Wejście w życie w RODO sprawiło, że w wielu firmach i organizacjach pojawiło się nowe stanowisko, czyli Inspektor Ochrony Danych Osobowych. Czym powinien się zajmować? Czy Inspektor Ochrony Danych Osobowych jest obowiązkowy w każdej organizacji? Tych informacji dowiesz się z tego artykułu.

Z tego artykułu dowiesz się:

• Kto to jest Inspektor Ochrony Danych Osobowych?
• Kiedy potrzebny jest Inspektor Ochrony Danych Osobowych? 
• Kiedy Administrator ma obowiązek powołać Inspektora Ochrony Danych?
• Jak powołać Inspektora Ochrony Danych?
• Czym zajmuje się Inspektor Ochrony Danych Osobowych?

Kto to jest Inspektor Ochrony Danych Osobowych?

Inspektorem Ochrony Danych Osobowych (w skrócie – IOD) może zostać każdy — nie jest to regulowane przepisami, jednak osoba ubiegająca się o to stanowisko powinna mieć doświadczenie i fachową wiedzę z zakresu przetwarzania danych osobowych potwierdzoną doświadczeniem lub przejściem odpowiedniego szkolenia. Istnieje również możliwość uzyskania odpowiedniej certyfikacji adwokata lub radcy prawnego. 

Kiedy potrzebny jest Inspektor Ochrony Danych Osobowych? 

Nie każda firma musi powoływać formalnie IOD. Jednakże, dla wszystkich administratorów danych osobowych zalecane jest wdrożenie RODO i wyznaczenie odpowiedzialnych za to osób. Do ich zadań powinny należeć: cykliczne sprawdzanie baz danych, zadbanie o bezpieczeństwo systemów IT i sprawowanie pieczy nad bezpiecznym przetwarzaniem danych osobowych zarówno w poszczególnych działach, jak i w całej organizacji.

Kiedy Administrator ma obowiązek powołać Inspektora Ochrony Danych?

Według RODO Administrator obowiązkowo musi powołać Inspektora Ochrony Danych Osobowych w kilku konkretnych przypadkach:

1. Każdy podmiot lub organ publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości, ma obowiązek powołać IOD.
2. Gdy główną działalnością Administratora lub podmiotu przetwarzającego są operacje przetwarzania, które wymagają regularnego monitorowania osób, których dane dotyczą, tzn. dane przetwarzane są na dużą skalę np.: 

• obsługa sieci telekomunikacyjnej lub świadczenie usług telekomunikacyjnych,
• przekierowywanie poczty elektronicznej,
• śledzenie lokalizacji (na przykład przez aplikacje mobilne),
• programy lojalnościowe czy reklama behawioralna,
• monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych,
• monitoring wizyjny,
• urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa itd.

3. Gdy główną działalnością Administratora lub podmiotu przetwarzającego jest przetwarzanie szczególnych kategorii danych osobowych (określanych również jako dane wrażliwe lub dane sensytywne), do których należą:

• pochodzenie rasowe lub etniczne,
• poglądy polityczne,
• przekonania religijne lub światopoglądowe,
• przynależność do związków zawodowych,
• dane genetyczne i biometryczne,
• dane dotyczące zdrowia.

Jak powołać Inspektora Ochrony Danych?

Jedynym uznawanym, prawidłowym i skutecznym sposobem powołania Inspektora Ochrony Danych Osobowych jest zawiadomienie w postaci elektronicznej, opatrzone kwalifikowanym podpisem elektronicznym bądź w drugiej opcji podpisem potwierdzonym profilem zaufanym ePUAP. Takie zawiadomienie można złożyć na stronie www.biznes.gov.pl.

Jeśli doszło do skutecznego zawiadomienia o wyznaczeniu Inspektora RODO, zostanie ono potwierdzone Urzędowym Poświadczeniem Przedłożenia (generowanym przez epuap.gov.pl w postaci pliku UPP.xml). Zawiadomienie Prezesa UODO o wyznaczeniu Inspektora Ochrony Danych należy dokonać w ciągu 14 dni od dnia jego wyznaczenia.

Po wpisie rejestr Inspektora Ochrony Danych nie jest jawny. 

Jakie są obowiązki Inspektora Ochrony Danych?

Głównymi zadaniami Inspektora Ochrony Danych (tzw. IOD) są:

1. Informowanie i doradzanie Administratorowi lub podmiotowi przetwarzającemu oraz ich pracownikom odnośnie do ich obowiązków wynikających z przepisów prawa o ochronie danych osobowych.
2. Ciągłe monitorowanie zgodności procedur organizacyjnych z wszystkimi przepisami prawa o ochronie danych osobowych, przeprowadzanie audytów, 
3. Podnoszenie kompetencji personelu poprzez prowadzenie działań zwiększających świadomość ochrony danych, w tym zamawianie i organizowanie szkoleń.
4. Udzielanie zaleceń przy ocenie skutków dla ochrony danych i monitorowanie wykonania.
5. Współpraca z Prezesem Urzędu Ochrony Danych Osobowych.
6. Współpraca i pomoc dla osób fizycznych we wszystkich sprawach związanych z przetwarzaniem ich danych i wykonywanie ich praw wynikających z RODO.

UWAGA! Każdy Podmiot tzn. Administrator, Współadministrator, podmiot przetwarzający, Pracownik czy IOD w zależności od charakteru zdarzenia i kategorii danych osobowych, powinien zareagować i wzajemnie się informować o możliwości wystąpienia naruszenia. Reakcja powinna być natychmiastowa, a administrator ma 72h na złożenie informacji do UODO. 

Za brak powiadomienia UODO o naruszeniu, spółka Ergo Hestia otrzymała 160 tys. zł kary! Kluczowe jest, aby pracownicy, podmioty przetwarzające oraz administratorzy umieli rozpoznać incydent naruszenia ochrony danych i nie bali się wzajemnie informować. W celu zachęcenia do niezwłocznych reakcji na incydenty i naruszenia, RODO wprowadza tzw. SAMODONOS.

Jeśli poszukujesz IOD do swojej firmy lub osoby, która przeprowadzi audyt RODO i szkolenia dla Pracowników — skontaktuj się z nami i wspólnie znajdziemy rozwiązanie dopasowane do Twoich potrzeb. 

Bądź na bieżąco z naszymi artykułami! Zaobserwuj nas na Facebooku, Instagramie i Linkedinie lub zapisz się do naszego newslettera!