Kim jest Inspektor Ochrony Danych?

Zanim zagłębimy się w szczegóły, ustalmy, kim właściwie jest Inspektor Ochrony Danych (IOD). IOD jest definiowany przez zadania i rolę, jaką pełni w organizacji, do której został powołany. Możemy ogólnie powiedzieć, że głównym zadaniem IOD jest wspieranie administratora danych lub podmiotu przetwarzającego poprzez zapewnienie, że wszelkie operacje przetwarzania danych w organizacji odbywają się zgodnie z obowiązującymi przepisami o ochronie danych. Rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. (RODO), zgodnie z art. 38 ust. 1, nakłada na administratora danych i podmiot przetwarzający obowiązek właściwego i niezwłocznego angażowania IOD we wszystkie sprawy dotyczące przetwarzania i ochrony danych osobowych. W dalszej części artykułu omówimy szczegółowe zadania IOD.

Jednakże, co również należy podkreślić na samym początku, to unikalna pozycja IOD w danej organizacji. Inspektor Ochrony Danych jest osobą, która raportuje bezpośrednio do najwyższego kierownictwa i dostarcza im nowej perspektywy biznesowej, nadzorując nie tylko bieżące procesy, ale także koordynując wdrażanie nowych rozwiązań związanych z przetwarzaniem danych. Wynika z tego m.in., że IOD:

  • nie ma konfliktu obowiązków ani interesów (nie powinien pełnić innych ról w organizacji, które mogłyby utrudniać realizację zadań IOD)
  • nie otrzymuje żadnych poleceń zadań, nie można go zwolnić ani ukarać za wykonywanie zadań
  • wymaga odpowiedniego wsparcia i zasobów do wypełnienia swoich obowiązków
  • zobowiązuje się do zachowania poufności.

Czy musisz powołać Inspektora Ochrony Danych?

RODO wskazuje następujące przypadki, w których powołanie IOD jest obowiązkowe:

  • gdy główna działalność administratora danych lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (np. danych ujawniających poglądy polityczne lub danych związanych ze zdrowiem przetwarzanych przez szpitale), a także danych osobowych dotyczących wyroków skazujących i naruszeń prawa
  • gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swoją naturę, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (np. profilowanie i ocena osób w ramach oceny ryzyka, w celu przyznania zniżki na składki ubezpieczeniowe)
  • gdy przetwarzanie jest realizowane przez organ publiczny lub podmiot, z wyjątkiem sądów.

Podczas gdy organy publiczne mają ogólny obowiązek powołania IOD, inne organizacje mogą mieć wątpliwości. W każdym przypadku, jednakże, ten obowiązek powstaje tylko w przypadku przetwarzania danych na dużą skalę.

Przetwarzanie danych na dużą skalę

Niestety, RODO nie zawiera definicji przetwarzania danych na dużą skalę. Zgodnie z wytycznymi dotyczącymi oceny skutków ochrony danych, aby ustalić, czy dane są przetwarzane na dużą skalę, należy wziąć pod uwagę następujące czynniki:

  • liczba osób, których dane dotyczą (wszystkie kategorie – klienci, kontrahenci i ich przedstawiciele, pracownicy, współpracownicy, osoby w zasięgu monitoringu itp.)
  • ilość danych lub zakres przetwarzanych danych
  • czas trwania lub trwałość działań przetwarzania danych
  • zasięg geograficzny działań przetwarzania (lokalizacje fizyczne kontrolowane przez Twoją organizację obejmujące cykl życia danych)

Jeśli mimo powyższych wytycznych nadal masz wątpliwości, zawsze wybierz lub zarekomenduj bezpieczne rozwiązanie, jakim jest powołanie IOD, ale pamiętaj, aby nie wahać się zadzwonić na infolinię lokalnego organu nadzorczego ochrony danych – nie musisz wskazywać tożsamości organizacji, którą reprezentujesz.

Powołanie Inspektora Ochrony Danych

Ze względu na funkcje, jakie ma pełnić IOD, a które polegają na wspieraniu administratora danych lub podmiotu przetwarzającego w wdrażaniu przepisów prawnych, zapewnieniu, że operacje przetwarzania są przeprowadzane zgodnie z RODO oraz że prawa osób, których dane dotyczą, mogą być odpowiednio i terminowo spełnione, osoba na tym stanowisku musi posiadać odpowiednie doświadczenie. Artykuł 37 ust. 5 RODO zakłada, że IOD powinien być wyznaczony na podstawie:

  • cech zawodowych
  • specjalistycznej wiedzy z zakresu prawa ochrony danych i praktyk
  • zdolności do wypełniania zadań określonych w artykule 39 RODO

Cechy zawodowe i specjalistyczna wiedza to kryteria, które są dość ogólne i jednocześnie trudne do spełnienia. Bardziej szczegółowe informacje na temat cech kandydata odpowiedniego do pełnienia funkcji IOD są zawarte w Wytycznych dotyczących Inspektorów Ochrony Danych, zgodnie z którymi specjalistyczna wiedza powinna być odpowiednia do charakteru, złożoności i ilości przetwarzanych danych w organizacji.

Przy ocenie cech zawodowych przyszłego IOD należy wziąć pod uwagę poziom wiedzy w zakresie krajowych i europejskich przepisów ochrony danych osobowych i praktyk, dogłębną znajomość RODO oraz wiedzę o działalności administratora danych – danym sektorze biznesowym, stosowanych systemach i zabezpieczeniach, a także procedurach operacyjnych. W przypadku oceny cech zawodowych przyszłego IOD należy wziąć pod uwagę poziom wiedzy w zakresie krajowych i europejskich przepisów ochrony danych osobowych i praktyk, dogłębną znajomość RODO oraz wiedzę o działalności administratora danych – danym sektorze biznesowym, stosowanych systemach i zabezpieczeniach, a także procedurach operacyjnych.

Ze względu na fakt, że ochrona danych osobowych jest bardzo szeroką dziedziną, kandydat na IOD powinien posiadać interdyscyplinarną wiedzę oraz wykazywać umiejętności w zakresie efektywnego dzielenia się wiedzą, komunikacji, zarządzania projektami, negocjacji i mediacji.

Zadania IOD określone w art. 39 RODO

Główne zadania IOD określone w art. 39 ust. 1 RODO to:
  • informowanie i doradzanie administratorowi lub podmiotowi przetwarzającemu oraz pracownikom, którzy przetwarzają dane, o ich obowiązkach wynikających z obowiązujących przepisów o ochronie danych (prawidłowe wykonanie powyższego zadania przez IOD wpływa na świadome podejmowanie decyzji przez administratorów danych i podmioty przetwarzające)
  • monitorowanie zgodności z obowiązującymi przepisami o ochronie danych oraz wewnętrznymi politykami organizacji, w tym przypisywanie odpowiedzialności, podnoszenie świadomości i szkolenie personelu zaangażowanego w operacje przetwarzania, oraz związane z tym audyty (w tym zakresie działalność IOD nie powinna mieć jednorazowego charakteru, ale być ciągła i długoterminowa)
  • udzielanie porad na żądanie w zakresie oceny skutków ochrony danych i monitorowanie jej wykonania zgodnie z art. 35 RODO (pomocne mogą być w tym zakresie wspomniane już Wytyczne dotyczące Inspektorów Ochrony Danych)
  • współpraca z organem nadzorczym;
  • pełnienie funkcji punktu kontaktowego dla organu nadzorczego w sprawach dotyczących przetwarzania, w tym konsultacji wstępnej, o której mowa w art. 36, oraz konsultacji, w stosownych przypadkach, w odniesieniu do innych kwestii (powinno być rozumiane jako pełnienie przez IOD roli pośrednika między administratorem danych lub podmiotem przetwarzającym a organem nadzorczym)

Ponadto, zgodnie z art. 38 ust. 4 RODO, IOD pełni funkcję punktu kontaktowego dla osób, których dane dotyczą, we wszystkich kwestiach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem ich praw wynikających z RODO.

Należy jednak pamiętać, że mimo powyższych zadań, IOD nie ma bezpośredniej mocy sprawczej. Podmiotem, który faktycznie podejmuje decyzje i ponosi odpowiedzialność za wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa, jest administrator danych lub podmiot przetwarzający.

Jak kształtować współpracę z IOD

RODO daje Ci swobodę, czy Twój IOD będzie częścią Twojego personelu, jako Twój pracownik, czy będzie pochodził z zewnątrz, z wyspecjalizowanej firmy. Wybierając IOD, należy pamiętać o wspomnianych wcześniej kryteriach, i pamiętać, że niewłaściwy wybór IOD może prowadzić do niezgodności z RODO.

Wewnętrzny pracownik jako IOD

Może być wiele zalet powołania własnego pracownika na stanowisko IOD. Taka osoba zna dokładnie nie tylko Twoją branżę, ale także procesy i szczegółowy sposób funkcjonowania Twojej organizacji, w tym jej słabości i luki w istniejącym systemie ochrony danych. Stała obecność pracownika w organizacji może również skutkować bardziej kompleksowym nadzorem nad kwestiami ochrony danych.

Słabości takiego IOD to potencjalne przeszkody w zapewnieniu odpowiedniego statusu i wymaganej niezależności. Może wystąpić konflikt interesów w związku z innymi obowiązkami wykonywanymi przez pracownika w organizacji, brak wiedzy i metodologii (pracownik może wymagać czasochłonnych i kosztownych szkoleń w zakresie ochrony danych), a także mniejsza posłuszność innych pracowników, którzy faktycznie mają stosować przepisy RODO.

IOD z zewnętrznej, wyspecjalizowanej firmy

Zewnętrzna firma zazwyczaj zapewnia specjalizację w zakresie ochrony danych, rozwiniętą metodologię i wzorce pracy, jednak np. brak stałej obecności w organizacji stwarza ryzyko, że IOD będzie przeglądał tylko te kwestie, które zostaną mu przekazane. Jednak wybór takiej firmy może powodować wiele trudności.

Oprócz oczywistego, jakim jest sprawdzenie reputacji i referencji firmy, należy upewnić się, że jej oferta obejmuje wystarczająco dużo czasu pracy na realizację wszystkich zadań oraz że konsultanci firmy zapewniają szybką dostępność w przypadku naruszenia ochrony danych. Taka firma powinna również zapewnić Ci efektywny punkt kontaktowy w Twojej organizacji i wykazać, że proponowany IOD ma doświadczenie, materiały i narzędzia wystarczające do przeprowadzenia rzetelnych szkoleń Twojego personelu. Nie zapomnij również zweryfikować, czy przyszły IOD ma ubezpieczenie zawodowe.

Kiedy w końcu uda Ci się powołać IOD, pamiętaj, aby zgłosić ten fakt organowi nadzorczemu!