Inspektor Ochrony Danych Osobowych

Kim jest Inspektor Ochrony Danych Osobowych zwany potocznie IODem? Czy każda firma powinna go posiadać? O tym dzisiaj. Zanim jednak przejdziemy do sedna to kilka faktów wstępem:

Artykuł “Inspektor Ochrony Danych Osobowych” jest częścią cyklu RODO. Wcześniejsze materiały znajdziesz w tym miejscu – https://blog.askomputer.pl/category/rodo/


Ochrona danych na nowych zasadach

Wszyscy to dokładnie pamiętamy. Dzień 25 maja 2018 roku. Tzw. Day Zero wejścia w życie GDPR, zwanego inaczej RODO. Oj, jaka panika wtedy się pojawiła. Do czasu Koronawirusa to właśnie RODO było największym złem w oczach każdego przedsiębiorcy.

RODO wprowadziło zmiany w obowiązujących wcześniej przepisach w zakresie powoływania Administratora Bezpieczeństwa Informacji, który na gruncie nowej, unijnej regulacji, ustąpił miejsca Inspektorowi Ochrony Danych Osobowych.

By była jasność nie chodzi o tego Yoda 😉

Baby Yoda sprawdzi cierpliwoć fanów - Puls Biznesu - pb.pl

inspektor ochrony danych osobowych

W dzisiejszym artykule postaram się przybliżyć enigmatyczną sylwetkę Inspektora Ochrony Danych Osobowych. Dowiesz się dziś:

  • jakie są kryteria jego powołania IODa?
  • czy zawsze jest to konieczne?
  • co należy do jego obowiązków
  • kto może sprawować w firmie taką funkcję?
  • na koniec dowiesz się jak wygląda procedura zgłaszania IOD do Urzędu Ochrony Danych Osobowych, oraz terminarz czynności związanych z powoływaniem i zgłaszaniem Inspektora do Urzędu.

Kiedy Inspektor Ochrony Danych Osobowych jest w firmie wymagany?

Wytyczne w tym zakresie wyznacza treść RODO, a konkretniej art. 37 ust. 1 Rozporządzenia. Niestety, znajdziemy tam dużo nieprecyzyjnych kryteriów.

To co wiemy z z pewnością to do powołania Inspektora Ochrony Danych z zobowiązane będą podmioty, które:

  1. Są organami lub podmiotami publicznymi (poza sądami),
  2. Ich główna działalność skupia się na przetwarzaniu danych osobowych, które uznajemy jako “wrażliwe”.  RODO zalicza do nich dane o pochodzeniu rasowym lub etnicznym, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne, dane dotyczące seksualności, zdrowia lub orientacji seksualnej osoby.
  3. Główną działalność opierają na operacjach przetwarzania na dużą skalę. Przetwarzanie to z uwagi na jego cel, zakres, charakter, wymaga regularnego i systematycznego monitorowania osób, których dane dotyczą.

Wątpliwości…

Warto nadmienić, iż poprzez działalność i przetwarzanie rozumie się nie  tylko działanie podmiotu przetwarzającego dane w roli Administratora Danych Osobowych. Zalicza się tu również działanie w roli podmiotu przetwarzającego – który przetwarza dane na podstawie stosownych umów powierzenia danych zawartych z innymi Administratorami Danych.

Dużo wątpliwości wzbudza natomiast kwestia użycia przez ustawodawcę, pojęć takich jak główna działalność czy duża skala, których interpretacja wydaje się być kluczowa jeżeli chodzi o obowiązek wyznaczenia IOD.

Warto również nadmienić, iż RODO nie zawiera definicji tych pojęć. Z pewnością ułatwiłoby to zrozumienie rozporządzenia, a przedsiębiorcy mieliby mniej wątpliwości.

Nie mniej jednak, z pomocą przychodzą wytyczne Grupy Roboczej art. 29 ds. Danych Osobowych. Mówiąc prościej – organu konsultacyjnego na poziomie unijnym, który wydaje wskazówki i reguły interpretacyjne przepisów rozporządzenia. W ocenie prawników stanowią nieocenioną pomoc w trakcie dokonywania wykładni RODO.

Czym zajmuje się Inspektor Ochrony Danych Osobowych?

Przejdźmy do tego czym poczciwy IOD zajmuje się w firmie? RODO wskazuje, w jakim celu jest powoływany IOD i jakie ciążą na nim obowiązki.

W głównej mierze, wykonuje obowiązek informacyjny wobec podmiotów, u których pełni on funkcję Inspektora Ochrony Danych. Jego domeną będzie  również doradztwo w zakresie prawa ochrony danych osobowych. Konieczne jest, by posiadał odpowiednią wiedzę, by móc udzielać zaleceń w tym zakresie oraz szkolić personel firmy.

IOD kontroluje również i monitoruje przestrzeganie przepisów dotyczących ochrony danych osobowych poprzez przeprowadzanie okresowych audytów zgodności przetwarzania z przepisami obowiązującego prawa.

Inspektor to osoba wyznaczona do współpracy z organem nadzorczym. Tzw PUODO, czyli Prezesem Urzędu Ochrony Danych Osobowych. Stanowi również „punkt kontaktowy” w sprawach dotyczących ochrony danych osobowych – funkcję tę realizuje m. in. poprzez obowiązek określony w art. 11 ustawy o ochronie danych osobowych, tj. udostępnienie danych kontaktowych inspektora na swojej stronie internetowej lub w inny, ogólnodostępny sposób w miejscu prowadzenia działalności.

Kto może zostać powołany na IOD?

Zgodnie z przepisami, do pełnienia funkcji IODa może zostać wyznaczony dotychczasowy pracownik firmy lub osoba z zewnatrz. Tzw. oustsourcing IOD. Jeżeli postanowisz, że rolę ta otrzyma pracownik to należy zadbać , by wykonywane przez niego obowiązki nie powodowały konfliktu interesów z funkcją IOD. Inspektorem nie mogą zostać m.in.:

– członkowie zarządu

– dyrektorzy zarządzający

– główny księgowy

– radca prawny prowadzący obsługę prawną.

Powinna być to osoba charakteryzująca się fachową wiedzą i doświadczeniem z zakresu ochrony danych osobowych.

Warto dodać, że Inspektor Ochrony Danych Osobowych powinien mieć zagwarantowaną pełną niezależność. Tak, by bez przeszkód móc wykonywać ciążące na nim zadania. Z uwagi na powyższe uznaje się, że IOD w trakcie wykonywania swoich obowiązków podlegać powinien jedynie najwyższemu kierownictwu podmiotu przetwarzającego dane. A jego działalność nie może również polegać na stosowaniu się do instrukcji wyznaczonych przez podmiot przetwarzający dane.

Inspektora należy natychmiastowo włączać we wszystkie sprawy z zakresu ochrony danych osobowych. Natomiast podmioty przetwarzające dane powinny mu w tym zakresie służyć wsparciem oraz niezbędnymi informacjami.

Do kiedy należy powołać i zgłosić IOD?

Teoretycznie, jak najszybciej. IOD powinien zostać mianowany natychmiastowo gdy firma zaczyna przetwarzać dane osobowe.  Oczywiście, jeżeli zgodnie z powyższym tekstem okazało się, że w Twojej firmie taka osoba być powinna.

Naturalnie, jeżeli przed wejściem RODO, posiadałeś ABI (Administratora Bezpieczeństwa Informacji) to automatycznie powinieneś mianować IODa. Zrobiłeś tak, prawda? Może to polegać na przekształceniu funkcji dotychczasowego pracownika.

Powołanie IOD powinno zostać zgłoszone do Urzędu UODO (Urząd Ochrony Danych Osobowych) w terminie 14 dni od aktu powołania Inspektora.

 

Jak dokonać zgłoszenia do PUODO?

Inspektor Ochrony Danych Osobowych może zostać zgłoszony przez internet. Szczęśliwie, skończyły się czasy gdy konieczna była wysyłka zgłoszenia pocztą lub co gorsza wizyta  na Stawki w Warszawie 😉 Ci co zajmują się ochroną danych zapewne pamiętają jeszcze wizyty gdy pojawiały się zwroty pocztą.

Zgłoszenia można dokonać w tym miejscu:

https://www.biznes.gov.pl/pl/firma/obowiazki-przedsiebiorcy/chce-chronic-dane-osobowe/proc_871-zawiadomienie-o-wyznaczeniu-nowego-iod

Uwaga! Do prawidłowego dokonania zgłoszenia konieczne będzie rejestracja na stronie www.biznes.gov.pl oraz podpisanie wypełnionego wniosku elektronicznym podpisem kwalifikowanym lub profilem zaufanym.

Na szczęście, to również powoli staje się standardem i zapewne większość osób jest przyzwyczajona do korzystania z podpisu zaufanego.

Kreator

Na stronie znajdziesz dosyć przyjazny kreator. Ten krok po kroku przeprowadzi przez proces zgłoszenia IOD. Konieczne będzie wskazanie imienia i nazwiska osoby IOD oraz adresu e-mail lub numeru kontaktowego.

Po poprawnym wygenerowaniu wniosku, należy podpisać go kwalifikowanym podpisem elektronicznym lub profilem zaufanym.

Warto pamiętać, że w momencie gdy zgłoszenia będzie dokonywane przez pełnomocnika to należy dołączyć do wniosku pełnomocnictwo w formie elektronicznej.

Po podpisaniu wniosku i poprawnym przesłaniu go do Urzędu, wygenerowane zostanie UPP – Urzędowe Poświadczenie Przedłożenia – jest to dowód, potwierdzający dokonanie prawidłowego zgłoszenia IODa do Urzędu.

Pamiętaj również, by powiadomić UODO o ewentualnej zmianie danych kontaktowych Inspektora lub o jego odwołaniu w terminie 30 dni.