RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 dotyczące ochrony danych osobowych, które weszło w życie 24 maja 2016 r., a stosowane i egzekwowane będzie od 25 maja tego roku, wprowadza istotne zmiany w sektorze ochrony danych osobowych. Z jednej strony zwiększa prawa osób, których dane są przetwarzane, z drugiej zaś na administratorów tych danych nakłada nowe obowiązki. Jednym z nich jest wprowadzenie funkcji inspektora ochrony danych (IOD, nazywany też DPO od z ang. Data protection officer). Jego zadaniem – tak jak obecnie administratorów bezpieczeństwa informacji (ABI) – będzie działanie na rzecz zgodnego z przepisami o ochronie danych przetwarzania danych, zarówno w sferze administracji publicznej, jak i w sektorze prywatnym.
Obowiązek a nie uprawnienie
Jak przypomina Generalny Inspektor Ochrony Danych Osobowych zadania inspektora ochrony danych w ogólnym rozporządzeniu o ochronie danych zostały sformułowane w sposób ogólny, bez wskazania trybu oraz terminów ich realizacji. Jest to istotna różnica w stosunku do tego co obecnie przewiduje ustawa o ochronie danych osobowych i akty do niej wykonawcze w zakresie zadań ABI. Dodatkowo, jak przypomina GIODO, nowe przepisy istotnie wzmacniają rolę i pozycję IOD. Jednym z najważniejszych przejawów tego wzmocnienia jest fakt, że wyznaczenie inspektora ochrony danych stanie się w wielu przypadkach obowiązkiem, a nie – jak dotąd – uprawnieniem administratora danych.
Kto może, a kto musi wyznaczyć inspektora ochrony danych?
Rozporządzenie przewiduje obligatoryjne wyznaczenie inspektora w sytuacji, gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę oraz gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych. W pozostałych przypadkach wyznaczenie inspektora będzie fakultatywne.
Zadania inspektora
Inspektor ochrony danych będzie musiał wykazywać się wiedzą zarówno teoretyczną, jak i praktyczną dotyczącą ogólnego rozporządzenia o ochronie danych oraz przepisów krajowych regulujących przetwarzanie danych. Do jego obowiązków będzie należało m.in. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe o obowiązkach spoczywających na nich na mocy rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie. Inspektor będzie miał także za zadanie monitorowanie przestrzegania rozporządzenia i innych przepisów o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych. To on będzie dokonywał w tym zakresie podziału obowiązków i prowadził szkolenia personelu, a także audyty. IOD będzie także musiał współpracować z organem nadzorczym i pełnić funkcję punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem. Będzie on także pełnił rolę punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy rozporządzenia. Jego zadaniem będzie także prowadzenie rejestru czynności lub rejestru kategorii czynności. Więcej o zadaniach inspektora danych osobowych: abi.giodo.gov.pl
Forma zatrudnienia IOD
Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników danego podmiotów. Możliwe będzie więc nadal pełnienie funkcji inspektora ochrony danych w modelu outsourcingu, na podstawie umowy o świadczenie usług. Mimo, że również obecnie, funkcję ABI wykonują zarówno osoby będące pracownikami administratorów danych, jak i osoby, które zawarły z administratorem danych umowę cywilnoprawną, ustawa o ochronie danych osobowych nie zawiera przepisu wprost odnoszącego się do tego zagadnienia. Należy jednak pamiętać, że osoba wykonująca funkcję IOD na podstawie umowy o świadczenie usług musi spełniać wszystkie wymogi stawiane przez przepisy RODO, np. wymogi dotyczące unikania konfliktu interesów, gwarancji niezależności, łatwości nawiązania z nim kontaktu, właściwego i terminowego włączania go we wszystkie sprawy dotyczące ochrony danych osobowych. Nowością przewidzianą w rozporządzeniu jest możliwość powołania jednego inspektora ochrony danych dla kilku podmiotów.
Autor:
Wojciech Ośka
Partner Zarządzający odpowiedzialny za Departament Marketingu i Szkoleń oraz Outsourcingu Kadr i Płac. Od 2013 roku związany z kancelarią Russell Bedford Poland. W Russell Bedford odpowiedzialny za kształtowanie i rozwój usług szkoleniowych oraz outsourcingowych, marketing firmy i kontakt z mediami. W latach 2005 – 2013 podczas współpracy z BDO uczestniczył w kreowaniu wizerunku, jednej z wiodących firm audytorsko-konsultingowych, w zakresie rozwoju usług szkoleniowych jak i wizerunku całej grupy, pełniąc m.in. funkcję kierownika działu sprzedaży oraz osoby odpowiedzialnej za projektowanie i realizacji materiałów promocyjnych, w tym sieci stron www. Dysponuje bogatym, popartym wieloletnią praktyką zawodową doświadczeniem eksperckim w zakresie doradztwa sprzedażowego i marketingu. Brał udział we wdrożeniach licznych projektów informatycznych na styku informatyki z szeroko rozumianymi finansami. Autor publikacji z zakresu szkoleń i kształcenia kadr. Ukończył studia ekonomiczne oraz studia podyplomowe z zakresu zarządzania.
