pexels-pixabay-327540 (1)

Jakie obowiązki ma IOD?

Inspektor ochrony danych...

Kim jest i właściwie czego on chce? Wszyscy o nim słyszeli, ale nie do końca wiedzą czym się tak naprawdę zajmuje i jaką rolę pełni w organizacji. I właściwie to po czyjej stronie on jest? W poniższym wpisie postaramy się rozwiać wszelkie wątpliwości i wyjaśnić Ci, jakie obowiązki ma Inspektor ochrony danych.

IOD pełni kilka kluczowych funkcji w organizacji. Przede wszystkim jest doradcą, pośrednikiem, a także osobą, która weryfikuje czy ADO oraz jego pracownicy przestrzegają przepisów o ochronie danych osobowych. Na czym polegają poszczególne role? Wyjaśniamy poniżej.

1. PO PIERWSZE – IOD PEŁNI ROLĘ INFORMACYJNO-DORADCZĄ

Inspektor ochrony danych informuje Administratora oraz jego pracowników o obowiązkach spoczywających na nich na mocy RODO i innych przepisach o ochronie danych osobowych i doradza im w tej sprawie. Ponadto prowadzi działania zwiększające świadomość, w tym szkolenia personelu.
Jest to proces ciągły i powtarzalny.

Kolejnym zadaniem IOD jest udzielanie na żądanie Administratora zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania.

ADO powinien konsultować się z IOD w następujących kwestiach:

  • Czy należy przeprowadzić ocenę skutków dla ochrony danych?
  • Jaką przyjąć metodologię przeprowadzenia oceny skutków dla ochrony danych?
  • Czy należy przeprowadzić wewnętrzną ocenę, czy też zlecić ją podmiotowi zewnętrznemu?
  • Jakie zastosować zabezpieczenia w celu łagodzenia zagrożeń praw i interesów osób, których dane dotyczą?
  • Czy ocena skutków została przeprowadzona prawidłowo i czy jej wyniki są zgodne z RODO?

Jeśli ADO nie zgadza się z zaleceniami IOD, do czego ma prawo, dokumentacja oceny skutków powinna zawierać pisemne uzasadnienie nieuwzględnienia zaleceń IOD.

2. PO DRUGIE – IOD PEŁNI ROLĘ WERYFIKACYJNĄ wobec działań ADO i jego pracowników

Inspektor ochrony danych monitoruje czy Administrator oraz jego pracownicy przestrzegają RODO i inne przepisy o ochronie danych osobowych oraz polityki ADO. Innymi słowy sprawdza, czy ochrona danych naprawdę działa, czy jest to tylko fikcja. Weryfikacja może być dokonywana poprzez audyty. 
Jest to proces ciągły i długofalowy.

Monitorowanie to:

  • Zbieranie informacji w celu identyfikacji procesów przetwarzania.
  • Analizowanie i sprawdzanie zgodności przetwarzania.
  • Informowanie, doradzanie i rekomendowanie określonych działań.

3. PO TRZECIE – IOD PEŁNI ROLĘ POŚREDNIKA

Współpraca z PUODO.

IOD jest łącznikiem pomiędzy ADO ↔ PUODO. 

Inspektor ochrony danych powinien współpracować z Prezesem Urzędu Ochrony Danych Osobowych w kwestiach związanych z ochroną danych oraz w stosownych przypadkach zwracać się do niego. Co to w praktyce oznacza? Innymi słowy, aby wyjaśnić, to IOD będzie się kontaktował w imieniu Administratora z UODO, a nie sam Administrator. Jeżeli ADO chciałby skonsultować się w jakiejś sprawie z UODO, to w pierwszej kolejności powinien zwrócić się do IOD o poradę. Później to właśnie IOD powinien w imieniu ADO wystąpić o konsultacje do UODO, jeżeli będzie to konieczne.

W skrócie Inspektor ochrony danych:

  • pełni funkcję punktu kontaktowego dla PUODO,
  • wspomaga ADO w wykazaniu zasadności wybranych rozwiązań przed UODO,
  • jest punktem kontaktowym w zakresie naruszeń przed UODO,
  • jest punktem kontaktowym w zakresie uprzednich konsultacji.

Współpraca z osobami, których dane dotyczą.

IOD jest łącznikiem pomiędzy ADO ↔ osoba, której dane dotyczą.

  • IOD pełni rolę punktu kontaktowego dla osób, których dane dotyczą.
    To z Inspektorem w pierwszej kolejności powinny się kontaktować osoby w sprawie swoich danych osobowych.

Jakie obowiązki ma Inspektor ochrony danych?

Zadania IOD w RODO zostały przedstawione w sposób ogólny. W rezultacie więc nie został wskazany tryb oraz terminy ich realizacji. 

Należy mieć na uwadze to, że odpowiedzialny za wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiedni stopień bezpieczeństwa oraz wykazanie, że przetwarzanie odbywa się zgodnie z przepisami o ochronie danych osobowych, jest Administrator. A więc to on podejmuje ostateczne decyzje. 

Podsumowując, aby współpraca układała się owocnie, Administrator powinien zapewnić swój czas Inspektorowi. Na pewno bez zaangażowania ADO prawidłowe funkcjonowanie organizacji nie będzie miało miejsca.

Wyjaśniliśmy już, jakie zadania ma IOD. Pozostało odpowiedzieć jeszcze na jedno pytanie: Po czyjej stronie jest IOD?

Inspektor ochrony danych ma służyć dobru organizacji. Innymi słowy, zależy mu na tym, aby organizacja, którą się opiekuje działała zgodnie z przepisami o ochronie danych osobowych. Dlatego wszelkie rekomendacje, uwagi i zalecenia kierowane do ADO lub jego pracowników są wydawane w celu polepszenia funkcjonowania jednostki. Co najważniejsze Inspektor zwraca uwagę na to, aby organizacja działała zgodnie z RODO i innymi przepisami o ochronie danych osobowych. Dodatkowo IOD dba o to, aby ADO mógł wywiązać się z obowiązku rozliczalności wobec UODO. Z całą pewnością IOD działa na korzyść organizacji, którą się opiekuje.

Na zakończenie warto dodać, że IOD musi być niezwłocznie włączany we wszystkie sprawy organizacji dotyczące ochrony danych osobowych. Ważnym aspektem jest fakt, że IOD nie może otrzymywać od ADO instrukcji dotyczących wykonywania swoich zadań. IOD bezpośrednio podlega najwyższemu kierownictwu organizacji.

Źródło: https://uodo.gov.pl/pl/225/662