Czym zajmuje się Inspektor Ochrony Danych?
Fachowe wsparcie administratorów danych, czyli przedsiębiorców – to określenie odzwierciedlające
rolę IOD-a, co oznacza jednak w praktyce? Zadania inspektora określone zostały w art. 39 ust. 1
RODO. Wśród nich znajdują się m.in. obowiązek informowania administratora, podmiotu
przetwarzającego oraz ich pracowników przetwarzających dane osobowe o spoczywających na nich
obowiązkach na gruncie RODO oraz innych przepisów Unii Europejskiej lub państw członkowskich o
ochronie danych. Co więcej, do jego obowiązków należy także monitorowanie przestrzegania RODO
oraz innych aktów prawnych z tego zakresu.
Rola inspektora ochrony danych nie sprowadza się wyłącznie do kontrolowania oraz monitorowania
prawidłowego przebiegu informacji w danej organizacji. Jego funkcja jest znacznie bardziej
rozbudowana, ponieważ staje się on niejako łącznikiem pomiędzy organizacją a organem
nadzorczym, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych, w kwestiach
związanych z przetwarzaniem danych osobowych. Stanowi on również punkt kontaktowy dla osób,
których dane dotyczą – mówi Paweł Domagała, specjalista ds. ochrony danych, ODO 24
Jakie kompetencje musi posiadać oraz kto może zostać IOD?
Zgodnie z art. 37 ust. 6 RODO IOD może być członkiem personelu administratora lub podmiotu
przetwarzającego, albo wykonywać zadania na podstawie umowy o świadczenie usług.
Specjalistyczna wiedza na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz
operacji przetwarzania danych i systemów informatycznych to obowiązkowe kryterium będące
wyznacznikiem tego, czy osoba może ubiegać się o stanowisko IOD-a. Warto jednak pamiętać, że
wymagany poziom wiedzy fachowej nie został określony w żadnym dokumencie, należy go zatem
oceniać indywidualnie w każdym przypadku – wskazuje Paweł Domagała, specjalista ds. ochrony
danych, ODO 24
Jednym z możliwych rozwiązań jest powierzenie stanowiska IOD-a pracownikowi organizacji. Za takim
rozwiązaniem przemawia przekonanie, że osoba z wnętrza organizacji cechuje się dobrą znajomością
firmy, jej struktury oraz pozostałych pracowników, a także realizuje swoje zadania w czasie pracy, co
za tym idzie, jest stale dostępna w organizacji.
Niezwłoczna reakcja w przypadku naruszenia ochrony danych osobowych, a także realizacja zadań w
obszarze formalnoprawnym oraz IT na wysokim poziomie to jedne z wielu pozytywnych aspektów
tego modelu.
RODO nałożyło na przedsiębiorców wiele nowych obowiązków, w tym także ten dotyczący powołania
IOD-a. Należy zaznaczyć jednak, że nawet kiedy firma nie została zobowiązana do tego prawnie,
powołanie stanowiska IOD-a może mieć pozytywny wydźwięk wizerunkowy – organizacja będzie
postrzegana w środowisku jako ta dbająca o bezpieczeństwo danych osobowych swoich klientów i
kontrahentów, a tym samym będzie chętniej wybierana jako podwykonawca usług, w ramach których
będzie pełnić rolę podmiotu przetwarzającego. Nie należy pominąć faktu ewentualnej urzędowej
kontroli, IOD (własny czy z outsourcingu) to domniemanie należytej ochrony danych osobowych.