LexDigital

Inspektor Ochrony Danych Osobowych - odpowiedzialność i kompetencje

Codziennie na portalach rekrutacyjnych pojawiają się nowe ogłoszenia pracodawców dotyczące objęcia stanowiska IOD. Skąd ta nagła fala poszukiwań osób na stanowisko, o którym jeszcze do niedawna nikt nie słyszał?

Inspektor Ochrony Danych Osobowych - odpowiedzialność i kompetencje

Inspektor Ochrony Danych Osobowych - nowe stanowisko w organizacjach

25 maja 2018 roku to z pewnością początek nowej ery w ochronie danych osobowych. Wprowadzone tego dnia regulacje są z całym przekonaniem jednym z najczęściej komentowanych tematów ostatnich miesięcy. Rygorystyczne, a zarazem często niezrozumiałe przepisy, sprawiają, że temat RODO napawa wiele osób lękiem. Tylko ugruntowane, merytoryczne podejście do kwestii nowych regulacji pozwoli posiąść wiedzę niezbędną do funkcjonowania w „świecie” RODO. 

Na początku warto przyjrzeć się szeroko komentowanej funkcji Inspektora Ochrony Danych (IOD). Codziennie na portalach rekrutacyjnych pojawiają się nowe ogłoszenia pracodawców dotyczące objęcia stanowiska IOD. Skąd ta nagła fala poszukiwań osób na stanowisko, o którym jeszcze do niedawna nikt nie słyszał?

Inspektor Ochrony Danych Osobowych w firmie - kiedy musimy go powołać?

Otóż dotychczasowa funkcja Administratora Bezpieczeństwa Informacji (ABI) z dniem 25 maja 2018 roku została przekształcona, w myśl nowych przepisów Unii Europejskiej, w Inspektora Ochrony Danych – z angielskiego Data Protection Officer, czyli DPO. Jakie w takim wypadku losy spotkały dotychczasowych Administratorów Bezpieczeństwa Informacji? Odpowiedź na to pytanie znajdziemy w nowej ustawie o ochronie danych osobowych z dnia 10 maja 2018 r. W uchwalonym przez Senat dokumencie znajduje się informacja, że osoba, która w dniu 25 maja 2018 r. pełniła funkcję ABI automatycznie stała się IOD i piastowała to stanowisko do 1 września 2018 r. Wyjątkiem od powyższej reguły była sytuacja, w której ADO, do końca sierpnia 2018 powiadomił Prezesa Urzędu Ochrony Danych Osobowych – Prezesa UODO o wyznaczeniu i powołaniu nowej osoby na to stanowisko. Wówczas następowała kontynuacja pełnienia funkcji przez wyznaczoną osobę. 

ADO, który nie był w myśl nowych przepisów zobligowany do powołania IOD, mógł odwołać ze stanowiska dotychczasową osobę pełniącą funkcję ABI, bez konieczności powiadamiania o tym Prezesa Urzędu Ochrony Danych. 

Warunki powołania Inspektora Ochrony Danych przez Administratora lub podmiot przetwarzający określa artykuł 37 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 24.04.2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych - RODO. Administrator danych osobowych zobligowany jest wybrać i powołać Inspektora Ochrony Danych gdy spełnia chociaż jeden z poniższych warunków:

  • główna działalność ADO lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub
  • główna działalność ADO lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych dotyczących wyroków skazujących i naruszeń prawa.

Jak Administrator Danych Osobowych ma wybrać odpowiedniego IOD?

W myśl RODO, IOD ma być pośrednikiem pomiędzy stronami. Staje się punktem kontaktowym dla organu nadzorczego, każdego pracownika organizacji oraz osób spoza niej.

Osoba piastująca funkcję Inspektora Ochrony Danych powinna posiadać fachową wiedzę, współmierną poziomem do charakteru, złożoności i ilości przetwarzanych danych osobowych. IOD powinien cechować się dogłębną znajomością RODO, wiedzą w zakresie krajowych i europejskich przepisów o ochronie danych osobowych, wykazywać znajomość sektora działalności swojego Administratora, a także znać operacje przetwarzania danych, systemy IT i stosowane w organizacji zabezpieczenia oraz potrafić określić potrzeby w zakresie ochrony danych osobowych w swojej organizacji.

Równie ważne będą cechy osobiste, takie jak rzetelne podejście oraz wysoki poziom etyki zawodowej. 

Rozporządzenie nie narzuca sposobu współpracy z IOD. Osoba zajmująca to stanowisko może być zatrudniona zarówno na podstawie umowy o pracę, jak i na podstawie umowy o świadczeniu usług, jednakże nie może realizować obowiązków, które wynikają z innych umów zawartych z Administratorem (np. łączenie funkcji Dyrektora z funkcją IOD).

Zgodnie z art. 38 pkt 6 RODO osoba powołana na stanowisko IOD może wykonywać inne zadania i obowiązki, o ile nie powodują one konfliktu interesów z wykonywanymi zadaniami Inspektora. Stanowiska, których obejmowanie nie może łączyć się ze sprawowaniem funkcji IOD to: dyrektor generalny, dyrektor operacyjny, dyrektor finansowy, dyrektor ds. medycznych, kierownicy działów HR, IT, marketingu. Inspektor Ochrony Danych Osobowych nie powinien być także członkiem zarządu ani prokurentem

Jeżeli pracownicy niższego szczebla organizacji, tacy jak: księgowi, informatycy biorą udział w określaniu celów i sposobów przetwarzania danych, także nie mogą pełnić funkcji IOD.

Rozporządzenie unijne nie zezwala na łączenie funkcji Administratora Danych Osobowych i Inspektorem Ochrony Danych.

Kogo dotyczy RODO? IOD zna odpowiedź na to pytanie.

Zgodnie z zapisami w RODO do kluczowych zadań IOD należą:

  • realizowanie obowiązków informacyjnych,
  • monitorowanie przestrzegania przepisów prawa - identyfikacja i analiza procesów przetwarzania,
  • informowanie, doradzanie i rekomendowanie określonych działań Administratorowi lub podmiotowi przetwarzającemu,
  • szacowanie ryzyka związanego z operacjami przetwarzania z uwzględnieniem charakteru, zakresu i kontekstu celów przetwarzania,
  • współpraca z organem nadzorczym i pełnienie funkcji punktu kontaktowego dla organu nadzorczego,
  • prowadzenie audytów wewnątrz w organizacji,
  • przeprowadzanie szkoleń dla osób zatrudnionych oraz dbanie o właściwy poziom wiedzy w obszarze ochrony danych osobowych.

Nie istnieją żadne prawne obostrzenia dotyczące zlecania Inspektorowi Danych Osobowych innych zadań, natomiast należy pamiętać, że nie mogą one powodować konfliktu z istotą jego pracy (np. prowadzenie rejestru czynności przetwarzania (RCP) - nie jest obowiązkiem IOD wynikającym z przepisów, natomiast jest możliwe przy zapewnieniu właściwych zasobów do jego prowadzenia, zarówno merytorycznych, jak i czasowych).

Ponad wszystko należy pamiętać, że Inspektor Ochrony Danych to funkcja niezależna. Powinien być w organizacji traktowany jako partner, a nie pracownik wykonujący konkretne polecenia, niezależnie od sposobu współpracy. Administrator i/lub podmiot przetwarzający nie może udzielać wiążących instrukcji w zakresie m.in.: rozpoznania sprawy, rodzaju podjętych środków, konieczności kontaktu z organem nadzorczym.

Administrator Danych Osobowych a RODO.

Nie tylko Inspektor Ochrony Danych ma szczegółowo określone zadania. Na Administratorze Danych Osobowych także ciąży szereg obowiązków, a jego zaangażowanie wpływa znacznie na poziom pracy Inspektora Ochrony Danych.

Administrator powołując Inspektora Ochrony Danych w myśl art. 38 Ogólnego Rozporządzenia musi zagwarantować dostęp do danych oraz operacji przetwarzania, zapewnić odpowiednią pomoc kadry zarządzającej w organizacji, a także zagwarantować niezbędne do wykonywania swojej funkcji zasoby zarówno materialne, jak i czasowe. ADO jest także zobowiązany angażować IOD we wszystkie bieżące tematy związane z ochroną danych osobowych. Bardzo często będzie to oznaczało bezwzględne uczestnictwo Inspektora w spotkaniach kadry kierowniczej czy zarządu związanych z powyższą tematyką. 

IOD nie może być karany ani odwoływany przez Administratora. W zakresie swoich obowiązków IOD podlega właścicielowi/prezesowi/zarządowi organizacji. 

Powołanie Inspektora Ochrony Danych Osobowych - wzór.

Jak wynika z informacji powyżej to Administrator Danych odpowiada za znalezienie i wyznaczenie osoby, która spełnia wszystkie wymagania. Przed nim jeszcze jedno bardzo ważne zadanie – zgłoszenie Inspektora Ochrony Danych do organu nadzorczego, czyli Prezesa Urzędu Ochrony Danych Osobowych. Wykonanie tej czynności musi odbyć się w nieprzekraczalnym terminie 14 dniu od momentu wyznaczenia IOD.

Zawiadomienie PUODO o wyznaczeniu takiej osoby jest poprawne oraz skuteczne wyłącznie wówczas, kiedy dokonane zostanie w formie elektronicznej i potwierdzone będzie kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP (zgodnie z art. 10 ust. 6 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych). Zawiadomienie może zostać przesłane za pomocą jednego z dwóch kanałów:

  • usług znajdujących się na stronie www.biznes.gov.pl,
  • platformy ePUAP kierując się wskazówkami w zamieszczonej na stronie instrukcji.

W obu powyższych przypadkach prawidłowo dokonane zgłoszenie zostanie potwierdzone Urzędowym Poświadczeniem Przedłożenia w formie pliku upp.xml generowanym przez platformę biznes.gov.pl lub epuap.gov.pl. 

Może zdarzyć się sytuacja, że niemożliwym będzie, aby to Administrator Danych Osobowych dokonał zgłoszenia. Wówczas mamy możliwość skorzystać z przywileju powołania pełnomocnika. Może nim zostać wyznaczony pracownik lub inna zaufana osoba. Pełnomocnictwo, musi mieć formę dołączonego do zawiadomienia dokumentu elektronicznego, który obowiązkowo musi zostać opatrzony kwalifikowanym podpisem elektronicznym osoby udzielającej pełnomocnictwa.

Za udzielenie pełnomocnictwa należy wnieść opłatę, a dowód jej uiszczenia także dołączyć do zawiadomienia. Dopiero po spełnieniu wszystkich powyższych warunków złożenie zawiadomienia o wyznaczeniu Inspektora Ochrony Danych przez osobę niebędącą ADO będzie wykonane prawidłowo i skutecznie. 

Należy pamiętać, że IOD może zostać powołany w każdej organizacji, nawet jeśli nie jest to wymagane przepisami prawa. Jego wiedza i umiejętności na pewno pozwolą na lepsze funkcjonowanie w obszarze ochrony danych osobowych.

 

Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.