Inspektor Ochrony Danych (IOD) to nowa instytucja, która została powołana do życia na mocy RODO. Generalnie można powiedzieć, że Inspektor Ochrony Danych wstępuje na miejsce Administratora Bezpieczeństwa Informacji (ABI). Warto jednak wiedzieć, że kompetencje tych dwóch podmiotów nie są identyczne. Jako, że ten drugi odchodzi do lamusa, to dzisiaj skupimy się tylko na opisaniu czym zajmuje się Inspektor Ochrony Danych.
Pojawiło się wiele mitów na temat IOD, dlatego w tym artykule odpowiemy na pytania:
- Po co w firmie taka osoba jak Inspektor Ochrony Danych?
- Jakie uprawnienia i obowiązki ma Inspektor Ochrony Danych?
- Kto może być Inspektorem Ochrony Danych?
- Dlaczego warto skorzystać z outsourcingu funkcji IOD?
Inspektor Ochrony Danych – kim jest?
Inspektor Ochrony Danych to osoba powoływana przez administratora lub procesora (podmiot przetwarzający) do pomocy przy przestrzeganiu w przedsiębiorstwie przepisów o ochronie danych osobowych. Można użyć sformułowania, że IOD jest centralnym punktem we wszystkich sprawach dotyczących danych osobowych.
Jak mówią przepisy Inspektor Ochrony Danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych. Nasze dotychczasowe doświadczenia pokazują, że funkcja ta powinna być powierzana z rozmysłem. Inspektor ma na tyle odpowiedzialne zadania z punktu widzenia przedsiębiorcy, aby dzięki swojej wiedzy potrafił wyrobić sobie autorytet potrzebny do wykonywania swoich zadań. Nie może być on jak trzcina na wietrze. Jego doświadczenie powinno być drogowskazem dla przedsiębiorcy. Pozwolić mu rozwijać działalność w zgodzie z RODO.
Z jednej strony Inspektor wspiera procesy na danych w firmie. Czyli ma ważne zadania wewnątrz samej organizacji. Spełnia funkcję doradczą i konsultacyjną. Do jego obowiązków należy w szczególności analizowanie zawieranych umów i wprowadzanie do nich odpowiednich klauzul. Powinien dbać o ciągłą aktualność procesów w ochronie danych osobowych zgodnie z zasadą privacy by design. Tak jak mogliście przeczytać w innym wpisie przedsiębiorca powinien wdrażać odpowiednie środki nie tylko przy określaniu sposobów przetwarzania, lecz także w czasie samego przetwarzania. Czyli de facto przez cały czas. Nie jest tak, że raz przyjęte zasady będą adekwatne (odpowiednie) w przyszłości. Inspektor przejmuje zatem funkcję doradcy dla pracowników i współpracowników na temat tego, jak przestrzegać przepisów o ochronie danych osobowych.
Oprócz czynności doradczych IOD ma także zadania kontrolne. Powinien on nadzorować jak przyjęte zasady ochrony danych są przestrzegane w przedsiębiorstwie. Dlatego RODO zapewnia Inspektorowi niezależność od przedsiębiorcy. W naszym odczuciu „niezależność” nie oznacza jednak kompletnego oderwania od rzeczywistości i realiów panujących w firmie. Nie jest bynajmniej równoznaczny z pozycją konfrontacji z przedsiębiorcą. Świadcząc usługi dla firm zawsze proponowane rozwiązania konsultujemy ze swoimi Zleceniodawcami. Konsensus i wytłumaczenie pewnych kwestii jest często dużo bardziej efektywne niż narzucony z góry nakaz.
Z drugiej strony Inspektor Ochrony Danych ma obowiązki na zewnątrz firmy. Przede wszystkim jest punktem kontaktowym dla osób, których dane są przetwarzane przez przedsiębiorcę. Udziela odpowiedzi na pytania klientów, przyjmuje i rozpatruje ich skargi, a także rozpatruje ich prośby lub wnioski. Wyręcza w tym zakresie samego przedsiębiorcę lub innych jego pracowników.
Oprócz punktu kontaktowego dla klientów firmy, Inspektor Ochrony Danych jest również podmiotem, który w imieniu przedsiębiorcy kontaktuje się z Prezesem Urzędu Ochrony Danych. Informuje go o incydentach w zakresie ochrony danych, uczestniczy w kontrolach, a także przesyłam interpelacje i zapytania.
Kiedy należy powołać IOD?
RODO wymienia przypadki, kiedy przedsiębiorca musi powołać w swojej firmie Inspektora Ochrony Danych.
art. 37 RODO: 1. Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy: a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10. |
Obowiązek ten dotyczy zatem wszystkich większych firm. Wymienione pojęcia są jednak na tyle ogólne, że nie sposób z góry odpowiedzieć kto ma taki obowiązek. Jak mawiają specjaliści – jeżeli ktoś się zastanawia, czy ma taki obowiązek, to najprawdopodobniej ma. Nawet państwowe organy mają kłopot z dookreśleniem konkretnych grup podmiotów, dlatego należy indywidualnie oceniać każdy konkretny przypadek.
Grupa Robocza art. 29, czyli europejscy specjaliści z zakresu ochrony danych osobowych, sugeruje, aby przy ocenie czy mamy do czynienia z dużą skalą uwzględnić:
- liczbę podmiotów danych, których dotyczy przetwarzanie,
- zakres danych lub zakres różnych elementów danych przetwarzanych,
- okres przetwarzania danych,
- geograficzny zasięg czynności przetwarzania.
Wśród przykładów „dużej skali” Grupa wymieniła:
- przetwarzanie danych osobowych pacjenta przez szpital,
- przetwarzanie danych osobowych osób korzystających ze środków publicznego transportu,
- przetwarzanie danych osobowych przez banki i ubezpieczycieli,
- przetwarzanie danych osobowych dla reklamy behawioralnej przez wyszukiwarki internetowe,
- przetwarzanie danych osobowych (treść, ruch, lokalizacja) przez dostawcę i operatora usług internetowych lub telefonicznych.
Całość wystąpienia Grupy możecie znaleźć pod tym adresem.
Dlaczego warto skorzystać z outsourcingu funkcji IOD?
Nic nie stoi na przeszkodzie, aby zadania z zakresu ochrony danych osobowych wykonywał w firmie wyznaczony pracownik. Należy jednak pamiętać, że powinien on cechować się wysoką znajomością przepisów z zakresu ochrony danych osobowych, w tym znajomością rozporządzenia RODO oraz pomimo pozostawania w stosunku pracy, powinien być niezależny od pracodawcy.
Dlatego uważamy, że funkcję Inspektora Ochrony Danych lepiej jest powierzyć zewnętrznej firmie. Wiąże się to dla przedsiębiorcy z szeregiem zalet. Przede wszystkim zewnętrzny Inspektor Ochrony Danych nigdy nie będzie posądzony o stronniczość – jako odrębny podmiot gospodarczy cechuje go swoboda i niezależność w podejmowanych działaniach. Przedsiębiorca nie zostanie zatem posądzony przez organ nadzorczy o pozorność działań w zakresie ochrony danych osobowych. Co więcej outsourcing funkcji Inspektora Ochrony Danych daje gwarancję najwyższych kompetencji.
Zewnętrzny Inspektor Ochrony Danych daje również możliwość skupienia się na bieżącym funkcjonowaniu firmy w jej głównym przedmiocie działalności. Funkcja zewnętrznego Inspektora Danych Osobowych świadczona przez inny podmiot gospodarczy pozwala również obniżyć koszty prowadzonej działalności.
Co więcej powołanie zewnętrznego Inspektora Ochrony Danych, w dzisiejszych realiach, znacząco wpływa na wiarygodność firmy w obrocie gospodarczym. W przyszłości może natomiast stać się realną przewagą konkurencyjną.
Wśród naszych propozycji współpracy znajduje się również outsourcing usług IOD. W razie jakichkolwiek pytań lub sugestii zapraszamy do kontaktu.