LexDigital

Inspektor Ochrony Danych Osobowych - odpowiedzialność i kompetencje

Codziennie na portalach rekrutacyjnych pojawiają się nowe ogłoszenia pracodawców dotyczące objęcia stanowiska IOD. Skąd ta nagła fala poszukiwań osób na stanowisko, o którym jeszcze do niedawna nikt nie słyszał?

Inspektor Ochrony Danych Osobowych - odpowiedzialność i kompetencje

Inspektor Ochrony Danych Osobowych - nowe stanowisko w organizacjach

25 maja 2018 roku to z pewnością początek nowej ery w ochronie danych osobowych. Wprowadzone tego dnia regulacje są z całym przekonaniem jednym z najczęściej komentowanych tematów ostatnich miesięcy. Rygorystyczne, a zarazem często niezrozumiałe przepisy, sprawiają, że temat RODO napawa wiele osób lękiem. Tylko ugruntowane, merytoryczne podejście do kwestii nowych regulacji pozwoli posiąść wiedzę niezbędną do funkcjonowania w „świecie” RODO. 

Na początku warto przyjrzeć się szeroko komentowanej funkcji Inspektora Ochrony Danych (IOD). Codziennie na portalach rekrutacyjnych pojawiają się nowe ogłoszenia pracodawców dotyczące objęcia stanowiska IOD. Skąd ta nagła fala poszukiwań osób na stanowisko, o którym jeszcze do niedawna nikt nie słyszał?

Inspektor Ochrony Danych Osobowych w firmie - kiedy musimy go powołać?

Otóż dotychczasowa funkcja Administratora Bezpieczeństwa Informacji (ABI) z dniem 25 maja 2018 roku została przekształcona, w myśl nowych przepisów Unii Europejskiej, w Inspektora Ochrony Danych – z angielskiego Data Protection Officer, czyli DPO. Jakie w takim wypadku losy spotkały dotychczasowych Administratorów Bezpieczeństwa Informacji? Odpowiedź na to pytanie znajdziemy w nowej ustawie o ochronie danych osobowych z dnia 10 maja 2018 r. W uchwalonym przez Senat dokumencie znajduje się informacja, że osoba, która w dniu 25 maja 2018 r. pełniła funkcję ABI automatycznie stała się IOD i piastowała to stanowisko do 1 września 2018 r. Wyjątkiem od powyższej reguły była sytuacja, w której ADO, do końca sierpnia 2018 powiadomił Prezesa Urzędu Ochrony Danych Osobowych – Prezesa UODO o wyznaczeniu i powołaniu nowej osoby na to stanowisko. Wówczas następowała kontynuacja pełnienia funkcji przez wyznaczoną osobę. 

ADO, który nie był w myśl nowych przepisów zobligowany do powołania IOD, mógł odwołać ze stanowiska dotychczasową osobę pełniącą funkcję ABI, bez konieczności powiadamiania o tym Prezesa Urzędu Ochrony Danych. 

Warunki powołania Inspektora Ochrony Danych przez Administratora lub podmiot przetwarzający określa artykuł 37 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 24.04.2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych - RODO. Administrator danych osobowych zobligowany jest wybrać i powołać Inspektora Ochrony Danych gdy spełnia chociaż jeden z poniższych warunków:

  • główna działalność ADO lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub
  • główna działalność ADO lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych dotyczących wyroków skazujących i naruszeń prawa.

Jak Administrator Danych Osobowych ma wybrać odpowiedniego IOD?

W myśl RODO, IOD ma być pośrednikiem pomiędzy stronami. Staje się punktem kontaktowym dla organu nadzorczego, każdego pracownika organizacji oraz osób spoza niej.

Osoba piastująca funkcję Inspektora Ochrony Danych powinna posiadać fachową wiedzę, współmierną poziomem do charakteru, złożoności i ilości przetwarzanych danych osobowych. IOD powinien cechować się dogłębną znajomością RODO, wiedzą w zakresie krajowych i europejskich przepisów o ochronie danych osobowych, wykazywać znajomość sektora działalności swojego Administratora, a także znać operacje przetwarzania danych, systemy IT i stosowane w organizacji zabezpieczenia oraz potrafić określić potrzeby w zakresie ochrony danych osobowych w swojej organizacji.

Równie ważne będą cechy osobiste, takie jak rzetelne podejście oraz wysoki poziom etyki zawodowej. 

Rozporządzenie nie narzuca sposobu współpracy z IOD. Osoba zajmująca to stanowisko może być zatrudniona zarówno na podstawie umowy o pracę, jak i na podstawie umowy o świadczeniu usług, jednakże nie może realizować obowiązków, które wynikają z innych umów zawartych z Administratorem (np. łączenie funkcji Dyrektora z funkcją IOD).

Zgodnie z art. 38 pkt 6 RODO osoba powołana na stanowisko IOD może wykonywać inne zadania i obowiązki, o ile nie powodują one konfliktu interesów z wykonywanymi zadaniami Inspektora. Stanowiska, których obejmowanie nie może łączyć się ze sprawowaniem funkcji IOD to: dyrektor generalny, dyrektor operacyjny, dyrektor finansowy, dyrektor ds. medycznych, kierownicy działów HR, IT, marketingu. Inspektor Ochrony Danych Osobowych nie powinien być także członkiem zarządu ani prokurentem

Jeżeli pracownicy niższego szczebla organizacji, tacy jak: księgowi, informatycy biorą udział w określaniu celów i sposobów przetwarzania danych, także nie mogą pełnić funkcji IOD.

Rozporządzenie unijne nie zezwala na łączenie funkcji Administratora Danych Osobowych i Inspektorem Ochrony Danych.

Kogo dotyczy RODO? IOD zna odpowiedź na to pytanie.

Zgodnie z zapisami w RODO do kluczowych zadań IOD należą:

  • realizowanie obowiązków informacyjnych,
  • monitorowanie przestrzegania przepisów prawa - identyfikacja i analiza procesów przetwarzania,
  • informowanie, doradzanie i rekomendowanie określonych działań Administratorowi lub podmiotowi przetwarzającemu,
  • szacowanie ryzyka związanego z operacjami przetwarzania z uwzględnieniem charakteru, zakresu i kontekstu celów przetwarzania,
  • współpraca z organem nadzorczym i pełnienie funkcji punktu kontaktowego dla organu nadzorczego,
  • prowadzenie audytów wewnątrz w organizacji,
  • przeprowadzanie szkoleń dla osób zatrudnionych oraz dbanie o właściwy poziom wiedzy w obszarze ochrony danych osobowych.

Nie istnieją żadne prawne obostrzenia dotyczące zlecania Inspektorowi Danych Osobowych innych zadań, natomiast należy pamiętać, że nie mogą one powodować konfliktu z istotą jego pracy (np. prowadzenie rejestru czynności przetwarzania (RCP) - nie jest obowiązkiem IOD wynikającym z przepisów, natomiast jest możliwe przy zapewnieniu właściwych zasobów do jego prowadzenia, zarówno merytorycznych, jak i czasowych).

Ponad wszystko należy pamiętać, że Inspektor Ochrony Danych to funkcja niezależna. Powinien być w organizacji traktowany jako partner, a nie pracownik wykonujący konkretne polecenia, niezależnie od sposobu współpracy. Administrator i/lub podmiot przetwarzający nie może udzielać wiążących instrukcji w zakresie m.in.: rozpoznania sprawy, rodzaju podjętych środków, konieczności kontaktu z organem nadzorczym.

Administrator Danych Osobowych a RODO.

Nie tylko Inspektor Ochrony Danych ma szczegółowo określone zadania. Na Administratorze Danych Osobowych także ciąży szereg obowiązków, a jego zaangażowanie wpływa znacznie na poziom pracy Inspektora Ochrony Danych.

Administrator powołując Inspektora Ochrony Danych w myśl art. 38 Ogólnego Rozporządzenia musi zagwarantować dostęp do danych oraz operacji przetwarzania, zapewnić odpowiednią pomoc kadry zarządzającej w organizacji, a także zagwarantować niezbędne do wykonywania swojej funkcji zasoby zarówno materialne, jak i czasowe. ADO jest także zobowiązany angażować IOD we wszystkie bieżące tematy związane z ochroną danych osobowych. Bardzo często będzie to oznaczało bezwzględne uczestnictwo Inspektora w spotkaniach kadry kierowniczej czy zarządu związanych z powyższą tematyką. 

IOD nie może być karany ani odwoływany przez Administratora. W zakresie swoich obowiązków IOD podlega właścicielowi/prezesowi/zarządowi organizacji. 

Powołanie Inspektora Ochrony Danych Osobowych - wzór.

Jak wynika z informacji powyżej to Administrator Danych odpowiada za znalezienie i wyznaczenie osoby, która spełnia wszystkie wymagania. Przed nim jeszcze jedno bardzo ważne zadanie – zgłoszenie Inspektora Ochrony Danych do organu nadzorczego, czyli Prezesa Urzędu Ochrony Danych Osobowych. Wykonanie tej czynności musi odbyć się w nieprzekraczalnym terminie 14 dniu od momentu wyznaczenia IOD.

Zawiadomienie PUODO o wyznaczeniu takiej osoby jest poprawne oraz skuteczne wyłącznie wówczas, kiedy dokonane zostanie w formie elektronicznej i potwierdzone będzie kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP (zgodnie z art. 10 ust. 6 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych). Zawiadomienie może zostać przesłane za pomocą jednego z dwóch kanałów:

  • usług znajdujących się na stronie www.biznes.gov.pl,
  • platformy ePUAP kierując się wskazówkami w zamieszczonej na stronie instrukcji.

W obu powyższych przypadkach prawidłowo dokonane zgłoszenie zostanie potwierdzone Urzędowym Poświadczeniem Przedłożenia w formie pliku upp.xml generowanym przez platformę biznes.gov.pl lub epuap.gov.pl. 

Może zdarzyć się sytuacja, że niemożliwym będzie, aby to Administrator Danych Osobowych dokonał zgłoszenia. Wówczas mamy możliwość skorzystać z przywileju powołania pełnomocnika. Może nim zostać wyznaczony pracownik lub inna zaufana osoba. Pełnomocnictwo, musi mieć formę dołączonego do zawiadomienia dokumentu elektronicznego, który obowiązkowo musi zostać opatrzony kwalifikowanym podpisem elektronicznym osoby udzielającej pełnomocnictwa.

Za udzielenie pełnomocnictwa należy wnieść opłatę, a dowód jej uiszczenia także dołączyć do zawiadomienia. Dopiero po spełnieniu wszystkich powyższych warunków złożenie zawiadomienia o wyznaczeniu Inspektora Ochrony Danych przez osobę niebędącą ADO będzie wykonane prawidłowo i skutecznie. 

Należy pamiętać, że IOD może zostać powołany w każdej organizacji, nawet jeśli nie jest to wymagane przepisami prawa. Jego wiedza i umiejętności na pewno pozwolą na lepsze funkcjonowanie w obszarze ochrony danych osobowych.

 

Polecane

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.