Poradnik Przedsiębiorcy

Inspektor Ochrony Danych Osobowych - kiedy jest potrzebny?

RODO nakłada na niektórych administratorów danych osobowych obowiązek powołania Inspektora Ochrony Danych Osobowych (IOD). Do wyznaczenia IOD zobowiązane są wszystkie organy państwowe, podmioty przetwarzające dane wrażliwe na duża skalę oraz podmioty, których główna działalność polega na monitorowaniu osób na dużą skalę. Kiedy jest potrzebny Inspektor Ochrony Danych Osobowych?

Kim jest Inspektor Ochrony Danych Osobowych (IOD)?

Inspektor Ochrony Danych Osobowych to osoba powoływana przez administratora lub podmiot przetwarzający do pomocy przy przestrzeganiu w firmie lub organizacji przepisów o ochronie danych osobowych. IOD pełni rolę pośrednika pomiędzy zainteresowanymi podmiotami (Urzędem Ochrony Danych Osobowych, podmiotem przetwarzającym dane oraz osobą, której dane są przetwarzane). Ponadto Inspektor Ochrony Danych Osobowych zapewnia realizację zasady rozliczalności - pomaga przy sporządzaniu oceny ryzyka, czy oceny skutku ochrony danych osobowych.

Zadania Inspektora Ochrony Danych Osobowych to:

  • informowanie administratora, podmiotu przetwarzającego oraz pracowników o obowiązkach w zakresie ochrony danych osobowych wynikających z RODO,

  • doradzanie, jak przestrzegać przepisów o ochronie danych osobowych,

  • monitorowanie przestrzegania przepisów, polityk w zakresie ochrony danych osobowych,  

  • pomaganie przy sporządzaniu oceny ryzyka lub oceny skutków dla ochrony danych osobowych,

  • zachowanie poufności względem wykonywanych zadań w ramach ochrony danych osobowych,

  • pełnienie funkcji punktu kontaktowego dla organu nadzorczego.

Uwaga!

Inspektor Ochrony Danych Osobowych nie ponosi odpowiedzialności za niezgodność z RODO. Obowiązek prawidłowego przestrzegania przepisów o ochronie danych osobowych spoczywa na administratorze lub podmiocie przetwarzającym. IOD można porównać do roli pomocnika, konsultanta.

Kto musi powołać IOD?

Do wyznaczenia IOD zobowiązane są podmioty publiczne, podmioty przetwarzające na dużą skalę dane wrażliwe oraz podmioty, których główna działalność polega na monitorowaniu osób na dużą skalę. Pozostałe podmioty również mogą wyznaczyć IOD, jednak nie jest to dla nich obowiązkowe. Jednak jeśli mimo braku takiego obowiązku, wyznaczą one IOD, to powinny postępować zgodnie wymaganiami dla niego (odnośnie do zadań, roli inspektora).

Grupa Robocza 29, czyli zespół ekspertów powołanych do wydawania wytycznych w zakresie RODO, zaleca, aby jeśli dany podmiot nie ma obowiązku wyznaczania IOD, sporządził dokumentację to uzasadniającą.

Komu powierzyć funkcję IOD -  pracownikowi czy podmiotowi zewnętrznemu?

Inspektor Ochrony Danych Osobowych może być pracownikiem administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.

Grupa przedsiębiorstw może wyznaczyć jednego IOD, jeśli łatwo będzie nawiązać z nim kontakt z każdego z tych podmiotów, z każdej jednostki organizacyjnej. W celu ułatwienia kontaktu podmiot, który wyznaczył inspektora, powinien upublicznić jego dane kontaktowe.

Inspektor Ochrony Danych Osobowych nie jest odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Natomiast może on zostać odwołany w uzasadnionych przypadkach, z przyczyn, jakie mają zastosowanie np. w stosunku pracy czy z umów, np. nękanie, kradzież, poważne naruszenie obowiązków. Dotyczy to inspektorów-pracowników, jak i inspektorów zewnętrznych. RODO nie wyjaśnia, jak i kiedy IOD może zostać odwołany i zastąpiony inną osobą - zależy to od podmiotu, który wyznaczył inspektora.

Jak powołać IOD?

Inspektor Ochrony Danych Osobowych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań w zakresie ochrony danych osobowych.

Obowiązki dla administratorów lub podmiotów przetwarzających związanych z IOD:

  • niezwłoczne włączanie Inspektora Ochrony Danych Osobowych w sprawy związane z ochroną danych osobowych;

  • zapewnienie IOD niezbędnych materiałów, aby mógł on wykonywać swoją rolę, np. dostęp do danych osobowych, operacji przetwarzania oraz dostęp do fachowej wiedzy;

  • zakomunikowanie pracownikom o wyznaczeniu IOD;

  • niewydawanie instrukcji dla IOD, jak ma wykonywać zadania - inspektorzy ochrony danych – bez względu na to, czy są pracownikami administratora – powinni być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny;

  • jeśli inspektorem zostanie jeden z pracowników, należy zapewnić odpowiedni wymiar czasu pracy dla zadań IOD, tak aby te zadania nie kolidowały z pozostałymi obowiązkami.

Administrator lub podmiot przetwarzający muszą opublikować dane kontaktowe inspektora i zawiadomić o nich organ nadzorczy, czyli Prezesa Urzędu Ochrony Danych Osobowych.

Kiedy i kogo należy powiadomić o wyznaczeniu Inspektora Ochrony Danych Osobowych?

O wyznaczeniu IOD należy powiadomić organ nadzorczy, czyli Prezesa Urzędu Ochrony Danych Osobowych. Terminy, w których należy dokonać zawiadomienia, zostały podane w polskiej znowelizowanej ustawie o ochronie danych osobowych.

Jeżeli administrator wyznacza IOD, to powiadomienia należy dokonać:

  • do 1 września 2018 r. - gdy administrator wyznaczył ABI przed 25 maja 2018 r. i decyduje, że ta sama osoba będzie pełnić u niego funkcję Inspektora Ochrony Danych Osobowych (art. 158 ust. 1 i 2 nowej ustawy),

  • do 1 września 2018 r.- gdy administrator wyznaczył administratora bezpieczeństwa informacji (ABI) przed 25 maja 2018 r., ale do pełnienia funkcji Inspektora Ochrony Danych Osobowych chce wyznaczyć inną osobę (art. 158 ust. 1 nowej ustawy),

  • do 31 lipca 2018 r. - gdy administrator nie powołał ABI przed 25 maja 2018 r. (art. 158 ust. 4 nowej ustawy),

  • w terminie 14 dni od dnia wyznaczenia inspektora ochrony danych - gdy administrator nie wyznaczył ABI przed 25 maja 2018 r., ale decyduje się dobrowolnie na wyznaczenie Inspektora Ochrony Danych Osobowych (art. 10 nowej ustawy).

W przypadku podmiotów przetwarzających, które:

  • mają obowiązek wyznaczenia IOD -  powiadomienie powinno nastąpić do 31 lipca 2018 r. (art. 158 ust. 5 nowej ustawy),

  • nie mają obowiązku wyznaczenia IOD, a zdecydują się na powołanie takiej osoby - powiadomienie powinno nastąpić w terminie 14 dni od dnia wyznaczenia (art. 10 ust. 1 nowej ustawy).

W zawiadomieniu o wyznaczeniu IOD należy podać:

  • imię, nazwisko oraz adres e-mail lub numer telefonu inspektora,

  • imię i nazwisko oraz adres zamieszkania - jeśli administratorem lub podmiotem przetwarzającym jest osoba fizyczna,

  • firmę przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, jeśli administratorem lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą,

  • pełną nazwę oraz adres siedziby, w przypadku gdy administratorem lub podmiotem przetwarzającym jest podmiot inny niż wskazany w powyższych punktach,

  • REGON, jeżeli został nadany administratorowi lub podmiotowi przetwarzającemu.

Zawiadomienia o wyznaczeniu IOD należy dokonywać w postaci elektronicznej i opatrzyć kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Po 25 maja 2018 r. na stronie internetowej urzędu będzie udostępniony elektroniczny formularz służący do tego celu.

Zawiadomienie może zostać również dokonane przez pełnomocnika podmiotu wyznaczającego. Do zawiadomienia dołącza się pełnomocnictwo udzielone w formie elektronicznej.