Kategorie:
INSTYTUCJE PUBLICZNE | IT I DANE OSOBOWE

Inspektor Ochrony Danych Osobowych – czy jest potrzebny?

Kim jest inspektor ochrony danych osobowych?

Zgodnie z art. 37 ust. 5 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) (dalej: RODO), inspektor ochrony danych (dalej: IOD) jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39.

Wymagane kwalifikacje

Inspektor ochrony danych jest wyznaczany na podstawie:

  • kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych;
  • umiejętności wypełnienia zadań na omawianym stanowisku.

Przepisy wynikające z RODO nie zawierają szczególnych wymogów dotyczących obowiązku poświadczenia posiadania wymaganych kwalifikacji, jednakże przyjmuje się, że kandydat powinien posiadać wiedzę fachową w dziedzinie ochrony danych osobowych, znać relewantne przepisy o ochronie danych osobowych, być kompetentny w dziedzinie IT oraz być w powyższym zakresie przeszkolony. Najczęściej podmioty do tego zobowiązane wyznaczają inspektora ochrony danych osobowych, spośród osób, które ukończyły studia, szkolenia, kursy z zakresu ochrony danych osobowych lub posiadają doświadczenie zawodowe w tym zakresie.

Dopuszczalne formy zatrudnienia

Osoba desygnowana do pełnienia funkcji inspektora ochrony danych może wykonywać zadania w oparciu o umowę o pracę (może być dotychczasowym lub nowym pracownikiem administratora lub podmiotu przetwarzającego dane) lub wykonywać obowiązki w oparciu o umowę o świadczenie usług lub inną umowę cywilnoprawną. W tym miejscu warto podkreślić, że przepisy o ochronie danych przewidują możliwość desygnowania jednego inspektora ochrony danych, a to z uwagi na fakt, że osoby których dane dotyczą, a także inne organy muszą mieć łatwość nawiązania kontaktu z osobą właściwą w sprawach dotyczących ochrony danych osobowych. Cel ten realizowany jest poprzez wymóg udostępnienia przez administratora danych osobowych oraz podmiot przetwarzający danych kontaktowych IOD, a także zawiadomienia o tych danych organu nadzorczego. Należy zaznaczyć, że przepisy unijne, na zasadach w nich określonych, dopuszczają możliwość wyznaczenia jednego inspektora ochrony danych dla grupy przedsiębiorców.

Jak wskazano powyżej, inspektor może być pracownikiem podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług lub innej umowy cywilnoprawnej.  Inspektor ochrony danych – bez względu  na podstawę wykonywania obowiązków – niezwłocznie po powołaniu powinien zostać wdrożony we wszystkie sprawy dotyczące ochrony danych osobowych w organizacji. IOD wykonuje swoje obowiązki samodzielnie, w tym zakresie nie może otrzymywać poleceń od administratora, ani podmiotu przetwarzającego dane.

Obowiązek powołania inspektora ochrony danych osobowych

Zgodnie z art. 4 RODO, administrator oznacza os. fiz. lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. 
Na mocy RODO – art. 4 ,  podmiot przetwarzający oznacza os. fiz. lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora danych. 

Administrator i podmiot przetwarzający mają obowiązek wyznaczenia IOD, zawsze gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Zadania inspektora ochrony danych

Zadania inspektora obejmują (art. 39 ust. 1 RODO):

  • informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
  • kontrola przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
  • udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz kontrola jej wykonania zgodnie z art. 3 RODO;
  • współpraca z organem nadzorczym;
  • pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;
  • wypełnianie swoich zadań z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania;
  • konsultacje, udzielanie zaleceń, kontrola w zakresie oceny skutków dla ochrony danych, o których mowa w art. 35 RODO (ang. data protection impact assessment, DPIA);
  • nadawanie oraz prowadzenie rejestru upoważnień do przetwarzania danych osobowych.

Czy warto wyznaczyć IOD?

Powyżej wskazano już pomioty, które zobowiązane są do powołania IOD, dla pozostałych powołanie jest dobrowolne. Nasuwa się zatem pytanie, czy warto wyznaczyć inspektora, nawet w sytuacji gdy przedsiębiorca nie jest do tego prawnie zobowiązany? W pierwszej kolejności należy podkreślić, że każdy prowadzący działalność, w ramach której przetwarzane są dane osobowe zobowiązany jest do przestrzegania przepisów RODO, istotne jest bowiem miejsce, w którym prowadzona jest działalność, a nie to czy samo przetwarzanie odbywa się na obszarze UE. Pomimo braku formalnego obowiązku powołania inspektora w odniesieniu do niektórych organizacji, jego powołanie może wiązać się z licznymi korzyściami, m.in. takimi jak: wsparcie oraz kontrola przetwarzania danych przez, wdrażanie działań wzmacniających ochronę danych oraz monitorowanie przestrzegania RODO, prowadzenie rejestru czynności przetwarzania danych, podejmowanie czynności związanych z ochroną danych osobowych oraz bezpieczeństwem danych osobowych, konsultowanie rozwiązywania problemów w zakresie przetwarzania danych. Z usług IOD z pewnością skorzystają właściciele średnich oraz dużych przedsiębiorstw, gdyż jego powołanie odciąży te firmy od obowiązków nakładanych na nich przez przepisy prawa, mniejszych korzyści mogą spodziewać się firmy małe, których obowiązki nie są aż tak rozległe.

Odpowiedzialność

Zarówno postanowienia RODO, jak i przepisy ustawy o ochronie danych osobowych (dalej: u.o.d.o.) nie zawierają regulacji dotyczących odpowiedzialności IOD. Powyższe, nie oznacza jednak, że takiej odpowiedzialności inspektor nie ponosi. Należy zwrócić uwagę, że art. 107-108 u.o.d.o. regulują przestępstwa nielegalnego przetwarzania danych osobowych oraz udaremniania prowadzenia kontroli przestrzegania przepisów o ochronie danych, których może dopuścić się inspektor. Jeżeli inspektor jest równocześnie pracownikiem administratora może zostać pociągnięty do odpowiedzialności na podstawie przepisów kodeksu pracy regulujących odpowiedzialność porządkową oraz materialną pracowników. IOD pełniący swoją funkcję na podstawie umowy cywilnoprawnej może odpowiadać na zasadach określonych w umowie, a także na zasadach ogólnych. W niektórych przypadkach będzie można rozważyć również odpowiedzialność deliktową, gdy wyrządzono szkodę czynem niedozwolonym. Reasumując, pomimo braku regulacji dotyczących odpowiedzialności inspektora za wykonywane zadania w przepisach RODO oraz u.o.d.o. w przypadku wystąpienia przewinień możliwe jest pociągnięcie go do odpowiedzialności na podstawie jednej ze wspomnianych podstaw prawnych.

Co zrobić krok po kroku?

Krok 1 – analiza obowiązku powołania inspektora ochrony danych.

Krok 2 – wyznaczenie inspektora ochrony danych.

Krok 3 – zgłoszenie IOD do Urzędu Ochrony Danych Osobowych za pomocą elektronicznego formularza: Załatw sprawę – UODO

W razie wątpliwości w zakresie stosowania RODO wiedzę należy czerpać ze sprawdzonych źródeł takich jak oficjalna strona Urzędu Ochrony Danych Osobowych, na której regularnie zamieszczane są wytyczne oraz decyzje opisujące poszczególne kwestie wydane przez prezesa urzędu ochrony danych osobowych.

Zgłaszanie nieprawidłowości

Naruszenie ochrony danych osobowych to: „zakłócenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.

Przykładem omawianych nieprawidłowości są:

  • kradzież dokumentów, w których przechowywane są dane klientów;
  • zagubienie nośników danych zawierających dane klientów administratora;
  • zainfekowanie oprogramowania zawierającego dane osobowe przez nielegalne oprogramowanie.

Zgodnie z art. 72 RODO administrator ma zaledwie 72 h od chwili stwierdzenia zdarzenia na zgłoszenie tego faktu do ON, chyba że istnieje małe prawdopodobieństwo, by zdarzenie to wywołało skutek w postaci ryzyka pogwałcenia praw i wolności podmiotów danych.

Drukuj




© 2018 Kancelaria Lassota sp. j. Projekt graficzny: Łukasz Podolak  Wdrożenie: WP-Expert
Call Now ButtonZadzwoń 12 421 78 80