Dotychczasowa praktyka pokazuje, że wiedza teoretyczna jest niewystarczająca, w związku z czym wykwalifikowanie IOD w dalszym ciągu bez problemu znajdą prace na rynku.
Zgodnie z Rozporządzeniem Ministra Pracy i Polityki Społecznej w sprawie klasyfikacji zawodów i specjalistów na potrzeby rynku pracy oraz zakresu jej stosowania, inspektor ochrony danych to zawód, zaliczany do grupy specjalistów (pozycja 242111). Inspektorem może być osoba z personelu administratora, jak również może wykonywać inne zadania oraz obowiązki w organizacji, ale nie może to powodować konfliktu interesów. Co do zasady powodujące konflikt interesów uważane będą stanowiska kierownicze takie jak: dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT, ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych. Jednakże z uwagi na obowiązki nałożone na inspektora przepisami RODO, wydaje się mocno utrudnione pełnienie wskazanej funkcji przez pracownika, który wykonuje również dodatkowe zadania w związku z innym stanowiskiem pracy.
Jednakże warto zaznaczyć, że IOD może być osoba spoza organizacji, która wykonuje funkcje na podstawie umowy o świadczenie usług (outsourcing). W szczególności małe i średnie podmioty powinny rozważyć outsourcing takiej funkcji. Już dawno temu Henry Ford stwierdził: „Jeśli jest coś, czego nie potrafimy zrobić wydajniej, taniej i lepiej niż konkurenci, nie ma sensu, żebyśmy to robili i powinniśmy zatrudnić do wykonania tej pracy kogoś, kto zrobi to lepiej niż my”. Z roku na rok coraz więcej firm przekazuje część procesów biznesowych zewnętrznym partnerom. Korzystanie z wyspecjalizowanego podmiotu świadczącego tego typu usługi to pewność profesjonalnego wsparcia z zakresu ochrony danych osobowych i wdrożenia odpowiedniego systemu ochrony danych.
Więcej
na temat plusów i minusów takiego rozwiązania znajdziesz w artykule:
IOD "własny" czy z outsourcingu plusy i minusy.
Inspektor ochrony danych podlega bezpośrednio najwyższemu kierownictwu administratora i powinien mieć wsparcie ze strony kadry kierowniczej, w tym odpowiednie wsparcie finansowe oraz infrastrukturalne. Za prawidłowe wypełnianie swoich zadań inspektor nie może być przez administratora karany ani odwołany. Co ważne, administrator zobowiązany jest do terminowego (niezbędne informacje powinny zostać udostępnione IOD odpowiednio wcześniej, umożliwiając IOD zajęcie stanowiska) i właściwego angażowania inspektora we wszystkie sprawy dotyczące ochrony danych osobowych. W związku z powyższym organizacja powinna zapewnić:
- udział IOD w spotkaniach przedstawicieli wyższego i średniego szczebla organizacji;
- że przedstawione stanowisko IOD w konkretnej sprawie powinno być wzięte pod uwagę, a postępowania niezgodne ze stanowiskiem IOD powinny być udokumentowane;
- natychmiastowy kontakt z IOD w przypadku stwierdzenia naruszenia ochrony danych.
Inspektor ma szereg obowiązków wynikających z RODO, jest zobowiązany m.in. do:
- informowania administratora oraz pracowników o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów,
- monitorowania przestrzegania RODO oraz innych przepisów Unii i państw członkowskich oraz polityk administratora lub procesora czyli sprawdzania zgodności przetwarzania, a w razie konieczności rekomendować określone działania,
- szkolenia personelu uczestniczącego w operacjach przetwarzania,
- przeprowadzania systematycznych audytów w organizacji, w której został powołany, współpracy z organem nadzorczym.
Przejęcie funkcji IOD" width="716" height="132" />
Nadto IOD może odgrywać istotną rolę przy wykonywaniu oceny skutków dla ochrony danych (DPIA). Należy pamiętać, że wykonywania DPIA jest obowiązkiem administratora danych, a nie IOD. Administrator danych powinien jednak konsultowanie z IOD przede wszystkim fakt, czy należy przeprowadzić ocenę skutków dla ochrony danych oraz metodologii przeprowadzenia takiej oceny. Jeśli chodzi o rejestrowanie czynności przetwarzania, to administrator albo podmiot przetwarzający, a nie IOD, jest zobowiązany do prowadzenia rejestrów. Jednakże nic nie stoi na przeszkodzie aby administrator lub podmiot przetwarzający powierzył IOD prowadzenie rejestru czynności przetwarzania lub kategorii czynności przetwarzania.
RODO przewiduje możliwość wyznaczenia jednego inspektora danych przez grupę grupa przedsiębiorców oraz przez organy lub podmioty publiczne. Jednakże należy ostrożnie podchodzić do wyznaczenia jednego inspektora ochrony danych w szczególności dla kilku podmiotów publicznych, gdyż może to powodować fikcyjny nadzór nad systemem ochrony danych w tych podmiotach.
Inspektor będzie również punktem kontaktowym dla osoby, których dane przetwarza administrator jak i dla organu nadzorczego czyli Prezesa Urzędu Ochrony Danych i jest zobowiązany z nim współpracować.
Więcej
na temat prawidłowego zgłoszenia IOD do organu nadzorczego dowiesz się z artykułu:
IOD zamiast ABI jak powiadomić Prezesa Urzędu Ochrony Danych Osobowych.
RODO przewiduje obligatoryjne wyznaczenie inspektora w sytuacji gdy:
- przetwarzania dokonują organ lub podmiot publiczny, tj. jednostki sektora finansów publicznych (vide: art. 9 ustawy o finansach publicznych), instytuty badawcze, NBP,
- główna działalność (oznacza jego zasadnicze, a nie poboczne czynności) administratora lub procesora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres, lub cele wymagają regularnego (stałego, cyklicznego) i systematycznego (zgodnie z planem, w ramach określonej strategii) monitorowania osób, których dane dotyczą na dużą skalę,
- główna działalność administratora lub procesora polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii (np. o stanie zdrowia) oraz danych o wyrokach skazujących za przestępstwa. Należy zaznaczyć, iż przetwarzanie danych osobowych nie powinno być uznane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.
Niestety RODO nie definicje dużej skali (nie wskazuje konkretnej wartości, liczby osób, których dane przetwarzamy) co jest najbardziej problematyczne i dyskusyjne, ponieważ warunkuje w zasadzie wyznaczenie obligatoryjne IOD w dwóch sytuacjach wskazanych w RODO. Zaleca się uwzględnienie poniższych czynników przy określaniu czy przetwarzanie następuje na dużą skale:
- liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;
- zakres przetwarzanych danych osobowych;
- okres, przez jaki dane są przetwarzane;
- zakres geograficzny przetwarzania danych osobowych.
Państwo członkowskie może przewidzieć inne sytuacje, w których będzie powołany obligatoryjnie inspektor. Polska nie skorzystała z takiej możliwości.
