Inspektor Ochrony Danych Osobowych – czy jest potrzebny?
Kim jest inspektor ochrony danych osobowych?
Zgodnie z art. 37 ust. 5 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.) (dalej: RODO), inspektor ochrony danych (dalej: IOD) jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39.
Wymagane kwalifikacje
Inspektor ochrony danych jest wyznaczany na podstawie:
- kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych;
- umiejętności wypełnienia zadań na omawianym stanowisku.
Przepisy wynikające z RODO nie zawierają szczególnych wymogów dotyczących obowiązku poświadczenia posiadania wymaganych kwalifikacji, jednakże przyjmuje się, że kandydat powinien posiadać wiedzę fachową w dziedzinie ochrony danych osobowych, znać relewantne przepisy o ochronie danych osobowych, być kompetentny w dziedzinie IT oraz być w powyższym zakresie przeszkolony. Najczęściej podmioty do tego zobowiązane wyznaczają inspektora ochrony danych osobowych, spośród osób, które ukończyły studia, szkolenia, kursy z zakresu ochrony danych osobowych lub posiadają doświadczenie zawodowe w tym zakresie.
Dopuszczalne formy zatrudnienia
Osoba desygnowana do pełnienia funkcji inspektora ochrony danych może wykonywać zadania w oparciu o umowę o pracę (może być dotychczasowym lub nowym pracownikiem administratora lub podmiotu przetwarzającego dane) lub wykonywać obowiązki w oparciu o umowę o świadczenie usług lub inną umowę cywilnoprawną. W tym miejscu warto podkreślić, że przepisy o ochronie danych przewidują możliwość desygnowania jednego inspektora ochrony danych, a to z uwagi na fakt, że osoby których dane dotyczą, a także inne organy muszą mieć łatwość nawiązania kontaktu z osobą właściwą w sprawach dotyczących ochrony danych osobowych. Cel ten realizowany jest poprzez wymóg udostępnienia przez administratora danych osobowych oraz podmiot przetwarzający danych kontaktowych IOD, a także zawiadomienia o tych danych organu nadzorczego. Należy zaznaczyć, że przepisy unijne, na zasadach w nich określonych, dopuszczają możliwość wyznaczenia jednego inspektora ochrony danych dla grupy przedsiębiorców.
Jak wskazano powyżej, inspektor może być pracownikiem podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług lub innej umowy cywilnoprawnej. Inspektor ochrony danych – bez względu na podstawę wykonywania obowiązków – niezwłocznie po powołaniu powinien zostać wdrożony we wszystkie sprawy dotyczące ochrony danych osobowych w organizacji. IOD wykonuje swoje obowiązki samodzielnie, w tym zakresie nie może otrzymywać poleceń od administratora, ani podmiotu przetwarzającego dane.
Obowiązek powołania inspektora ochrony danych osobowych
Administrator i podmiot przetwarzający mają obowiązek wyznaczenia IOD, zawsze gdy:
a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
Zadania inspektora ochrony danych
Zadania inspektora obejmują (art. 39 ust. 1 RODO):
Odpowiedzialność
Zarówno postanowienia RODO, jak i przepisy ustawy o ochronie danych osobowych (dalej: u.o.d.o.) nie zawierają regulacji dotyczących odpowiedzialności IOD. Powyższe, nie oznacza jednak, że takiej odpowiedzialności inspektor nie ponosi. Należy zwrócić uwagę, że art. 107-108 u.o.d.o. regulują przestępstwa nielegalnego przetwarzania danych osobowych oraz udaremniania prowadzenia kontroli przestrzegania przepisów o ochronie danych, których może dopuścić się inspektor. Jeżeli inspektor jest równocześnie pracownikiem administratora może zostać pociągnięty do odpowiedzialności na podstawie przepisów kodeksu pracy regulujących odpowiedzialność porządkową oraz materialną pracowników. IOD pełniący swoją funkcję na podstawie umowy cywilnoprawnej może odpowiadać na zasadach określonych w umowie, a także na zasadach ogólnych. W niektórych przypadkach będzie można rozważyć również odpowiedzialność deliktową, gdy wyrządzono szkodę czynem niedozwolonym. Reasumując, pomimo braku regulacji dotyczących odpowiedzialności inspektora za wykonywane zadania w przepisach RODO oraz u.o.d.o. w przypadku wystąpienia przewinień możliwe jest pociągnięcie go do odpowiedzialności na podstawie jednej ze wspomnianych podstaw prawnych.
Co zrobić krok po kroku?
Krok 1 – analiza obowiązku powołania inspektora ochrony danych.
Krok 2 – wyznaczenie inspektora ochrony danych.
Krok 3 – zgłoszenie IOD do Urzędu Ochrony Danych Osobowych za pomocą elektronicznego formularza: Załatw sprawę – UODO
W razie wątpliwości w zakresie stosowania RODO wiedzę należy czerpać ze sprawdzonych źródeł takich jak oficjalna strona Urzędu Ochrony Danych Osobowych, na której regularnie zamieszczane są wytyczne oraz decyzje opisujące poszczególne kwestie wydane przez prezesa urzędu ochrony danych osobowych.
Zgłaszanie nieprawidłowości
Naruszenie ochrony danych osobowych to: „zakłócenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”.
Przykładem omawianych nieprawidłowości są:
- kradzież dokumentów, w których przechowywane są dane klientów;
- zagubienie nośników danych zawierających dane klientów administratora;
- zainfekowanie oprogramowania zawierającego dane osobowe przez nielegalne oprogramowanie.
Zgodnie z art. 72 RODO administrator ma zaledwie 72 h od chwili stwierdzenia zdarzenia na zgłoszenie tego faktu do ON, chyba że istnieje małe prawdopodobieństwo, by zdarzenie to wywołało skutek w postaci ryzyka pogwałcenia praw i wolności podmiotów danych.
Drukuj