fbpx
Zaznacz stronę

RODO wprowadziło nową rolę, która zastąpiła dotychczasowego Administratora Bezpieczeństwa Informacji. Jest nim IOD, czyli Inspektor Ochrony Danych. Jak wiadomo, oprócz instytucji publicznych, także niektóre przedsiębiorstwa i organizacje będą musiały mieć taką osobę w swoich szeregach. Na jakich warunkach zatem Inspektor może działać? Komu podlega? Jakie ma obowiązki? O tym zamierzam Wam w tym wpisie opowiedzieć.

 

Zgodnie z RODO, Inspektor Ochrony Danych – bez względu czy jest pracownikiem Administratora czy też nie – musi być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny.

 

By wyjść naprzeciw tej żelaznej zasadzie działania IOD, ogólne rozporządzenie wprowadziło kilka szczegółowych rozwiązań, ułatwiających osiągnięcie zamierzonego celu:

a) Bezpośrednia podległość IOD najwyższemu kierownictwu.

 

W hierarchii organizacji IOD musi być umieszczony bezpośrednio pod najwyższym kierownictwem (np. Zarządem).

Właśnie taka podległość jest gwarancją niezależnej, wysokiej pozycji Inspektora Ochrony Danych w strukturze Administratora Danych Osobowych. Oznacza ona także, że w ramach podejmowanych przez siebie czynności IOD nie może podlegać jakimkolwiek innym osobom lub jednostkom organizacyjnym. IOD raportuje więc w zakresie swoich działań wyłącznie do kierownika jednostki organizacyjnej, Prezesa zarządu, członka zarządu, etc.

 

b) Wspieranie IOD w wypełnianiu jego zadań.

Administrator Danych Osobowych i podmiot przetwarzający są zobowiązani do wspierania Inspektora Ochrony Danych poprzez zapewnienie poniższych zasobów:

 

 

  • wparcie IOD ze strony kadry kierowniczej
  • zapewnienie wymiaru czasu pracy, umożliwiającego IOD wykonywanie zadań
  • odpowiednie wsparcie finansowe i infrastrukturalne (np. w zakresie organizacji i prowadzenia szkoleń)
  • oficjalne zakomunikowanie wszystkim pracownikom faktu powołania IOD w organizacji (i przedstawienie jego zadań)
  • wsparcie kadrowe (jeśli konieczne), np. podczas prowadzonych sprawdzeń, szczególnie jeśli organizacja działa na dużą skalę
  • umożliwienie dostępu do innych działów organizacji w zakresie informacji o przetwarzaniu
  • ciągłe szkolenie (IOD musi mieć możliwość ciągłego pogłębiania swojej wiedzy) – nie tylko więc potrzebne są środki finansowe, ale i odpowiedni zasób czasu na to przeznaczony

c) Zapewnienie IOD udziału we wszystkich zagadnieniach związanych z ochroną danych osobowych.

 

IOD musi być właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

Zasada ta ma zapobiegać próbom ograniczania Inspektorowi do niezbędnych dla realizacji jego zadań informacji. Niezwykle istotne jest, aby IOD był zaangażowany od najwcześniejszego etapu we wszystkie kwestie związane z przetwarzaniem danych, ponieważ ułatwi to zapewnienie zgodności z RODO. RODO wprost nakazuje ADO angażowanie IOD w takie działania. Jest to zgodne z zasadami privacy by design oraz privacy by default. W celu ich realizacji należy wziąć pod uwagę ochronę danych już na etapie projektowania nowych rozwiązań w organizacji.

 

d) Zakaz wydawania instrukcji IOD co do wykonywania przez niego zadań.

 

Administrator Danych osobowych nie może wydawać instrukcji (poleceń) IOD w zakresie wykonywanych przez niego zadań.

Oznacza to, że nikt w organizacji nie może mówić Inspektorowi, jak ma wykonać swoje zadania, jakich środków czy metod użyć, by je osiągnąć. Należy jednak pamiętać, że IOD nie jest stanowiskiem decyzyjnym – za te odpowiada Administrator Danych Osobowych. Jeżeli podjęta przez niego decyzja jest niezgodna z RODO i rekomendacjami Inspektora, to ADO ponosi wszelkie jej konsekwencje.

 

e) Unikanie konfliktu interesów.

 

IOD nie może zajmować w organizacji stanowiska związanego z określaniem sposobów i celów przetwarzania danych.

IOD może wykonywać inne, niezwiązane z ochroną danych osobowych zadania w organizacji, jednak należy pamiętać, by nie wchodziły one w konflikt interesów z obowiązkami Inspektora Ochrony Danych. Oznacza to, między innymi, że IOD nie może zajmować w organizacji stanowiska związanego z określaniem sposobów i celów przetwarzania danych. Stanowiska powodujące konflikt interesów to np.: stanowiska kierownicze (dyrektor generalny, dyrektor finansowy, kierownik działu IT, kierownik działy HR, etc.), a także niższe stanowiska, jeśli biorą udział w ustalaniu celów i sposobów przetwarzania danych osobowych.

 

f) zakaz odwoływania i karania IOD.

 

Administrator nie może odwołać ani ukarać Inspektora za wykonywanie przez niego zadań.

Rzecz jasna, mowa tu o prawidłowym wykonywaniu przez niego swoich obowiązków. Jeżeli IOD nie wywiązuje się ze swoich zobowiązań należycie, odwołanie go jest jak najbardziej możliwe. Tu mowa jest o sytuacji, gdy zalecenie IOD (zgodne z RODO) nie podoba się Administratorowi Danych Osobowych z subiektywnych, często biznesowych powodów.

 

g) obowiązek zachowania tajemnicy lub poufności co do wykonywania zadań przez IOD.

Inspektor Ochrony Danych zobowiązany jest do zachowania tajemnicy lub poufności co do zadań, które wykonuje. Charakterystyka jego roli daje mu dostęp do różnych kategorii danych, w tym wrażliwych, a te muszą być bezwględnie bezpieczne, a ich ochrona nienarażona na naruszenie. Obowiązują go także wszystkie przepisy prawa Unii Europejskiej i kraju członkowskiego, w którym pełni swoją rolę.

Inspektor Ochrony Danych jest niezależny i ma pełne wsparcie kierownictwa organizacji. Jak widać w powyższym tekście, Inspektor Ochrony Danych może i powinien liczyć na specjalne warunki pracy. Jest to zapisane w ogólnym rozporządzeniu i musi być egzekwowane przez Administratorów Danych Osobowych. Zatem, jeżeli chcesz zostać IOD w swojej organizacji, to wiedz, że masz wachlarz narzędzi, które Ci w tej pracy pomogą!

 Żrodło: UODO, opracowanie własne

 

 

A czy Twoja firma jest już gotowa na RODO? 

Zapoznaj się ze szczegółami mojego autorskiego kursu online, który dostarczy Ci nie tylko niezbędnej wiedzy w pigułce, ale i zapewni wszystkie wzory wymaganych dokumentów, polityk i instrukcji!

CHCĘ POZNAĆ SZCZEGÓŁY KURSU!