Od kilku lat w Polsce ochrona danych osobowych podlega rygorystycznym zasadom, które wynikają z unijnego rozporządzenia znanego jako RODO i rodzimej ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku.
W myśl tych przepisów wszystkie podmioty zajmujące się przetwarzaniem danych są zobowiązane do stosowania procedur mających na celu ich ochronę przed wyciekiem. Wśród wielu zaleceń jest też powołanie Inspektora ochrony danych. Kim jest taka osoba i jakie ma obowiązki?
Powołanie Inspektora Ochrony Danych
Powołanie Inspektora Danych Osobowych nie jest obowiązkowe dla każdego podmiotu zajmującego się gromadzeniem i przetwarzaniem takich danych. Chociaż jest to zalecenie, które zawierają przepisy o ochronie danych, mniejsze firmy czy instytucje nie mają takiego obowiązku. Nie oznacza to jednak, że nie mogą zastosować tej opcji, jeśli uznają, że jest ona dla nich korzystna i pomoże w zrozumieniu oraz przestrzeganiu zasad.
Powołanie IDO jest natomiast obowiązkowe dla wszystkich dużych podmiotów, a w szczególności podmiotów publicznych, które na wielką skalę przetwarzają wrażliwe dane, tzw. sensytywne. Zaliczają się do nich dane wskazujące na:
- pochodzenie rasowe lub etniczne,
- przekonania religijne,
- orientację seksualną lub seksualność,
- światopogląd,
- przynależność do związków zawodowych,
- poglądy polityczne.
Chodzi także o informacje dotyczące zdrowia oraz dane biometryczne i genetyczne umożliwiające jednoznaczną identyfikację osoby.
Należy tutaj zaznaczyć, że ani unijne rozporządzenie, ani polska ustawa nie określają, czym jest przetwarzanie danych osobowych na dużą skalę. Stosuje się tu subiektywną ocenę zależnie od okoliczności. Inspektor Ochrony Danych Osobowych powinien być powołany w podmiotach zajmujących się regularnym i systematycznym monitorowaniem osób. Do takich podmiotów zaliczają się firmy zajmujące się między innymi:
- obsługą sieci telekomunikacyjnych,
- profilowaniem i ocenianiem dla celów ochrony ryzyka,
- śledzeniem lokalizacji,
- przekierowywaniem poczty elektronicznej,
- mobilnym monitorowaniem danych dotyczących zdrowia,
- monitoringiem wizyjnym,
- marketingiem i reklamą behawioralną.
Wyznaczenie inspektora leży w gestii Administratora Danych, który dokonuje tego na podstawie oświadczenia woli lub w drodze postanowienia zawartego w umowie. Zadaniem AD jest znalezienie odpowiedniej osoby mającej właściwe kwalifikacje i predyspozycje.
Po zatwierdzeniu kandydatury w drodze uchwały lub zarządzenia, w ciągu 14 dni informuje on o powołaniu IOD Prezesa Urzędu Ochrony Danych Osobowych. Zgłoszenia może dokonać elektronicznie, za pośrednictwem formularza dostępnego na stronie UODO. Następnie AD musi zamieścić dane kontaktowe inspektora na stronie internetowej lub w widocznym miejscu publicznym.
Kim jest Inspektor Ochrony Danych?
Inspektor Ochrony Danych jest osobą fizyczną, która łączy interesy trzech stron. Są nimi Administrator Danych Osobowych, właściciel danych oraz Urząd Ochrony Danych Osobowych. Jednocześnie odpowiada za komunikacje pomiędzy tymi stronami, jest organem kontrolnym i doradczym w sprawach dotyczących przestrzegania zasad RODO.
W praktyce oznacza to, że można się do niego zwrócić z dowolnym zapytaniem, poszukać pomocy przy wdrażaniu nowych procedur lub ich opracowywaniu. IOD zajmuje się również szkoleniem personelu mającego dostęp do danych osobowych. Kontroluje też, czy wszystkie czynności wykonywane przez podmiot w zakresie przetwarzania danych są zgodne z RODO.
Na mocy RODO IOD zajmuje stanowisko w hierarchii służbowej firmy zaraz po naczelnym kierownictwie. Oznacza to, że nikomu nie podlega i w większości kwestii jest całkowicie niezależny. Nie można go też zwolnić ani ukarać za wykonywanie obowiązków zgodnie z RODO, ale wbrew praktykom firmy. Wysokie stanowisko Inspektora Ochrony Danych znacznie skraca drogę decyzyjną i czas reakcji w sytuacji, gdy dojdzie do naruszenia ochrony danych.
Kto może zostać Inspektorem Ochrony Danych?
Chociaż przepisy nakładają obowiązek powołania Inspektora Ochrony Danych, nie precyzują, kto może pełnić taką funkcję. Teoretycznie może nim być każda osoba, która – zdaniem Administratora Danych – nadaje się do tego. Warto jednak zaznaczyć, że – ze względu na pełnione zadania i rolę doradczą oraz kontrolną – powinna to być osoba, które ma odpowiednią wiedzę oraz predyspozycje.
Wiedza musi obejmować zarówno przepisy RODO i zasady ich wdrażania, jak i informacje branżowe, biznesowe, z zakresu prawa czy dydaktyki. IOD może być wewnętrzny, wybrany spośród pracowników firmy oraz zewnętrzny – pochodzący z firmy świadczącej usługi na zasadzie outsourcingu.
Sprawdź wpis: Jak wdrożyć RODO w firmie?
Zadania Inspektora Ochrony Danych
Zgodnie z przepisami Inspektor Ochrony Danych wykonuje sześć podstawowych zadań. Są to:
- informowanie i doradzanie Administratorowi Danych i podmiotowi przetwarzającemu dane w kwestiach związanych z RODO,
- pomoc procesorowi i pracownikom w kwestiach takich jak przestrzeganie przepisów RODO czy proces przetwarzania danych,
- monitorowanie zgodności wewnętrznych procedur i procesów ze wszystkimi przepisami prawa dotyczącymi ochrony danych,
- szkolenie personelu, który będzie przetwarzać dane osobowe,
- udzielanie zaleceń co do oceny skutków dla ochrony danych oraz nadzorowanie ich realizacji,
- pełnienie funkcji punktu kontaktowego dla osób fizycznych, organów ochrony danych oraz Prezesa UODO w kwestiach związanych z ochroną danych osobowych.
Inspektor Ochrony Danych uczestniczy we wszelkich działaniach podejmowanych przez podmiot, a dotyczących przetwarzania danych osobowych oraz ich ochrony. Jeden inspektor może pełnić tę funkcję w kilku podmiotach pod warunkiem, że dysponuje czasem i możliwościami fizycznymi, które pozwolą mu wypełniać obowiązki wynikające z RODO.