Działalność gospodarcza Ochrona Danych Osobowych

Wyznaczenie Inspektora Ochrony Danych – procedura oraz korzyści płynące z jego wyznaczenia

Wejście w życie przepisów RODO, wprowadzających szereg zmian z zakresu ochrony danych osobowych, skutkowało pojawieniem się wielu wątpliwości, co do obowiązków administratorów oraz podmiotów przetwarzających dane. Chcąc wyjść naprzeciw oczekiwaniom naszych Czytelników, postanowiliśmy przybliżyć Państwu instytucję Inspektora Ochrony Danych (IOD), który od dnia 25 maja 2018 roku jest ważnym elementem w zapewnieniu przestrzegania przepisów z obszaru ochrony danych osobowych.

 

Kim jest Inspektor Ochrony Danych?

Inspektor Ochrony Danych (IOD) jest to osoba fizyczna wyznaczana przez administratora lub podmiot przetwarzający na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Obowiązkiem Inspektorów Ochrony Danych – tak jak wcześniej Administratorów Bezpieczeństwa Informacji (ABI) – są działania na rzecz przetwarzania danych  zgodnego z przepisami o ochronie danych osobowych, zarówno w administracji publicznej, jak i w sektorze prywatnym. Do zadań IOD należy przede wszystkim obowiązek wewnętrznego monitorowania przestrzegania przepisów RODO oraz informowania administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych aktów prawnych regulujących tematykę ochrony danych osobowych. Dodatkowo, to właśnie do zakresu obowiązków Inspektora Ochrony Danych należy współpraca z organem nadzorczym ukierunkowana na usprawnienie dostępu do wszelkich zażądanych przez Urząd Ochrony Danych Osobowych dokumentów czy informacji.

Kto może być Inspektorem Ochrony Danych?

Rozporządzenie zakłada, że funkcja IOD może być pełniona nie tylko przez członka personelu administratora lub podmiotu przetwarzającego, ale również na podstawie umowy o świadczenie usług. Należy pamiętać jednak, że Inspektor Ochrony Danych powinien być osobą cieszącą się autorytetem wśród współpracowników, a jego stanowisko – w pełni samodzielne. Zaleca się, aby nie był to więc szeregowy pracownik. Ponadto, mając na względzie transparentność praktyk administratora danych osobowych, jak również ze względów organizacyjnych, konieczne jest precyzyjne określenie zakresu zadań IOD w umowie, co pozwoli na uniknięcie w przyszłości konfliktów kompetencyjnych. Podkreślenia wymaga, że osoba pełniąca funkcję IOD na podstawie umowy o świadczenie usług musi spełniać wszystkie wymogi stawiane przez przepisy RODO, tj. wymogi dotyczące m.in. unikania konfliktu interesów oraz gwarancji niezależności. Grupa Robocza art. 29 w Wytycznych dotyczących inspektorów danych osobowych wskazuje, ze funkcja IOD może być również pełniona na podstawie umowy o świadczenie usług zawartej nie tylko z osobą fizyczną, ale też innym podmiotem. W takim przypadku konieczne jest jednak, aby wszystkie osoby wchodzące w jego skład dawały rękojmię należytego wykonywania obowiązków IOD, w szczególności posiadały odpowiednie kwalifikacje zawodowe, o których mowa w RODO.

Kto musi, a kto może wyznaczyć Inspektora Danych Osobowych?

Zarówno przepisy RODO jak i ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000) nakłada na niektórych administratorów oraz podmioty przetwarzających dane osobowe obowiązek wyznaczenia Inspektora Ochrony Danych. Zgodnie z art. 37 ust. 1 RODO administrator i podmiot przetwarzający wyznaczają Inspektora Ochrony Danych, zawsze gdy:

a) przetwarzania dokonują organ lub podmiot publiczny,
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego
i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Niemniej jednak, nawet jeżeli przepisy bezpośrednio nie nakładają obowiązku powołania IOD, administrator oraz podmiot przetwarzający mogą dobrowolne wyznaczyć spełniającą kryteria osobę fizyczną na to stanowisko. Przy rozważaniach czy wyznaczenie Inspektora Ochrony Danych Osobowych podmioty dysponujące danymi osobowymi powinny wziąć pod uwagę skalę przetwarzania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych.

Ponadto w sytuacji, gdy z przepisów nie wynika obowiązek wyznaczenia Inspektora Ochrony Danych, dobrą praktyką będzie udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku lub braku obowiązku wyznaczenia IOD. Dokumenty potwierdzające przeprowadzenie takiej procedury mogą być niezbędne w trakcie kontroli organu nadzorczego, celem wykazania, iż stosowne czynniki zostały uwzględnione oraz potwierdzenia przestrzegania przez podmiot kontrolowany zasady rozliczalności (wykazanie przestrzegania zasad ochrony danych wymienionych w art. 5 ust. 1 RODO).

 

Czy należy poinformować organ kontroli o wyznaczeniu IOD?

W przypadku wyznaczenia Inspektora Ochrony Danych, administrator lub podmiot przetwarzający obowiązani są w terminie 14 dni od dnia wyznaczenia, poinformować o tym fakcie organ nadzorczy oraz opublikować dane kontaktowe IOD, tj. imię, nazwisko, adres poczty elektronicznej lub numer telefonu. Celem powyższych działań jest zapewnienie, aby osoby, których dane dotyczą oraz organy nadzorcze mogły mieć łatwy i bezpośredni kontakt z IOD, bez konieczności kontaktowania się z innymi jednostkami tego podmiotu, co bez wątpienia stanowi jedną z zalet wyznaczenia osoby na tę funkcje, mimo braku obowiązku prawnego.

 

Czy należy poinformować organ kontroli o wyznaczeniu Inspektora?

W przypadku wyznaczenia Inspektora Ochrony Danych, administrator lub podmiot przetwarzający obowiązani są w terminie 14 dni od dnia wyznaczenia, poinformować o tym fakcie organ nadzorczy oraz opublikować dane kontaktowe IOD, tj. imię, nazwisko, adres poczty elektronicznej lub numer telefonu. Celem powyższych działań jest zapewnienie, aby osoby, których dane dotyczą oraz organy nadzorcze mogły mieć łatwy i bezpośredni kontakt z Inspektorem, bez konieczności kontaktowania się z innymi jednostkami tego podmiotu, co bez wątpienia stanowi jedną z zalet wyznaczenia osoby na tę funkcje, mimo braku obowiązku prawnego.

Inspektor Ochrony Danych (IDO) jako następca Administratora Bezpieczeństwa Informacji (ABI)

Przed wejściem w życie przepisów RODO w polskim porządku prawnym funkcjonowała instytucja Administratora Bezpieczeństwa Informacji (ABI). Niemniej jednak – po dniu 25 maja 2018 roku – rolę fachowego wsparcia dla administratorów danych oraz podmiotów przetwarzających przejęli Inspektorzy Ochrony Danych. Pojawia się więc pytanie jak będzie wyglądała rola dotychczasowych ABI w momencie rozpoczęcia obowiązywania nowych przepisów? Odpowiedź możemy znaleźć w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych.

Zgodnie z art. 158 ust. 1 ustawy, osoba pełniąca w dniu 24 maja 2018 r. funkcję Administratora Bezpieczeństwa Informacji staje się Inspektorem Ochrony Danych i pełni ją bo dnia 1 września 2018 r., chyba że przed tą datą administrator zawiadomi Prezesa Urzędu o wyznaczeniu innej osoby na to stanowisko. Innymi słowy, z mocy ustawy obecni Administratorzy Bezpieczeństwa Informacji (a dokładnie – ci, którzy byli nimi w dniu 24 maja 2018 r.) stali się automatycznie Inspektorami Ochrony Danych i mogą pełnić tę funkcję do 1 września 2018 r. W celu zachowania stanowiska również po tej dacie, administrator lub podmiot przetwarzający będzie zobowiązany zawiadomić o takiej woli Prezesa Urzędu Ochrony Danych.

 

Podsumowanie

Obowiązujące od dnia 25 maja 2018 r. przepisy RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych istotnie wzmacniają rolę i pozycję Inspektorów Ochrony Danych. Jednym z najważniejszych przejawów tego wzmocnienia jest fakt, że wyznaczenie IOD staje się w wielu przypadkach obowiązkiem, a nie jak dotąd, uprawnieniem. Niezależnie od tego, czy wyznaczenie IOD jest obowiązkowe czy dobrowolne, należy pamiętać, że to administrator lub podmiot przetwarzający są obowiązani do przetwarzania danych osobowych zgodnie z przepisami prawa. Dlatego też – w celu uniknięcia wysokich kar pieniężnych – dobrą praktyką będzie dobrowolnie wyznaczenie przez administratorów lub podmiotów przetwarzających Inspektora Ochrony Danych.

 

Marta Rabe-Kozłowska

Marta Rabe-Kozłowska

Radca Prawny

Email: m.rabe-kozlowska@turcza.com.pl

Mec. Marta Rabe-Kozłowska jest specjalistką z zakresu prawa spółek handlowych, prawa gospodarczego, prawa cywilnego oraz legal english.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *