Inspektor Ochrony Danych osobowych ma zapewnić poprawne przetwarzanie danych osobowych w organizacji. Niezbędna jest analiza wewnętrznych procesów firmy, aby określić czy istnieje obowiązek jego powołanie.
Choć w dotychczasowej ustawie o ochronie danych osobowych funkcja Inspektora Ochrony Danych nie była przewidziana, to zbliżoną do niego rolę pełnił Administrator Bezpieczeństwa Informacji. ABI powoływany był, aby zapewnić zgodność z obowiązującym prawem, prowadzonych działań w obszarze danych osobowych przez Administratora Danych Osobowych, który powołał go na tę funkcję. Będzie to również nadrzędna rola Inspektora Ochrony Danych. Jednak jego pozycja w całym systemie ochrony danych osobowych, a co za tym idzie w organizacji, w której zostanie powołany, będzie inna niż dotychczas ABI.
Inspektor Ochrony Danych - nowa funkcja w systemie
RODO znacznie podnosi rangęInspektora Ochrony Danych. Przede wszystkim wprowadza gwarancje niezależności Inspektora względem kierownictwa organizacji, w której wykonuje swoją funkcję. Ponieważ IOD ma być osobą odpowiedzialną za monitorowanie przestrzegania zapisów rozporządzenia i ustawy, musi być osobą niezależną - nie związaną z realizacją celów biznesowych firmy. Dlatego też łączenie jego funkcji z wysokimi w randze organizacji stanowiskami (np. członek zarządu) nie będzie możliwe. Oznacza to także zakaz wydawania mu odgórnych instrukcji, związanych z wykonywaniem jego obowiązków, czy wskazywanie z góry wyników audytów, czy raportów określających bezpieczeństwo danych w organizacji. O pozycji Inspektora może świadczyć również zakaz jego odwoływania lub nakładania kar, za negatywne wyniki przeprowadzonych wewnętrznych kontrol.
Inspektor Ochrony Danych odpowiedzialny będzie także za wsparcie personelu w jego codziennych obowiązkach związanych z danymi osobowymi oraz za szkolenia i budowanie w organizacji świadomości w tym zakresie. Do zadań Inspektora należeć będzie także współpraca z organem nadzorczym, czyli na gruncie zmian - Prezesem UODO, który zastępuje GIODO. Tym samym staje się również osobą kontaktową do PUODO w sprawach związanych z przetwarzaniem danych osobowych w organizacji.
**Inspektor Ochrony Danych nie zawsze obowiązkowy **
Istotną zmianą, która różnicuje ABI od IOD to wskazanie przez RODO sytuacji, w których powołanie Inspektora Ochrony Danych jest obowiązkowe. Na mocy dotychczasowej ustawy o ochronie danych osobowych powołanie ABI było zawsze fakultatywne.
Powołanie Inspektora Ochrony Danych nie jest obowiązkiem każdego Administratora. RODO określa sytuacje, w których powołanie Inspektora będzie konieczne. Jeśli w danej organizacji wystąpią wskazane w rozporządzeniu przesłanki, Administrator będzie zmuszony stworzyć taką funkcję w swojej firmie. Obowiązek powołania Inspektora Ochrony Danych nałożony został na trzy grupy podmiotów przetwarzających dane osobowe:
- organy lub podmioty publiczne, które przetwarzają dane osobowe (z wyłączeniem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości). I choć RODO nie precyzuje pojęcia podmiotu publicznego, to nowa ustawa o ochronie danych osobowych wskazała tu m.in. gminy, czy publiczne przedszkola i szkoły.
- organizacje, w których działania związane z przetwarzaniem danych osobowych stanowią główną działalność firmy - gdzie charakter, czy cele organizacji wymagają regularnego i systematycznego monitorowania osób, na dużą skalę. Zapis ten dotyczy firm, których działalność jest ściśle związana z przetwarzaniem danych osobowych i odbywa się to w usystematyzowany i powtarzający się sposób np. banki, placówki medyczne, czy usługi typu Data Center.
- organizacje, które przetwarzają szczególne kategorie danych (m.in. poglądy polityczne, pochodzenie rasowe czy etniczne, orientacja seksualna) oraz informacje dotyczące wyroków skazujących lub naruszeń prawa.
Inspektor Ochrony Danych - powoływać?
Przepisy rozporządzenia są w dużej mierze nieostre i często zależne od indywidualnej interpretacji. W sytuacji, gdy pojawia się dylemat związany z powołaniem Inspektora - zaleca się jego wyznaczenie. Brak IOD w organizacji, która podczas kontroli zostanie sklasyfikowana jako ta, na której spoczywa taki obowiązek, może skutkować wysokimi karami finansowej.
Co więcej, nawet jeśli pewne jest, że posiadanie Inspektora w organizacji nie jest konieczne, warto powołać taką funkcję. Obecność na pokładzie specjalisty z zakresu ochrony danych osobowych pozwoli uniknąć błędów w codziennej pracy, a w sytuacji ewentualnej kontroli - przeprowadzić ją bez narażenia się na zarzuty.