Nowe unijne prawo ochrony danych osobowych: Inspektor Ochrony Danych

Od 25 maja 2018 roku rozpocznie stosowanie Rozporządzenie ogólne o ochronie danych osobowych (RODO), które wprowadza instytucję Inspektora Ochrony Danych (IOD). IOD ma być osobą kontaktową, zajmującą się monitorowaniem zgodności przetwarzania danych z przepisami prawa w przedsiębiorstwie. IOD może być zarówno osobą zatrudnioną przez przedsiębiorcę (tak zwany wewnętrzny IOD) lub wykonywać zadania na podstawie umowy o świadczenie usług (tak zwany zewnętrzny IOD). IOD ma pełnić rolę pośrednika między organem nadzorczym a przedsiębiorcą i osobami, których dane dotyczą.

Powołanie

Niektóre podmioty będą zobowiązane do powołania IOD, niezależnie od tego, czy są administratorem danych czy podmiotem przetwarzającym. Obowiązek ten spoczywa na (i) podmiotach publicznych (z wyjątkiem sądów), (ii) podmiotach, których główna działalność polega na regularnym i systematycznym monitorowaniu osób, których dane dotyczą, na dużą skalę lub na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (takich jak dane osobowe ujawniające pochodzenie rasowe lub etniczne, przekonania religijne, dane dotyczące zdrowia) lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa. Obowiązkowe powołanie IOD będzie więc dotyczyło przykładowo ubezpieczycieli czy podmiotów świadczących usługi medyczne, ale może dotyczyć także podmiotów korzystających z programów lojalnościowych lub monitoringu wizyjnego. Każdy przedsiębiorca powinien sprawdzić, czy ten obowiązek nie będzie dotyczył również jego, w tym w przypadku rozszerzenia oferowanych usług. Państwa członkowskie mogą przyjąć szczególne regulacje w zakresie powołania IOD.

Grupa przedsiębiorstw może wyznaczyć jednego IOD, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Należy zadbać o to, że jeśli IOD będzie wykonywał również inne zadania i obowiązki, nie może to prowadzić do powstania konfliktu interesów. Taki konflikt interesów może wystąpić przykładowo w przypadku powołania jako IOD kierownika działu marketingu.

Niezależność

Samo wyznaczenie IOD nie zwolni przedsiębiorcy z obowiązku dostosowania się do przepisów RODO. IOD nie może otrzymywać instrukcji dotyczących wykonywanych przez niego zadań ani nie może być w tym zakresie karany. Przedsiębiorca będzie mógł jednak dochodzić od IOD roszczeń odszkodowawczych na podstawie właściwych przepisów krajowych. Podmiot powołujący IOD musi zapewnić mu odpowiednie warunki niezbędne do wykonania jego zadań, w tym dostęp do danych osobowych. Ponadto, IOD podlega bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Kwalifikacje i zadania

Istotne jest, aby IOD posiadał odpowiednie kwalifikacje zawodowe, w tym dysponował wiedzą i praktyką w zakresie ochrony danych osobowych. IOD jest wspierany przez inne działy firmy, w szczególności przez dział IT, prawny lub jeśli okaże się to konieczne - specjalnie powołany zespół.

Podstawowym zadaniem IOD jest uczestnictwo we wszystkich sprawach dotyczących ochrony danych osobowych w organizacji. IOD gromadzi oraz analizuje informacje dotyczące procesów przetwarzania danych w organizacji oraz udziela w tym zakresie zaleceń. W szczególności IOD informuje osoby w organizacji o obowiązkach związanych z ochroną danych osobowych, monitoruje ich przestrzeganie oraz kontaktuje się z organem nadzorczym. W zakresie wykonywanych zadań IOD jest zobowiązany do zachowania tajemnicy i poufności.

Obowiązek informacyjny

Przedsiębiorca ma obowiązek udostępnić dane kontaktowe IOD (niekoniecznie jego imię i nazwisko) w intranecie lub na stronie internetowej. O powołaniu IOD przedsiębiorca musi zawiadomić również organ nadzorczy, przy czym podaje się również imię i nazwisko IOD.

Jeśli mają Państwo wątpliwości, czy powołać IOD w przedsiębiorstwie zachęcamy do kontaktu ze specjalistami z Kancelarii SDZLEGAL SCHINDHELM: mec. Tomaszem Szarkiem, mec. Aleksandrą Baranowską-Górecką oraz mec. Anną Materlą.

Więcej o zasadach przetwarzania danych osobowych

Więcej o audycie zgodności z RODO

Więcej o sankcjach i odpowiedzialności