Warszawa, 14.08.2018 r.
Informacja prasowa
RODO ukształtowało nowe stanowisko – inspektora ochrony danych (IOD), wzbudza ono wątpliwości i pytania dotyczące tego, kto może ubiegać się o pełnienie tej funkcji, a także kiedy należy go powołać. Obowiązek ustanowienia IOD nałożony został na organy lub instytucje publiczne (z wyjątkiem sądów) oraz podmioty, których główna działalność polega na operacjach przetwarzania na dużą skalę danych osobowych, które ze względu na swój charakter, zakres czy cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą lub przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych bądź danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Czym zajmuje się Inspektor Ochrony Danych?
Fachowe wsparcie administratorów danych, czyli przedsiębiorców – to określenie odzwierciedlające rolę IOD-a, co oznacza jednak w praktyce? Zadania inspektora określone zostały w art. 39 ust. 1 RODO. Wśród nich znajdują się m.in. obowiązek informowania administratora, podmiotu przetwarzającego oraz ich pracowników przetwarzających dane osobowe o spoczywających na nich obowiązkach na gruncie RODO oraz innych przepisów Unii Europejskiej lub państw członkowskich o ochronie danych. Co więcej, do jego obowiązków należy także monitorowanie przestrzegania RODO oraz innych aktów prawnych z tego zakresu.
Rola inspektora ochrony danych nie sprowadza się wyłącznie do kontrolowania oraz monitorowania prawidłowego przebiegu informacji w danej organizacji. Jego funkcja jest znacznie bardziej rozbudowana, ponieważ staje się on niejako łącznikiem pomiędzy organizacją a organem nadzorczym, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych, w kwestiach związanych z przetwarzaniem danych osobowych. Stanowi on również punkt kontaktowy dla osób, których dane dotyczą – mówi Paweł Domagała, specjalista ds. ochrony danych, ODO 24
Jakie kompetencje musi posiadać oraz kto może zostać IOD?
Zgodnie z art. 37 ust. 6 RODO IOD może być członkiem personelu administratora lub podmiotu przetwarzającego, albo wykonywać zadania na podstawie umowy o świadczenie usług.
Specjalistyczna wiedza na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz operacji przetwarzania danych i systemów informatycznych to obowiązkowe kryterium będące wyznacznikiem tego, czy osoba może ubiegać się o stanowisko IOD-a. Warto jednak pamiętać, że wymagany poziom wiedzy fachowej nie został określony w żadnym dokumencie, należy go zatem oceniać indywidualnie w każdym przypadku – wskazuje Paweł Domagała, specjalista ds. ochrony danych, ODO 24
Jednym z możliwych rozwiązań jest powierzenie stanowiska IOD-a pracownikowi organizacji. Za takim rozwiązaniem przemawia przekonanie, że osoba z wnętrza organizacji cechuje się dobrą znajomością firmy, jej struktury oraz pozostałych pracowników, a także realizuje swoje zadania w czasie pracy, co za tym idzie, jest stale dostępna w organizacji.
Niezwłoczna reakcja w przypadku naruszenia ochrony danych osobowych, a także realizacja zadań w obszarze formalnoprawnym oraz IT na wysokim poziomie to jedne z wielu pozytywnych aspektów tego modelu.
RODO nałożyło na przedsiębiorców wiele nowych obowiązków, w tym także ten dotyczący powołania IOD-a. Należy zaznaczyć jednak, że nawet kiedy firma nie została zobowiązana do tego prawnie, powołanie stanowiska IOD-a może mieć pozytywny wydźwięk wizerunkowy – organizacja będzie postrzegana w środowisku jako ta dbająca o bezpieczeństwo danych osobowych swoich klientów i kontrahentów, a tym samym będzie chętniej wybierana jako podwykonawca usług, w ramach których będzie pełnić rolę podmiotu przetwarzającego. Nie należy pominąć faktu ewentualnej urzędowej kontroli, IOD (własny czy z outsourcingu) to domniemanie należytej ochrony danych osobowych.
ODO 24 sp. z o. o. oferuje kompleksowe rozwiązania w zakresie ochrony danych osobowych i bezpieczeństwa informacji. Dzięki doświadczonemu zespołowi ekspertów z zakresu m.in. prawa, informatyki, zarządzania kryzysowego oraz ciągłości działania dostarcza organizacjom praktyczne rozwiązania, pozwalające skutecznie zabezpieczyć posiadane zasoby informacyjne.