Zadania Inspektora Ochrony Danych

114

IOD ma za zadanie wspierać organizację w dostosowywaniu i przestrzeganiu RODO poprzez realizację powierzonych mu zadań. Dzięki swoim zadaniom IOD ma możliwość realnego wpływania na poziom bezpieczeństwa danych osobowych w organizacji. Obowiązki inspektora są natomiast określone w art. 39 unijnego rozporządzenia.

reklama

Główne obowiązki IOD

Artykuł 39 ust. 1 RODO statuuje, że Inspektor Ochrony Danych jest odpowiedzialny za wykonywanie poniższych zadań:

a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;

d) współpraca z organem nadzorczym;

e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Powyższe zadania można  podzielić na zadania o charakterze:

  1. informacyjno – doradczym;
  2. nadzorczym;
  3. komunikacyjnych

Zadania inspektora danych można również podzielić na te o charakterze wewnętrznym (w związku z procesami zachodzącymi wewnątrz organizacji) i zewnętrznym (w związku ze współpracą z organem nadzorczym lub osobami, których dane dotyczą).

Zadania o charakterze informacyjno – doradczym

Należy tu wymienić przede wszystkim informowanie o obowiązkach wynikających z RODO oraz innych przepisów unijnych i krajowych, dotyczących ochrony danych osobowych. Związany jest z tym również obowiązek doradzania w tym zakresie ADO. Ponadto IOD jest zobowiązany do realizacji zadań o charakterze informacyjno – doradczym nie tylko wobec osób reprezentujących organizację, ale także w stosunku do osób zatrudnionych przy przetwarzaniu danych osobowych. Najczęściej może to być dokonywane za pomocą szkoleń czy to stacjonarnych czy e-learningowych.

reklama

Zadania o charakterze nadzorczym

Zgodnie z art. 39 ust. 1 lit. b RODO IOD ma za zadanie nadzorować także realizację przepisów dotyczących RODO w Twoim przedsiębiorstwie. Działalność ta odbywa się poprzez monitorowanie sytuacji wewnątrz organizacji oraz ocenę przyjętych przez nią polityk w zakresie ochrony danych osobowych. Co do zasady obowiązek ten realizowany jest w formie audytu RODO.

Zadania o charakterze komunikacyjnym

W tym obszarze do obowiązków IOD należy:

  • współpraca z organem nadzorczym oraz
  • pełnienie przez IOD funkcji punktu kontaktowego.

Współpraca z organem nadzorczym będzie najczęściej przejawiać się poprzez współpracę w prowadzeniu postępowań administracyjnych, w szczególności związanych z:

  • naruszeniem ochrony danych,
  • rozpatrywaniem skarg podmiotów danych a także
  • uprzednimi konsultacjami związanymi z oceną skutków.

Obowiązek pełnienia funkcji punktu kontaktowego jest realizowany wobec osób, których dane są przetwarzane przez Twoje przedsiębiorstwo. Podmioty te mają bowiem prawo do kontaktu z IOD we wszystkich sprawach związanych z przetwarzaniem ich danych oraz wykorzystaniem praw przysługujących im na gruncie RODO.

reklama

 Sposób wykonywania zadań IOD

Zgodnie z art. 39 ust. 2 RODO Inspektor Ochrony Danych uwzględnia w każdym przypadku w ramach wykonywanych przez niego zadań ryzyko związane z przetwarzaniem danych, a także charakter, zakres, kontekst i cele przetwarzania. Oznacza to, że IOD powinien nadawać różne priorytety swoim działaniom i skupić się na tych aspektach, które powodują największe ryzyko związane z przetwarzaniem danych osobowych. Nie oznacza to przyzwolenia na pomijanie operacji, które niosą niższe ryzyko, albowiem IOD musi czuwać nad całością procesów związanych z przetwarzaniem danych osobowych w organizacji.

W związku z brakiem określenia w przepisach RODO, jak powinna wyglądać współpraca administratora z Inspektorem Ochrony Danych, proponowany model współpracy może opierać się na analizie procesów lub czynności związanych z przetwarzaniem danych dokonywanej przez IOD, zaopiniowaniu ich oraz przedstawieniu efektów swojej pracy administratorowi i udzieleniu mu konsultacji.

Należy pamiętać, że RODO nakłada na IOD obowiązek zachowania tajemnicy lub poufności co do wykonywania swoich zadań.

Czy to wszystkie obowiązki IOD?

Wbrew wykładni językowej przepisu nie jest to jednak katalog zamknięty obowiązków IOD. Polska wersja językowa RODO w tym zakresie nie przedstawia dokładnego tłumaczenia oryginalnej treści art. 39 ust. 1 RODO, który w wersji angielskiej stanowi DPO shall have at least the following tasks, czyli IOD wypełnia co najmniej poniższe obowiązki. Oznacza to, że IOD musi minimalnie wykonywać powyższe zadania, jednak zakres jego powinności może być o wiele szerszy.

W dokumencie 16/EN WP 243 rew. 01 Grupy Roboczej Art. 29 ds. ochrony danych o nazwie Wytyczne dotyczące inspektorów ochrony danych przyjęte w dniu 13 grudnia 2016 r. w wersji zmienionej i przyjętej w dniu 05 kwietnia 2017 r. wskazano także, że tworzenie rejestrów czynności przetwarzania danych będzie najczęściej należało do obowiązków IOD. Taki rejestr może być uznany za jedno z narzędzi umożliwiających realizację zadań IOD w zakresie monitorowania ochrony danych osobowych w organizacji.

Inspektor Ochrony Danych powinien stanowić realne wsparcie dla administratora danych przy zapewnianiu bezpieczeństwa danym osobowych w jego organizacji. Wymagania stawiane Inspektorom Ochrony Danych są wysokie, jednakże tylko osoby o szerokich kompetencjach będą w stanie wykonywać zadania określone przepisami RODO.

Należy pamiętać, że administrator i podmiot przetwarzający mają obowiązek wspierać IOD w wypełnianiu przez niego zadań poprzez zapewnienie mu zasobów niezbędnych do wykonania tych zadań, a także środki niezbędne do utrzymania wiedzy fachowej. Inspektor Ochrony Danych nie może otrzymywać wiążących instrukcji dot. wykonywania obowiązków i podlega tylko najwyższemu kierownictwu w organizacji. Nie może być także odwoływany lub karany za wypełnianie swoich zadań.

Kary za nieprzestrzeganie przepisów

Naruszenie przepisów dotyczących IOD oraz jego zadań zostało zagrożone w karą wynikającą z art. 84 ust. 4 lit. a RODO w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Oznacza to, że niedostosowanie się do każdego przepisu znajdującego się w sekcji poświęcanej Inspektorowi Ochrony Danych zagrożone jest sankcją tej wysokości.

Należy pamiętać, że to na administratorze, a nie na IOD, ciąży odpowiedzialność za brak wdrożenia zaleceń IOD. Również administrator jest odpowiedzialny za wszelkie niezgodności z przepisami RODO, które organ nadzoru wykryje w jego organizacji.

Opracowano na podstawie:

  1. Grupa Robocza Art. 29 ds. ochrony danych, 16/EN WP 243 rew. 01 Wytyczne dotyczące inspektorów ochrony danych (‘DPO’), przyjęte w dniu 13 grudnia 2016 r. w wersji zmienionej i przyjętej w dniu 05 kwietnia 2017 r.;
  2. P. Litwiński (red.), P. Barta, M. Kawecki, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Warszawa 2018.

Administratorem podanych przez Pana/ Panią danych osobowych jest Data Legal Solutions z siedzibą w Warszawie (02-566), przy ul. Puławskiej 12/3. Dane będą przetwarzane w celu wysyłki newslettera oraz celu wysyłania przez administratora treści marketingowych administratora i podmiotów współpracujących na zasadach określonych w regulaminie portalu. Podanie adresu e-mail jest dobrowolne, lecz jego podanie jest niezbędne do zapisania się do newsletter. Udostępnienie adresu e-mail jest uznawane przez nas jako zamówienie informacji handlowej zgodnie z art. 10 ust. 2 ustawy o świadczeniu usług drogą elektroniczną. Więcej informacji na temat przetwarzania przez nas danych osobowych znajduje się wpolityce prywatności.
Reklama