Inspektor Ochrony Danych Osobowych w mojej firmie

Inspektor ochrony danych (IOD) to osoba fizyczna, której podstawowym obowiązkiem jest zapewnienie tego, by zatrudniająca ją organizacja przetwarzała dane osobowe swoich pracowników, klientów, dostawców oraz innych osób zgodnie z obowiązującymi przepisami o ochronie danych. 

Powołanie IOD jest obowiązkowe, ale nie zawsze.

Czy moja firma (organizacja) potrzebuje IOD?

Powołanie Inspektora Ochrony Danych jest obowiązkowe dla wskazanych w RODO grup

administratorów danych(i podmiotów przetwarzających). 

Inspektora Ochrona Danych muszą wyznaczyć:

  1. Organy lub podmioty publiczne, czyli jednostki sektora finansów publicznych, np. jednostki samorządu terytorialnego, uczelnie publiczne.
  2. Przedsiębiorcy, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, np. banki i firmy ubezpieczeniowe, firmy przetwarzające dane do celów reklamy behawioralnej przez wyszukiwarki, dostawcy usług telekomunikacyjnych lub internetowych.
  3. Przedsiębiorcy, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i czynów zabronionych, np. firmy świadczące usługi medyczne.

Przepisy zostały skonstruowane w taki sposób, aby IOD był obowiązkowy wszędzie tam, gdzie danych

osobowych jest dużo i są one szczególnie chronione.

Podział ten nie jest  precyzyjny i będą pojawiać się sytuacje niejednoznaczne w swej ocenie.  Dlatego powołanie profesjonalnego IOD zapobiegnie zaistnieniu niemiłych i bolesnych, również finansowo, konsekwencji. 

Pamiętać należy, że czasami IOD powołać po prostu warto, nawet jeśli jego powołanie nie jest obowiązkowe.

Wyznaczenie IOD można potraktować jako dodatkową przewagę konkurencyjną i korzyść marketingową.

Czym zajmuje się Inspektor Ochrony Danych Osobowych?

W głównej mierze, wykonuje obowiązek informacyjny wobec podmiotów, u których pełni on funkcję Inspektora Ochrony Danych. Jego domeną będzie  również doradztwo w zakresie prawa ochrony danych osobowych. Konieczne jest, by posiadał odpowiednią wiedzę, by móc udzielać zaleceń w tym zakresie oraz szkolić personel firmy.

IOD kontroluje również i monitoruje przestrzeganie przepisów dotyczących ochrony danych osobowych poprzez przeprowadzanie okresowych audytów zgodności przetwarzania z przepisami obowiązującego prawa.

Inspektor to osoba wyznaczona do współpracy z organem nadzorczym – PUODO, czyli Prezesem Urzędu Ochrony Danych Osobowych. Stanowi również „punkt kontaktowy” w sprawach dotyczących ochrony danych osobowych – funkcję tę realizuje m. in. poprzez obowiązek określony w art. 11 ustawy o ochronie danych osobowych, tj. udostępnienie danych kontaktowych inspektora na swojej stronie internetowej lub w inny, ogólnodostępny sposób w miejscu prowadzenia działalności.

Kto może zostać powołany na IOD-a, a kto nie może?

Zgodnie z przepisami, do pełnienia funkcji IOD-a może zostać wyznaczony pracownik firmy lub osoba z zewnątrz. Tzw. outsourcing IOD. Jeżeli postanowisz, że rolę ta otrzyma pracownik to należy zadbać, by wykonywane przez niego obowiązki nie powodowały konfliktu interesów z funkcją IOD. 

Inspektorem nie mogą zostać m.in.:

  • członkowie zarządu
  • dyrektorzy zarządzający
  • główny księgowy
  • radca prawny prowadzący obsługę prawną.

Ponad to powinna być to osoba charakteryzująca się fachową wiedzą i doświadczeniem z zakresu ochrony danych osobowych.

Należy dodać, że Inspektor Ochrony Danych Osobowych powinien mieć zagwarantowaną pełną niezależność. Tak, by bez przeszkód móc wykonywać ciążące na nim zadania. Z uwagi na powyższe uznaje się, że IOD w trakcie wykonywania swoich obowiązków podlegać powinien jedynie najwyższemu kierownictwu podmiotu przetwarzającego dane. A jego działalność nie może również polegać na stosowaniu się do instrukcji wyznaczonych przez podmiot przetwarzający dane.

Inspektora należy natychmiastowo włączać we wszystkie sprawy z zakresu ochrony danych osobowych. Natomiast podmioty przetwarzające dane powinny mu w tym zakresie służyć wsparciem oraz niezbędnymi informacjami.

Jak dokonać zgłoszenia do PUODO?

W momencie wyznaczenia IOD Administrator ma obowiązek zgłosić ten fakt do Prezesa Urzędu Ochrony Danych Osobowych. Inspektor Ochrony Danych Osobowych może zostać zgłoszony przez internet. 

Zgłoszenia można dokonać w tym miejscu:

https://www.biznes.gov.pl/pl/firma/obowiazki-przedsiebiorcy/chce-chronic-dane-osobowe/proc_871-zawiadomienie-o-wyznaczeniu-nowego-iod

Uwaga! Do prawidłowego dokonania zgłoszenia konieczne będzie rejestracja na stronie www.biznes.gov.pl oraz podpisanie wypełnionego wniosku elektronicznym podpisem kwalifikowanym lub profilem zaufanym.

Trzeba pamiętać, by powiadomić PUODO o powołaniu, ewentualnej zmianie danych kontaktowych Inspektora lub o jego odwołaniu w terminie 14 dni.

Podsumowując, nasuwa się następująca konkluzja – warto wyznaczyć Inspektora Ochrony Danych nawet jeśli nie jest to wymagane przez przepisy RODO ponieważ Administrator, który nie wyznaczy IOD jest zmuszony pełnić jego obowiązki, a Inspektor Ochrony Danych zadań ma dużo min.: współpraca z PUODO, szkolenie pracowników biorących udział w procesie przetwarzania, ocena naruszeń danych, opracowania i aktualizację polityk ochrony danych, przygotowanie upoważnień, oświadczeń, umów, prowadzenie rejestrów czynności przetwarzania i wiele innych zadań spoczywających na IOD. 

Praca IOD to ciągły proces w zakresie przetwarzania i ochrony danych stanowiącym dodatkowe obowiązki dla wyznaczonego pracownika, mającego również i inne zadania w firmie. Dlatego skorzystanie z usług zewnętrznego, profesjonalnego IOD jest racjonalnym rozwiązaniem – niech każdy zajmuje się tym, do czego posiada kompetencje. 

Ogromną pomocą w wykonywaniu obowiązków Inspektora jest nasz serwis RODO Online (https://rodo-online.eu/)narzędzie zostało stworzone dla IOD oraz ADO umożliwia zdalne zarządzanie dokumentacją, przemyślane funkcjonalności zawarte w serwisie ułatwiły i usystematyzowały wprowadzenie RODO w podmiotach. 

Jeśli masz wątpliwości czy serwis spełni Twoje oczekiwania to skorzystaj z darmowej wersji testowej serwisu w celu zapoznania się szczegółowo z funkcjonalnościami, wystarczy wejść na rodo-nline.eu i kliknąć „ZAŁÓŻ BEZPŁATNE KONTO”, dzięki temu uzyskacie Państwo 14 dniowy dostęp do serwisu.