RODO: kto może zostać inspektorem danych osobowych

RODO: kto może zostać inspektorem danych osobowych
Fot. stock.adobe.com/bnorbert3
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
RODO ukształtowało nowe stanowisko - inspektora ochrony danych. Pojawiły się jednak wątpliwości i pytania dotyczące tego, kto może ubiegać się o pełnienie tej funkcji, a także kiedy należy powołać IOD.

Kto może zostać inspektorem danych osobowych? #RODO

Czym zajmuje się Inspektor Ochrony Danych?

Fachowe wsparcie administratorów danych, czyli przedsiębiorców – to określenie odzwierciedlające rolę IOD-a, co oznacza jednak w praktyce? Zadania inspektora określone zostały w art. 39 ust. 1 RODO. Wśród nich znajdują się m.in. obowiązek informowania administratora, podmiotu przetwarzającego oraz ich pracowników przetwarzających dane osobowe o spoczywających na nich obowiązkach na gruncie RODO oraz innych przepisów Unii Europejskiej lub państw członkowskich o ochronie danych. Co więcej, do jego obowiązków należy także monitorowanie przestrzegania RODO oraz innych aktów prawnych z tego zakresu.

– Rola inspektora ochrony danych nie sprowadza się wyłącznie do kontrolowania oraz monitorowania prawidłowego przebiegu informacji w danej organizacji. Jego funkcja jest znacznie bardziej rozbudowana, ponieważ staje się on niejako łącznikiem pomiędzy organizacją a organem nadzorczym, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych, w kwestiach związanych z przetwarzaniem danych osobowych. Stanowi on również punkt kontaktowy dla osób, których dane dotyczą   – mówi Paweł Domagała, specjalista ds. ochrony danych, ODO 24

Jakie kompetencje musi posiadać oraz kto może zostać IOD?

Zgodnie z art. 37 ust. 6 RODO IOD może być członkiem personelu administratora lub podmiotu przetwarzającego, albo wykonywać zadania na podstawie umowy o świadczenie usług.

– Specjalistyczna wiedza na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz operacji przetwarzania danych i systemów informatycznych to obowiązkowe kryterium będące wyznacznikiem tego, czy osoba może ubiegać się o stanowisko IOD-a. Warto jednak pamiętać, że wymagany poziom wiedzy fachowej nie został określony w żadnym dokumencie, należy go zatem oceniać indywidualnie w każdym przypadku – wskazuje Paweł Domagała, specjalista ds. ochrony danych, ODO 24

Jednym z możliwych rozwiązań jest powierzenie stanowiska IOD-a pracownikowi organizacji. Za takim rozwiązaniem przemawia przekonanie, że osoba z wnętrza organizacji cechuje się dobrą znajomością firmy, jej struktury oraz pozostałych pracowników, a także realizuje swoje zadania w czasie pracy, co za tym idzie, jest stale dostępna w organizacji.

Niezwłoczna reakcja w przypadku naruszenia ochrony danych osobowych, a także realizacja zadań w obszarze formalnoprawnym oraz IT na wysokim poziomie to jedne z wielu pozytywnych aspektów tego modelu.

RODO nałożyło na przedsiębiorców wiele nowych obowiązków, w tym także ten dotyczący powołania IOD-a. Należy zaznaczyć jednak, że nawet kiedy firma nie została zobowiązana do tego prawnie, powołanie stanowiska IOD-a może mieć pozytywny wydźwięk wizerunkowy – organizacja będzie postrzegana w środowisku jako ta dbająca o bezpieczeństwo danych osobowych swoich klientów i kontrahentów, a tym samym będzie chętniej wybierana jako podwykonawca usług, w ramach których będzie pełnić rolę podmiotu przetwarzającego. Nie należy pominąć faktu ewentualnej urzędowej kontroli, IOD (własny czy z outsourcingu) to domniemanie należytej ochrony danych osobowych.

Źródło: ODO 24