Connect with us
Firma SOS - Zbuduj Swoje Imperium - Pomagamy Firmom Rosnąć

Biznes

Inspektor Danych Osobowych – zadania i odpowiedzialność

Opublikowano

dnia

Inspektor Ochrony Danych Osobowych jest stosunkowo nową funkcją wprowadzoną na mocy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku. Stanowisko Inspektora Danych Osobowych można określić mianem eksperta w ramach organizacji, którego podstawowym zadaniem jest wspierać ją w czynnościach wiążących się z przetwarzaniem danych osobowych.

Obowiązek powołania IOD spoczywa na organach oraz podmiotach publicznych, z wyjątkiem organów wymiaru sprawiedliwości oraz sądów. Jest również wymagany w instytucjach przetwarzających duże ilości danych, w tym danych szczególnych. Na gruncie przepisów RODO, Inspektorem Ochrony Danych może być pracownik lub współpracownik Administratora Danych czy też podmiotu przetwarzającego. RODO wskazuje wprost, iż IOD może wykonywać swoje zadania na podstawie umowy o świadczenie usług, a więc, jak stanowi art. 37 ust. 6 RODO, dozwolony jest outsourcing owej funkcji.

Katalog obowiązków IOD

Rozporządzenie RODO w artykule 39 wprowadziło katalog czynności, za które odpowiedzialny jest Inspektor Danych Osobowych.

  • Na IOD spoczywa obowiązek informowania Administratora Danych a także podmiotów przetwarzających i ich pracowników o ciążącej na nich odpowiedzialności, jaka wiąże się z przetwarzaniem danych osobowych. W RODO nie sprecyzowano jednak, w jakiej formie IOD ma owe informacje przekazywać, może realizować ten obowiązek za sprawą prowadzenia szkoleń, czy poprzez informowanie drogą mailową albo dostarczanie odpowiednich informacji w tradycyjnej, papierowej postaci.
  • Kolejnym obowiązkiem jest monitorowanie przestrzegania RODO, a także innych przepisów UE i krajów członkowskich, dotyczących ochrony danych osobowych, a także polityk administratora lub podmiotu przetwarzającego, w dziedzinie ochrony danych osobowych. W tym zakresie mieści się również podział obowiązków, a także działania, których celem jest zwiększenie świadomości oraz szkolenia personelu, biorącego udział w operacjach przetwarzania, jak też wiążące się z tym audyty. Natomiast zgodnie z wytycznymi grupy roboczej, które dotyczą inspektorów ochrony danych, w zakresie monitorowania przestrzegania tych przepisów przyznano IOD uprawnienia do zbierania informacji celem identyfikacji procesów przetwarzania, analizowania i sprawdzania zgodności przetwarzania, a także informowania, doradzania i rekomendowania pewnych działań administratorowi lub podmiotowi przetwarzającemu. Warto zaznaczyć w tym miejscu, iż w razie naruszenia przepisów o ochronie danych osobowych odpowiedzialność za owo naruszenie spoczywa na ADO albo podmiocie przetwarzającym.
  • Trzecim istotnym obowiązkiem jest udzielanie zaleceń dotyczących oceny skutków przetwarzania dla ochrony danych oraz monitorowanie jej wykonania. Na zadania IDO w tym zakresie, określonych w  art. 29 Grupa robocza, składa się konsultowanie czy konieczne jest przeprowadzanie oceny skutków dla ochrony danych osobowych, które obszary winny zostać poddane audytowi, doradzanie w sprawie metodologii przeprowadzania takiej oceny, a także kontrola prawidłowości jej przeprowadzania oraz zgodność jej wyników z wymogami RODO. IOD udziela również konsultacji w kwestii zabezpieczeń, co dotyczy także środków technicznych oraz organizacyjnych, wykorzystywanych do łagodzenia zagrożeń praw oraz interesów osób.
  • Czwarte zadanie to współpraca z organem nadzorczym i pełnienie funkcji punktu kontaktowego dla organu nadzorczego w sprawach wiążących się z przetwarzaniem, oraz przeprowadzonymi konsultacjami. Owe zadania wskazują na pomocniczą rolę, jaką pełni IOD w organizacji.

IOD nie pełni funkcji punktu kontaktowego jedynie dla organu nadzorczego, lecz zarazem pełni ją też wobec osób, których dane dotyczą. Osoby te są uprawnione do kontaktowania się z nim we wszelkich sprawach, jakie wiążą się z przetwarzaniem ich danych osobowych, jak też z wykonywaniem praw, które przysługują im na mocy RODO. ADO winien przedstawić im w klauzuli informacyjnej dane kontaktowe IOD.

  • W art. 39 RODO ustawodawca określił minimalny zakres zadań IOD. Katalog ten nie ma charakteru zamkniętego, zatem zależnie od decyzji administratora danych, może on także odpowiadać na przykład za prowadzenie rejestru czynności przetwarzania i naruszeń ochrony danych osobowych, czy innych dokumentów, które są związane z przetwarzaniem danych osobowych w organizacji, jak i polityki ochrony danych osobowych oraz wiążących się z tym procedur. Może być on też odpowiedzialny za pełnienie nadzoru nad wdrożoną dokumentacją, jej przestrzeganie i aktualizację, czy analizę zgłaszania naruszeń do organu nadzorczego, realizację praw osób, których dane dotyczą, jak również nadawanie upoważnień do przetwarzania danych osobowych w organizacji i prowadzenie ich rejestru.

Odpowiedzialność IOD

Odpowiedzialność Inspektora Ochrony Danych, będącego pracownikiem administratora, który został zatrudniony na podstawie umowy o pracę, jest kształtowana na podstawie zapisów Kodeksu pracy. Jak stanowi art. 114 tego kodeksu, jeśli pracownik na skutek niewykonania albo nienależytego wykonania obowiązków wyrządził pracodawcy szkodę, ponosi materialną odpowiedzialność. W tym wypadku nienależytym wykonaniem będzie niepoinformowanie administratora o istotnym obowiązku, bezpośrednio wynikającym z przepisów prawa czy też ukrycie przed nim istotnego faktu, odnoszącego się do systemu ochrony danych osobowych.

Natomiast jeśli funkcja IOD jest wykonywana na podstawie umowy o świadczenie usług, zasady odpowiedzialności winny zostać dookreślone w tej umowie. Jeśli tak nie jest, odpowiedzialność ta obejmuje szkodę rzeczywistą oraz utracone korzyści, z wyłączeniem sytuacji, kiedy szkoda była następstwem okoliczności, za jakie IOD nie ponosi odpowiedzialności.

RODO stanowi także, iż IOD musi być niezależny, zatem nikt nie powinien udzielać mu instrukcji, w jaki sposób ma on pełnić swoje zadania, co odnosi się również do administratorów danych osobowych czy kierownictwa organizacji, w której działa dany IOD. Niezależność IOD zwiększa wymóg stanowiący, iż wykonywanie przez niego obowiązków wiążących się z ochroną danych nie może stanowić podstawy do jego odwołania czy nałożenia kar.

Źródło: ISecure – ochrona danych osobowych Warszawa

Continue Reading
Reklama

Najnowsze wpisy

Ostatnio

Reklama

Trending