Najpopularniejszy w Polsce portal o finansach i biznesie
RODO już działa. Kto musi wyznaczyć Inspektora Ochrony Danych?

RODO już działa. Kto musi wyznaczyć Inspektora Ochrony Danych?

Fot. ARKADIUSZ ZIOLEK
Inspektor Ochrony Danych osobowych ma zapewnić poprawne przetwarzanie danych osobowych w organizacji. Niezbędna jest analiza wewnętrznych procesów firmy, aby określić czy istnieje obowiązek jego powołanie.

 

Choć w dotychczasowej ustawie o ochronie danych osobowych funkcja Inspektora Ochrony Danych nie była przewidziana, to zbliżoną do niego rolę pełnił Administrator Bezpieczeństwa Informacji. ABI powoływany był, aby zapewnić zgodność z obowiązującym prawem, prowadzonych działań w obszarze danych osobowych przez Administratora Danych Osobowych, który powołał go na tę funkcję. Będzie to również nadrzędna rola Inspektora Ochrony Danych. Jednak jego pozycja w całym systemie ochrony danych osobowych, a co za tym idzie w organizacji, w której zostanie powołany, będzie inna niż dotychczas ABI.

Inspektor Ochrony Danych - nowa funkcja w systemie

RODO znacznie podnosi rangę Inspektora Ochrony Danych. Przede wszystkim wprowadza gwarancje niezależności Inspektora względem kierownictwa organizacji, w której wykonuje swoją funkcję. Ponieważ IOD ma być osobą odpowiedzialną za monitorowanie przestrzegania zapisów rozporządzenia i ustawy, musi być osobą niezależną - nie związaną z realizacją celów biznesowych firmy. Dlatego też łączenie jego funkcji z wysokimi w randze organizacji stanowiskami (np. członek zarządu) nie będzie możliwe. Oznacza to także zakaz wydawania mu odgórnych instrukcji, związanych z wykonywaniem jego obowiązków, czy wskazywanie z góry wyników audytów, czy raportów określających bezpieczeństwo danych w organizacji. O pozycji Inspektora może świadczyć również zakaz jego odwoływania lub nakładania kar, za negatywne wyniki przeprowadzonych wewnętrznych kontrol.

Inspektor Ochrony Danych odpowiedzialny będzie także za wsparcie personelu w jego codziennych obowiązkach związanych z danymi osobowymi oraz za szkolenia i budowanie w organizacji świadomości w tym zakresie. Do zadań Inspektora należeć będzie także współpraca z organem nadzorczym, czyli na gruncie zmian - Prezesem UODO, który zastępuje GIODO. Tym samym staje się również osobą kontaktową do PUODO w sprawach związanych z przetwarzaniem danych osobowych w organizacji.

 

Inspektor Ochrony Danych nie zawsze obowiązkowy

Istotną zmianą, która różnicuje ABI od IOD to wskazanie przez RODO sytuacji, w których powołanie Inspektora Ochrony Danych jest obowiązkowe. Na mocy dotychczasowej ustawy o ochronie danych osobowych powołanie ABI było zawsze fakultatywne.

Powołanie Inspektora Ochrony Danych nie jest obowiązkiem każdego Administratora. RODO określa sytuacje, w których powołanie Inspektora będzie konieczne. Jeśli w danej organizacji wystąpią wskazane w rozporządzeniu przesłanki, Administrator będzie zmuszony stworzyć taką funkcję w swojej firmie. Obowiązek powołania Inspektora Ochrony Danych nałożony został na trzy grupy podmiotów przetwarzających dane osobowe:

- organy lub podmioty publiczne, które przetwarzają dane osobowe (z wyłączeniem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości). I choć RODO nie precyzuje pojęcia podmiotu publicznego, to nowa ustawa o ochronie danych osobowych wskazała tu m.in. gminy, czy publiczne przedszkola i szkoły.

- organizacje, w których działania związane z przetwarzaniem danych osobowych stanowią główną działalność firmy - gdzie charakter, czy cele organizacji wymagają regularnego i systematycznego monitorowania osób, na dużą skalę. Zapis ten dotyczy firm, których działalność jest ściśle związana z przetwarzaniem danych osobowych i odbywa się to w usystematyzowany i powtarzający się sposób np. banki, placówki medyczne, czy usługi typu Data Center.

- organizacje, które przetwarzają szczególne kategorie danych (m.in. poglądy polityczne, pochodzenie rasowe czy etniczne, orientacja seksualna) oraz informacje dotyczące wyroków skazujących lub naruszeń prawa.

Inspektor Ochrony Danych - powoływać?


Przepisy rozporządzenia są w dużej mierze nieostre i często zależne od indywidualnej interpretacji. W sytuacji, gdy pojawia się dylemat związany z powołaniem Inspektora - zaleca się jego wyznaczenie. Brak IOD w organizacji, która podczas kontroli zostanie sklasyfikowana jako ta, na której spoczywa taki obowiązek, może skutkować wysokimi karami finansowej.

Co więcej, nawet jeśli pewne jest, że posiadanie Inspektora w organizacji nie jest konieczne, warto powołać taką funkcję. Obecność na pokładzie specjalisty z zakresu ochrony danych osobowych pozwoli uniknąć błędów w codziennej pracy, a w sytuacji ewentualnej kontroli - przeprowadzić ją bez narażenia się na zarzuty.

 

LexDigital
Czytaj także
Polecane galerie
dd
2018-06-03 22:55
W biurokratycznym bajzlu, nowy krąg piekielny - RODO.
zys
2018-06-03 19:58
Już nic głupszego nie można było wymyślić !!! Wariacje do potęgi trzeciej !!!
olo_58
2018-05-30 16:04
jak mówi stare chińskie(?) przekleństwo "Obyś żył w ciekawych czasach!" TYLKO DLA CZEGO NA MNIE PADŁO?