LexDigital

Inspektor Ochrony Danych Osobowych – odpowiedzialność i kompetencje

Codziennie na portalach rekrutacyjnych pojawiają się nowe ogłoszenia pracodawców dotyczące objęcia stanowiska IOD. Skąd ta nagła fala poszukiwań osób na stanowisko, o którym jeszcze do niedawna nikt nie słyszał?

Inspektor Ochrony Danych Osobowych – odpowiedzialność i kompetencje

Inspektor Ochrony Danych Osobowych - nowe stanowisko w organizacjach

25 maja 2018 roku to z pewnością początek nowej ery w ochronie danych osobowych. Wprowadzone tego dnia regulacje są z całym przekonaniem jednym z najczęściej komentowanych tematów ostatnich miesięcy. Rygorystyczne, a zarazem często niezrozumiałe przepisy, sprawiają, że temat RODO napawa wiele osób lękiem. Tylko ugruntowane, merytoryczne podejście do kwestii nowych regulacji pozwoli posiąść wiedzę niezbędną do funkcjonowania w „świecie” RODO. 

Na początku warto przyjrzeć się szeroko komentowanej funkcji Inspektora Ochrony Danych (IOD). Codziennie na portalach rekrutacyjnych pojawiają się nowe ogłoszenia pracodawców dotyczące objęcia stanowiska IOD. Skąd ta nagła fala poszukiwań osób na stanowisko, o którym jeszcze do niedawna nikt nie słyszał?

inspektor ochrony danych osobowych, IOD, przetwarzanie danych

Inspektor Ochrony Danych Osobowych w firmie - kiedy musimy go powołać?

Otóż dotychczasowa funkcja Administratora Bezpieczeństwa Informacji (ABI) z dniem 25 maja 2018 roku została przekształcona, w myśl nowych przepisów Unii Europejskiej, w Inspektora Ochrony Danych – z angielskiego Data Protection Officer, czyli DPO. Jakie w takim wypadku losy spotkały dotychczasowych Administratorów Bezpieczeństwa Informacji? Odpowiedź na to pytanie znajdziemy w nowej ustawie o ochronie danych osobowych z dnia 10 maja 2018 r. W uchwalonym przez Senat dokumencie znajduje się informacja, że osoba, która w dniu 25 maja 2018 r. pełniła funkcję ABI automatycznie stała się IOD i piastowała to stanowisko do 1 września 2018 r. Wyjątkiem od powyższej reguły była sytuacja, w której ADO, do końca sierpnia 2018 powiadomił Prezesa Urzędu Ochrony Danych Osobowych – Prezesa UODO o wyznaczeniu i powołaniu nowej osoby na to stanowisko. Wówczas następowała kontynuacja pełnienia funkcji przez wyznaczoną osobę. 

ADO, który nie był w myśl nowych przepisów zobligowany do powołania Inspektora Ochrony Danych Osobowych, mógł odwołać ze stanowiska dotychczasową osobę pełniącą funkcję ABI, bez konieczności powiadamiania o tym Prezesa Urzędu Ochrony Danych. 

Warunki powołania Inspektora Ochrony Danych przez Administratora lub podmiot przetwarzający określa artykuł 37 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 24.04.2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych - RODO. Administrator danych osobowych zobligowany jest wybrać i powołać Inspektora Ochrony Danych gdy spełnia chociaż jeden z poniższych warunków:

  • główna działalność ADO lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub
  • główna działalność ADO lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych dotyczących wyroków skazujących i naruszeń prawa.

Jak Administrator Danych Osobowych ma wybrać odpowiedniego IOD?

W myśl RODO, Inspektor Ochrony Danych Osobowych ma być pośrednikiem pomiędzy stronami. Staje się punktem kontaktowym dla organu nadzorczego, każdego pracownika organizacji oraz osób spoza niej.

Osoba piastująca funkcję Inspektora Ochrony Danych powinna posiadać fachową wiedzę, współmierną poziomem do charakteru, złożoności i ilości przetwarzanych danych osobowych. IOD powinien cechować się dogłębną znajomością RODO, wiedzą w zakresie krajowych i europejskich przepisów o ochronie danych osobowych, wykazywać znajomość sektora działalności swojego Administratora, a także znać operacje przetwarzania danych, systemy IT i stosowane w organizacji zabezpieczenia oraz potrafić określić potrzeby w zakresie ochrony danych osobowych w swojej organizacji.

Równie ważne będą cechy osobiste, takie jak rzetelne podejście oraz wysoki poziom etyki zawodowej. 

Rozporządzenie nie narzuca sposobu współpracy z Inspektorem Ochrony Danych Osobowych. Osoba zajmująca to stanowisko może być zatrudniona zarówno na podstawie umowy o pracę, jak i na podstawie umowy o świadczeniu usług, jednakże nie może realizować obowiązków, które wynikają z innych umów zawartych z Administratorem (np. łączenie funkcji Dyrektora z funkcją IOD).

Zgodnie z art. 38 pkt 6 RODO osoba powołana na stanowisko IOD może wykonywać inne zadania i obowiązki, o ile nie powodują one konfliktu interesów z wykonywanymi zadaniami Inspektora. Stanowiska, których obejmowanie nie może łączyć się ze sprawowaniem funkcji Inspektora Ochrony Danych Osobowych to: dyrektor generalny, dyrektor operacyjny, dyrektor finansowy, dyrektor ds. medycznych, kierownicy działów HR, IT, marketingu. Inspektor Ochrony Danych Osobowych nie powinien być także członkiem zarządu ani prokurentem

Jeżeli pracownicy niższego szczebla organizacji, tacy jak: księgowi, informatycy biorą udział w określaniu celów i sposobów przetwarzania danych, także nie mogą pełnić funkcji IOD.

Rozporządzenie unijne nie zezwala na łączenie funkcji Administratora Danych Osobowych i Inspektorem Ochrony Danych.

Kogo dotyczy RODO? IOD zna odpowiedź na to pytanie.

Zgodnie z zapisami w RODO do kluczowych zadań Inspektora Ochrony Danych Osobowych należą:

  • realizowanie obowiązków informacyjnych,
  • monitorowanie przestrzegania przepisów prawa - identyfikacja i analiza procesów przetwarzania,
  • informowanie, doradzanie i rekomendowanie określonych działań Administratorowi lub podmiotowi przetwarzającemu,
  • szacowanie ryzyka związanego z operacjami przetwarzania z uwzględnieniem charakteru, zakresu i kontekstu celów przetwarzania,
  • współpraca z organem nadzorczym i pełnienie funkcji punktu kontaktowego dla organu nadzorczego,
  • prowadzenie audytów wewnątrz w organizacji,
  • przeprowadzanie szkoleń dla osób zatrudnionych oraz dbanie o właściwy poziom wiedzy w obszarze ochrony danych osobowych.

Nie istnieją żadne prawne obostrzenia dotyczące zlecania Inspektorowi Danych Osobowych innych zadań, natomiast należy pamiętać, że nie mogą one powodować konfliktu z istotą jego pracy (np. prowadzenie rejestru czynności przetwarzania (RCP) - nie jest obowiązkiem IOD wynikającym z przepisów, natomiast jest możliwe przy zapewnieniu właściwych zasobów do jego prowadzenia, zarówno merytorycznych, jak i czasowych).

Ponad wszystko należy pamiętać, że Inspektor Ochrony Danych to funkcja niezależna. Powinien być w organizacji traktowany jako partner, a nie pracownik wykonujący konkretne polecenia, niezależnie od sposobu współpracy. Administrator i/lub podmiot przetwarzający nie może udzielać wiążących instrukcji w zakresie m.in.: rozpoznania sprawy, rodzaju podjętych środków, konieczności kontaktu z organem nadzorczym.

Administrator Danych Osobowych a RODO.

Nie tylko Inspektor Ochrony Danych ma szczegółowo określone zadania. Na Administratorze Danych Osobowych także ciąży szereg obowiązków, a jego zaangażowanie wpływa znacznie na poziom pracy Inspektora Ochrony Danych.

Administrator powołując Inspektora Ochrony Danych w myśl art. 38 Ogólnego Rozporządzenia musi zagwarantować dostęp do danych oraz operacji przetwarzania, zapewnić odpowiednią pomoc kadry zarządzającej w organizacji, a także zagwarantować niezbędne do wykonywania swojej funkcji zasoby zarówno materialne, jak i czasowe. ADO jest także zobowiązany angażować IOD we wszystkie bieżące tematy związane z ochroną danych osobowych. Bardzo często będzie to oznaczało bezwzględne uczestnictwo Inspektora w spotkaniach kadry kierowniczej czy zarządu związanych z powyższą tematyką. 

IOD nie może być karany ani odwoływany przez Administratora. W zakresie swoich obowiązków IOD podlega właścicielowi/prezesowi/zarządowi organizacji. 

Powołanie Inspektora Ochrony Danych Osobowych - wzór.

Jak wynika z informacji powyżej to Administrator Danych odpowiada za znalezienie i wyznaczenie osoby, która spełnia wszystkie wymagania. Przed nim jeszcze jedno bardzo ważne zadanie – zgłoszenie Inspektora Ochrony Danych do organu nadzorczego, czyli Prezesa Urzędu Ochrony Danych Osobowych. Wykonanie tej czynności musi odbyć się w nieprzekraczalnym terminie 14 dniu od momentu wyznaczenia Inspektora Ochrony Danych Osobowych.

Zawiadomienie PUODO o wyznaczeniu takiej osoby jest poprawne oraz skuteczne wyłącznie wówczas, kiedy dokonane zostanie w formie elektronicznej i potwierdzone będzie kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP (zgodnie z art. 10 ust. 6 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych). Zawiadomienie może zostać przesłane za pomocą jednego z dwóch kanałów:

  • usług znajdujących się na stronie www.biznes.gov.pl,
  • platformy ePUAP kierując się wskazówkami w zamieszczonej na stronie instrukcji.

W obu powyższych przypadkach prawidłowo dokonane zgłoszenie zostanie potwierdzone Urzędowym Poświadczeniem Przedłożenia w formie pliku upp.xml generowanym przez platformę biznes.gov.pl lub epuap.gov.pl. 

Może zdarzyć się sytuacja, że niemożliwym będzie, aby to Administrator Danych Osobowych dokonał zgłoszenia. Wówczas mamy możliwość skorzystać z przywileju powołania pełnomocnika. Może nim zostać wyznaczony pracownik lub inna zaufana osoba. Pełnomocnictwo, musi mieć formę dołączonego do zawiadomienia dokumentu elektronicznego, który obowiązkowo musi zostać opatrzony kwalifikowanym podpisem elektronicznym osoby udzielającej pełnomocnictwa.

Za udzielenie pełnomocnictwa należy wnieść opłatę, a dowód jej uiszczenia także dołączyć do zawiadomienia. Dopiero po spełnieniu wszystkich powyższych warunków złożenie zawiadomienia o wyznaczeniu Inspektora Ochrony Danych przez osobę niebędącą ADO będzie wykonane prawidłowo i skutecznie. 

Należy pamiętać, że IOD może zostać powołany w każdej organizacji, nawet jeśli nie jest to wymagane przepisami prawa. Jego wiedza i umiejętności na pewno pozwolą na lepsze funkcjonowanie w obszarze ochrony danych osobowych.

Szukasz wsparcia w dziedzinie ochrony danych? Interesuje Ciebie outsourcing funkcji Inspektora Ochrony Danych Osobowych?

Jedną z naszych specjalizacji jest przejmowanie i profesjonalne piastowanie funkcji IOD dla firm w różnych sektorach i branżach.

Dowiedz się więcej pod tym linkiem

 

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk