany w krajobrazie legislacyjnym dotyczącym przetwarzania danych osobowych. Na wielu firmach spoczął obowiązek powołania inspektora ochrony danych osobowych, IOD. Kim dokładnie jest IOD i jakie spoczywają na nim obowiązki?

Czego dowiesz się z tego artykułu?

• Do powołania IOD są zobowiązane przede wszystkim firmy przetwarzające dane osobowe na dużą skalę oraz pracujące z danymi wrażliwymi.
• Wybierając IOD należy zwrócić szczególną uwagę na praktyczne doświadczenie inspektora z uwzględnieniem profilu działalności klienta.
• Outsourcing jest prostszą, tańszą i bardziej efektywną metodą współpracy z IOD, niż tworzenie działu złożonego z pracowników.

Za co odpowiada inspektor ochrony danych osobowych?

Inspektor ochrony danych osobowych to osoba zobowiązania do monitorowania procesów związanych z przetwarzaniem danych osobowych w firmie. Odpowiada on za ocenę wewnętrznej dokumentacji z obowiązującymi przepisami i wytycznymi organu nadzoru, a także udzielanie porad i informacji w tym zakresie zarówno pracownikom, jak i pracodawcy. Do zadań IOD należy też udzielanie zaleceń co do DPIA oraz weryfikowanie prawidłowości takiej oceny.

Na IOD spoczywa także obowiązek przeprowadzania cyklicznych audytów stanu przestrzegania RODO i szkoleń zarówno wśród pracowników, jak i kadry zarządzającej.

Inspektorzy Ochrony Danych pełnią również funkcję punktu kontaktowego dla organu nadzoru. Jeżeli więc trzeba wziąć udział w prowadzonej przez Prezesa UODO kontroli lub wyjaśnić wątpliwości, to właśnie IOD będzie realizował związane z tym obowiązki. Wszędzie tam, gdzie w organizacji pojawiają się procesy przetwarzania danych osobowych – niezależnie do tego, czy chodzi o zaprojektowanie klauzul informacyjnych, dokumentacji w zakresie polityki prywatności, czy ocenę bezpieczeństwa wdrożenia nowego systemu IT, IOD powinien zostać zaangażowany.

Kiedy trzeba, a kiedy warto powołać inspektora ochrony danych osobowych?

Obowiązujące przepisy RODO nakładają obowiązek powołania IOD na organy władzy publicznej. Jeżeli chodzi o firmy prywatne, to są do tego zobowiązane dwie kategorie organizacji:

• firmy, w których główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę,
• firmy, w których główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu wrażliwych danych osobowych.

Niezależnie od tych wymagań administrator danych osobowych może powołać IOD zawsze wtedy, gdy uzna, że procesów dotyczących przetwarzania danych osobowych jest zbyt dużo lub też są one nadmiernie złożone. W ten sposób administrator zdejmuje z siebie obowiązek monitorowania stanu wdrożenia RODO w organizacji i może skupić się na rozwoju bieżącej działalności.

Wśród przykładowych branż, w których powołanie IOD jest popularne (a niekiedy wręcz niezbędne), można wymienić dostawców usług SaaS, software house’y, agencje marketingowe, podmioty prowadzące działalność leczniczą.

Sprawdź również: Kara za brak powołania Inspektora Ochrony Danych. Co grozi za brak jego wyznaczenia?

Jakie gwarancje przysługują IOD?

Inspektor ochrony danych osobowych ma silną pozycję w organizacji dzięki szeregowi gwarancji przyznanych przez unijnego ustawodawcę. Przede wszystkim:

• podlega wyłącznie najwyższemu kierownictwu,
• może żądać wsparcia i zasobów w zakresie realizowanych obowiązków,
• ma prawo dostępu do wszystkich procesów związanych z przetwarzaniem danych osobowych,
• nikt nie może wydawać IOD poleceń dotyczących sposobów wykonywania obowiązków,
• jest chroniony przed sankcjami i odwołaniem, które pozostają w związku z przetwarzaniem danych osobowych przez organizację,
• ma obowiązek zachować poufność względem wszystkich informacji, jakie zdobył w związku z pełnieniem obowiązków,

Grupa Robocza Art. 29 rekomenduje także, aby funkcji IOD nie pełniła osoba, która w związku z alternatywną pozycją może generować konflikt interesów.

Jak wybierać IOD? Dział wewnętrzny, czy outsourcing?

W praktyce organizacje mają dwie możliwości ustanowienia IOD. Pierwszą jest powołanie wewnętrznego działu składającego się z wewnętrznych pracowników. Choć takie osoby zwykle doskonale znają specyfikę prowadzonej działalności, mogą mieć trudności z zachowaniem obiektywizmu. Odrębnym problemem są też wyższe koszty wewnętrznego IOD, ponieważ musi on otrzymywać pełne wynagrodzenie niezależnie od tego, ile w danym okresie wykonał pracy.

Dlatego coraz więcej firm decyduje się na korzystanie z usług doświadczonych kancelarii prawnych. Praktycy z wieloletnim doświadczeniem nie tylko mają dostęp do praktycznej i najnowszej wiedzy, ale też gwarantują wysoką jakość obsługi. Taki model jest tańszy, rozliczenie następuje na podstawie faktury B2B za faktycznie wykonane zadania.

Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?

Jak wygląda odpowiedzialność IOD?

Należy pamiętać, że IOD nie odpowiada za niedochowanie staranności w zakresie ochrony danych osobowych przez organizację. Jego obowiązkiem jest monitorowanie wewnętrznego compliance i sugerowanie zmian, ale to administrator musi te zmiany wprowadzić. W przypadku umów o pracę granicę odpowiedzialności IOD określa kodeks pracy. W przypadku outsourcingu będzie to umowa B2B.

Outsourcing funkcji IOD – Kancelaria After Legal

Kancelaria After Legal oferuje kompleksowe wsparcie z zakresu ochrony danych osobowych. Nasz zespół od ponad dekady wspiera przedsiębiorców z takich branż, jak IT, czy e-commerce. Oferujemy również przeprowadzanie audytów i szkoleń w zakresie ochrony danych osobowych w oragnizacji. Nasi prawnicy pełnią również funkcję IOD u klientów. Dzięki naszej pomocy Twoja organizacja będzie rozwijała się stabilnie i bezpiecznie, bez obaw o braki w compliance.