Abimar - Zewnętrzny Inspektor Ochrony Danych
Powrót do bloga
IOD17 listopada 2018

Co to jest IOD i kiedy trzeba go wyznaczyć

Inspektor Ochrony Danych to kluczowa rola w organizacji. Poznaj obowiązki IOD oraz sytuacje, w których wyznaczenie go jest obligatoryjne.

Co to jest IOD i kiedy trzeba go wyznaczyć

Kim jest Inspektor Ochrony Danych?

Inspektor Ochrony Danych (IOD), znany również jako Data Protection Officer (DPO), to osoba odpowiedzialna za nadzór nad przestrzeganiem przepisów o ochronie danych osobowych w organizacji. IOD pełni rolę eksperta i doradcy w zakresie RODO.

Kiedy wyznaczenie IOD jest obowiązkowe?

Zgodnie z art. 37 RODO, wyznaczenie IOD jest obowiązkowe w trzech sytuacjach:

1. Przetwarzanie przez organ lub podmiot publiczny.

Wszystkie organy i podmioty publiczne (z wyjątkiem sądów działających w ramach wymiaru sprawiedliwości) muszą wyznaczyć IOD. Dotyczy to:

  • a) urzędów administracji państwowej i samorządowej,

  • b) szkół i placówek oświatowych,

  • c) publicznych zakładów opieki zdrowotnej,

  • d) instytucji kultury,

  • e) uczelni publicznych.

2. Regularne i systematyczne monitorowanie.

Gdy główna działalność administratora lub podmiotu przetwarzającego polega na regularnym i systematycznym monitorowaniu osób na dużą skalę. Przykłady:

  • Banki i instytucje finansowe (monitoring transakcji, scoring)

  • Firmy ubezpieczeniowe (ocena ryzyka)

  • Firmy telekomunikacyjne (monitoring ruchu)

  • Agencje marketingowe (profilowanie i targetowanie)

  • Operatorzy platform internetowych

3. Przetwarzanie szczególnych kategorii danych

Gdy główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych (art. 9 RODO) lub danych dotyczących wyroków i naruszeń prawa (art. 10 RODO):

  • Prywatne placówki medyczne

  • Laboratoria diagnostyczne

  • Firmy prowadzące badania genetyczne

  • Organizacje związkowe

  • Związki wyznaniowe

IOD wewnętrzny vs zewnętrzny

IOD wewnętrzny

Może być pracownikiem organizacji.

Zalety:

  • Lepsza znajomość specyfiki organizacji

  • Stała obecność i dostępność

  • Łatwiejsza komunikacja wewnętrzna

Wady:

  • - możliwe konflikty interesów,

  • - konieczność zapewnienia odpowiednich kwalifikacji,

  • - dodatkowe obciążenie pracownika,

IOD zewnętrzny (outsourcing)

Może być osobą spoza organizacji, działającą na podstawie umowy o świadczenie usług.

Zalety:

  • Brak konfliktów interesów

  • Szeroka wiedza z wielu organizacji

  • Elastyczność i skalowalność

  • Mniejsze koszty niż zatrudnienie

Wady:

  • Mniejsza dostępność niż pracownik wewnętrzny

  • Konieczność dzielenia się informacjami z podmiotem zewnętrznym

Zadania Inspektora Ochrony Danych

Zgodnie z art. 39 RODO, do zadań IOD należy:

1. Informowanie i doradzanie

  • Informowanie administratora, podmiotu przetwarzającego oraz pracowników o obowiązkach wynikających z RODO

  • Udzielanie porad na żądanie co do oceny skutków dla ochrony danych (DPIA)

2. Monitorowanie zgodności

  • Monitorowanie przestrzegania RODO i innych przepisów o ochronie danych

  • Monitorowanie polityk administratora w dziedzinie ochrony danych

  • Przydzielanie obowiązków i szkolenie personelu

  • Przeprowadzanie audytów

3. Współpraca z organem nadzorczym

  • Działanie jako punkt kontaktowy dla organu nadzorczego (UODO)

  • Konsultacje we wszelkich kwestiach związanych z przetwarzaniem

Wymagania wobec IOD

Inspektor Ochrony Danych powinien:

  • Posiadać wiedzę fachową z zakresu prawa i praktyk w dziedzinie ochrony danych

  • Umieć wypełniać zadania określone w art. 39 RODO

  • Być wyznaczony na podstawie kwalifikacji zawodowych

  • Nie otrzymywać instrukcji dotyczących wykonywania swoich zadań

  • Bezpośrednio podlegać najwyższemu kierownictwu

Niezależność IOD

IOD musi być niezależny i nie może:

  • Być zwolniony lub ukarany za wykonywanie swoich zadań

  • Otrzymywać poleceń dotyczących sposobu wykonywania zadań

  • Pełnić funkcji, które mogłyby prowadzić do konfliktu interesów

Zgłoszenie IOD do UODO

Administrator musi przekazać dane kontaktowe IOD do Prezesa UODO. Zgłoszenia dokonuje się przez:

  • Formularz elektroniczny na stronie UODO

  • Należy podać: dane IOD, dane administratora, zakres odpowiedzialności

Konsekwencje braku IOD

Niewskazanie IOD, gdy jest to obowiązkowe, może skutkować:

  • Karą administracyjną do 10 mln euro lub 2% rocznego obrotu

  • Nakazem wydanym przez UODO

  • Problemami podczas kontroli

Podsumowanie

Inspektor Ochrony Danych to kluczowa postać w systemie ochrony danych osobowych. Prawidłowe wyznaczenie i współpraca z IOD to gwarancja zgodności z RODO i bezpieczeństwa przetwarzanych danych osobowych. Jeśli nie jesteś pewien, czy musisz wyznaczyć IOD, warto skonsultować się z ekspertem.

Poprzedni artykuł
Zasady RODO
Następny artykuł
Naruszenie ochrony danych - obowiązki administratora