Inspektor Ochrony Danych (IOD), czyli kto? Jakie są jego obowiązki i kto musi go powołać?

Zgodnie z motywem 97 Rozporządzenia (RODO) Inspektor Ochrony Danych to osoba dysponującą fachową wiedzą na temat prawa i praktyk w dziedzinie ochrony danych powoływana przez administratora danych osobowych lub podmiot przetwarzający w celu wspomagania wewnętrznego przestrzegania przepisów RODO.

Według Wikipedii Inspektor Ochrony Danych (IOD) to osoba fizyczna wspierająca administratora danych w realizacji obowiązków dotyczących ochrony danych osobowych. Z tych wyjaśnień wynika że Inspektor to specjalistyczna funkcja, która działa w organizacji administratora lub podmiotu przetwarzającego. IOD nadzoruje i wspiera prawidłowość działań administratora lub podmiotu przetwarzającego dane osobowe.

Obowiązki Inspektora Ochrony Danych

Zadania Inspektora Ochrony Danych zostały opisane w art. 39 ust. 1 RODO, ale jakie zadania ma w praktyce? Praktyka pokazała że większość IOD oprócz zadań obligatoryjnych (zapisanych w RODO) wykonuje zadania fakultatywne (nieobowiązkowe). 

Lista zadań obligatoryjnych Inspektora Ochrony Danych (art. 39 ust. 1 RODO):

• współpraca z organem nadzorczym (Prezesem UODO);
• pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, również wynikających z uprzednich konsultacji z organem nadzorczym, oraz – w stosownych przypadkach – prowadzenie konsultacji we wszelkich innych sprawach;
• pełnienie funkcji punktu kontaktowego dla podmiotów danych (osoby, których dane dotyczą, mogą kontaktować się z Inspektorem Ochrony Danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz wykonywaniem praw przysługujących im na mocy RODO – art. 38 ust. 4 RODO);
• informowanie Administratora / Podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów o ochronie danych, jak również doradzanie im w tej sprawie. IOD występuje tutaj w potrójnej roli: wskazuje obowiązki, rekomenduje sposób ich wykonania, a następnie ocenia poprawność realizacji;
• monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich oraz polityk administratora w dziedzinie ochrony danych osobowych, w tym: podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z nimi audyty. W tym zakresie istotne będzie:

• zbieranie informacji w celu identyfikacji procesów przetwarzania;
• analizowanie i sprawdzanie zgodności przetwarzania;
• informowanie, doradzanie i rekomendowanie określonych działań;
• udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie wykonania tej oceny zgodnie z art. 35 RODO. Dokonując oceny, Administrator powinien konsultować się z IOD w następujących kwestiach:

• konieczności przeprowadzenia oceny skutków dla ochrony danych oraz metodologii tej oceny;
• wyboru między przeprowadzeniem wewnętrznej oceny a zleceniem jej podmiotowi zewnętrznemu;
• zabezpieczeń (w tym środków technicznych i organizacyjnych) stosowanych do łagodzenia zagrożeń praw i interesów osób, których dane dotyczą;
• prawidłowości przeprowadzonej oceny skutków dla ochrony danych i zgodności jej wyników z RODO (czy należy kontynuować przetwarzanie, czy też nie, oraz jakie zabezpieczenia należy zastosować).

Do fakultatywnych zadań inspektora należą (nieobowiązkowe zadania):

• Koordynowanie całego procesu oceny skutków dla ochrony danych osobowych.
• Opracowywanie i aktualizacja polityk ochrony danych
• Administrowanie oraz kontrola upoważnień do przetwarzania danych osobowych, w tym prowadzenie rejestru nadanych upoważnień.
• Przygotowywanie lub opiniowanie umów powierzenia przetwarzania danych osobowych, w tym prowadzenie ich rejestru zawartych umów.
• Udział w procesach związanych z naruszeniami ochrony danych osobowych, w tym prowadzenie rejestru naruszeń, prowadzenie postępowania wyjaśniającego, dokonywanie oceny naruszenia, koordynowanie zgłoszenia naruszenia Prezesowi UODO oraz osobom, których dane dotyczą.
• Opracowywanie treści klauzul informacyjnych, klauzul zgód na przetwarzanie danych osobowych, oraz innych klauzul / postanowień związanych z przetwarzaniem danych osobowych (np. postanowień w zakresie współadministrowania).
• Prowadzenie rejestru czynności przetwarzania danych osobowych.
• Prowadzenie rejestru kategorii czynności przetwarzania dokonywanych w imieniu innego administratora danych.
• Udział w procesie realizacji praw osób, których dane dotyczą, w tym udzielanie odpowiedzi na zapytania, prowadzenie wszelkiej korespondencji, spotkania z osobami realizującymi swoje prawa.
• Reagowanie na skargi osób, których dane dotyczą, w tym prowadzenie korespondencji ze skarżącym, opracowywanie treści pism w toku postepowania.
• Udział w postępowaniach administracyjnych oraz sądowych prowadzonych w związku ze skargami osób, których dane dotyczą bądź innymi naruszeniami RODO.
• Udział w procesach certyfikacji oraz przystępowania do funkcjonujących kodeksów postępowania.
• Kontrola podmiotów przetwarzających.

Katalog fakultatywnych zadań nie ma charakteru zamkniętego. Istotne jest jedynie, aby wykonywanie tych zadań nie powodowało konfliktu interesów ani nie naruszało zasady niezależności IOD. 

Kto ma obowiązek powołania Inspektora Ochrony Danych?

Możliwość lub obowiązek powołania Inspektora Ochrony Danych wynika z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływie takich danych (Dz. Urz. UE L 2016 Nr 119, str. 1) (inaczej RODO). Obowiązkowe powołanie Inspektora Ochrony Danych zgodnie z RODO występuje w trzech przypadkach, gdy:

• przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
• główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
• główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Przepisy zostały skonstruowane w taki sposób, aby obowiązek wyznaczenia Inspektora Ochrony Danych był wszędzie tam, gdzie danych osobowych jest dużo lub/i powinny być szczególnie chronione. RODO nie zawiera żadnych przeciwskazań co do powołania IOD w przypadku, gdy organizacja nie ma takiego obowiązku. Dobrowolne wyznaczenie IOD ma wiele korzyści dla organizacji między innymi: wiemy kto w organizacji jest odpowiedzialny za spełnienie obowiązków wynikających z RODO, usprawnić procesy obsługi klientów (zbierania i przetwarzania danych osobowych), a tym samym zyskać przewagę na konkurencją, działać zgodnie z prawem i uniknąć dotkliwych kar finansowych. Urząd Ochrony Danych wręcz zachęca do powoływania IOD z uwagi na fakt, że taka praktyka podnosi poziom bezpieczeństwa danych osobowych. 

Komu powierzyć funkcję IOD –  pracownikowi czy podmiotowi zewnętrznemu?

Inspektor Ochrony Danych Osobowych może być pracownikiem administratora lub podmiotu przetwarzającego albo wykonywać zadania na podstawie umowy o świadczenie usług. Nowe wytyczne opublikowane na stronie UODO (https://uodo.gov.pl/pl/223/2050) mówią, że wykonywanie zadań IOD przez osobę, która nie jest członkiem personelu administratora powinno następować na podstawie umowy o świadczenie usług, nie potrzebna jest umowa powierzenia danych. 

Administrator powinien pamiętać, by Inspektor Ochrony Danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych w organizacji. Powinien zapewnić m.in., aby:

• IOD uczestniczył w podejmowaniu decyzji mających wpływ na ochronę danych wspólnie podczas zmian w organizacji,
• IOD mógł zapoznać się z niezbędnymi informacjami, które powinny zostać mu odpowiednio wcześniej udostępnione,
• opinia IOD była zawsze należycie uwzględniana w działalności organizacji, 
• w przypadku stwierdzenia naruszenia ochrony danych lub innego incydentu, następowała niezwłoczna konsultacja z IOD.

Podsumowanie

Bezsprzecznie administrator lub podmiot przetwarzający, działając we własnym interesie, powinien powołać osobę, która ma wiedzę i umiejętności pozwalające na prowadzenie skutecznego nadzoru nad administrowanymi przez niego danymi osobowymi. Przepisy RODO nie wprowadzają wymogu posiadania przez IOD jakichkolwiek certyfikatów, czy poświadczeń ukończenia odpowiednich szkoleń itp., jednak tego typu dokumenty mogą być pomocne administratorowi w dokonaniu oceny spełniania przez inspektora ochrony danych kryterium doświadczenia i odpowiednich kwalifikacji. Oceny wiedzy fachowej na temat prawa oraz praktyki w obszarze ochrony danych osobowych warto dokonywać również w kontekście specyfiki, jak również konkretnych potrzeb administratora, w tym rodzaju i stopnia zagrożeń, jakie określona działalność może nieść dla praw i wolności podmiotów danych.