languageRU      languageEN      internationalInternational        phoneZadzwoń do nas: 22 276 61 80

Jesteś tutaj:Start/Baza wiedzy/Zmiany w prawie/Inspektor danych osobowych (IOD) – nowy urząd i jego kompetencje
sobota, 30 czerwiec 2018 10:33

Inspektor danych osobowych (IOD) – nowy urząd i jego kompetencje

Już od 25 maja niemalże każda placówka przetwarzająca dane osobowe będzie musiała posiadać inspektora danych osobowych. Osobę taką można zatrudnić, jednak ciekawą alternatywą jest także outsourcing tego stanowiska.

 

RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 dotyczące ochrony danych osobowych, które weszło w życie 24 maja 2016 r., a stosowane i egzekwowane będzie od 25 maja tego roku, wprowadza istotne zmiany w sektorze ochrony danych osobowych. Z jednej strony zwiększa prawa osób, których dane są przetwarzane, z drugiej zaś na administratorów tych danych nakłada nowe obowiązki. Jednym z nich jest wprowadzenie funkcji inspektora ochrony danych (IOD, nazywany też DPO od z ang. Data protection officer). Jego zadaniem – tak jak obecnie administratorów bezpieczeństwa informacji (ABI) – będzie działanie na rzecz zgodnego z przepisami o ochronie danych przetwarzania danych, zarówno w sferze administracji publicznej, jak i w sektorze prywatnym.

Obowiązek a nie uprawnienie

Jak przypomina Generalny Inspektor Ochrony Danych Osobowych zadania inspektora ochrony danych w ogólnym rozporządzeniu o ochronie danych zostały sformułowane w sposób ogólny, bez wskazania trybu oraz terminów ich realizacji. Jest to istotna różnica w stosunku do tego co obecnie przewiduje ustawa o ochronie danych osobowych i akty do niej wykonawcze w zakresie zadań ABI. Dodatkowo, jak przypomina GIODO, nowe przepisy istotnie wzmacniają rolę i pozycję IOD. Jednym z najważniejszych przejawów tego wzmocnienia jest fakt, że wyznaczenie inspektora ochrony danych stanie się w wielu przypadkach obowiązkiem, a nie – jak dotąd – uprawnieniem administratora danych.

Kto może, a kto musi wyznaczyć inspektora ochrony danych?

Rozporządzenie przewiduje obligatoryjne wyznaczenie inspektora w sytuacji, gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę oraz gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych. W pozostałych przypadkach wyznaczenie inspektora będzie fakultatywne.

Zadania inspektora

Inspektor ochrony danych będzie musiał wykazywać się wiedzą zarówno teoretyczną, jak i praktyczną dotyczącą ogólnego rozporządzenia o ochronie danych oraz przepisów krajowych regulujących przetwarzanie danych. Do jego obowiązków będzie należało m.in. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe o obowiązkach spoczywających na nich na mocy rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie. Inspektor będzie miał także za zadanie monitorowanie przestrzegania rozporządzenia i innych przepisów o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych. To on będzie dokonywał w tym zakresie podziału obowiązków i prowadził szkolenia personelu, a także audyty. IOD będzie także musiał współpracować z organem nadzorczym i pełnić funkcję punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem. Będzie on także pełnił rolę punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy rozporządzenia. Jego zadaniem będzie także prowadzenie rejestru czynności lub rejestru kategorii czynności. Więcej o zadaniach inspektora danych osobowych: abi.giodo.gov.pl

Forma zatrudnienia IOD

Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników danego podmiotów. Możliwe będzie więc nadal pełnienie funkcji inspektora ochrony danych w modelu  outsourcingu, na podstawie umowy o świadczenie usług. Mimo, że również obecnie, funkcję ABI wykonują zarówno osoby będące pracownikami administratorów danych, jak i osoby, które zawarły z administratorem danych umowę cywilnoprawną, ustawa o ochronie danych osobowych nie zawiera przepisu wprost odnoszącego się do tego zagadnienia. Należy jednak pamiętać, że osoba wykonująca funkcję IOD na podstawie umowy o świadczenie usług musi spełniać wszystkie wymogi stawiane przez przepisy RODO, np. wymogi dotyczące unikania konfliktu interesów, gwarancji niezależności, łatwości nawiązania z nim kontaktu, właściwego i terminowego włączania go we wszystkie sprawy dotyczące ochrony danych osobowych. Nowością przewidzianą w rozporządzeniu jest możliwość powołania jednego inspektora ochrony danych dla kilku podmiotów.

Autor: 

Wojciech Ośka

Wojciech Ośka

Partner Zarządzający odpowiedzialny za Departament Marketingu i Szkoleń oraz Outsourcingu Kadr i Płac.  Od 2013 roku związany z kancelarią Russell Bedford Poland. W Russell Bedford odpowiedzialny za kształtowanie i rozwój usług szkoleniowych oraz outsourcingowych, marketing firmy i kontakt z mediami. W latach 2005 – 2013 podczas współpracy z BDO uczestniczył w kreowaniu wizerunku, jednej z wiodących firm audytorsko-konsultingowych,  w zakresie rozwoju usług szkoleniowych jak i wizerunku całej grupy, pełniąc m.in. funkcję kierownika działu sprzedaży oraz osoby odpowiedzialnej za projektowanie i realizacji materiałów promocyjnych, w tym sieci stron www.  Dysponuje bogatym, popartym wieloletnią praktyką zawodową doświadczeniem eksperckim w zakresie doradztwa sprzedażowego i marketingu. Brał udział we wdrożeniach licznych projektów informatycznych na styku informatyki z szeroko rozumianymi finansami. Autor publikacji z zakresu szkoleń i kształcenia kadr. Ukończył studia ekonomiczne oraz studia podyplomowe z zakresu zarządzania.

Nasze publikacje

rbiuletyn

 

lipiec-wrzesień 2023

RB Biuletyn numer 44

pobierz magazyn

Nasze publikacje

rb restrukturyzacje             russellbedford             rbdombrokersi