Kto ma obowiązek wyznaczenia Inspektora Ochrony Danych?
Wyznaczenie Inspektora Ochrony Danych Osobowych jest w niektórych przypadkach narzucone przez prawo, przy czym jednak wiele kwestii nie jest uregulowanych w pełni precyzyjnie, co może nasuwać liczne pytania. Kiedy wyznaczenie IOD jest koniecznością? Jak wygląda wyznaczenie inspektora ochrony danych i kto może nim być?
Inspektor Ochrony Danych – kiedy jest konieczny?
Istnieją 3 główne zasady określające, kiedy powołanie inspektora jest absolutną koniecznością:
1. Do powołania IOD zobowiązane są wszystkie organy lub podmioty publiczne z wyjątkiem sądów.
Pod pojęciem “organy lub podmioty publiczne” kryją się takie instytucje, jak:
- Narodowy Bank Polski,
- instytuty badawcze,
- sektor finansów publicznych.
Przykładami jednostek sektora finansów publicznych mogą być m.in.: ZUS, KRUS, NFZ, jednostki samorządu terytorialnego, publiczne zakłady opieki zdrowotnej, czy też uczelnie publiczne.
Co z instytucjami z sektora prywatnego, nawet jeśli wykonują zadania zlecone przez administrację samorządową lub publiczną? Jako że nie można ich bezpośrednio zaliczyć do instytucji publicznych, nie będą one miały obowiązku zatrudniania IOD.
2. IOD jest obowiązkowy, jeśli główna działalność firmy opiera się na przetwarzaniu danych osobowych, wymagających regularnego, systematycznego nadzorowania w dużej skali (administratorzy danych i podmioty przetwarzające dane osobowe).
Aby ten punkt był bardziej zrozumiały, należy wyjaśnić kilka związanych z nim kwestii:
- Przetwarzanie danych osobowych jest określane jako główna działalność firmy, jeśli wykonywanie czynności zawodowych nie będzie możliwe bez ich wykorzystywania.
- Przetwarzanie danych w sposób regularny i systematyczny oznacza, że odbywa się ono w sposób ciągły lub w regularnych odstępach czasowych, a także jest przeprowadzane zgodnie z ustalonym systemem, w celu realizowania określonej strategii.
- Duża skala przetwarzania danych – nie dotyczy ona wyłącznie ilości osób, których dane podlegają przetwarzaniu. Liczą się również takie aspekty jak zakres przetwarzanych danych w sensie ich rodzaju, zakres geograficzny, a także czas ich przechowywania.
3. Jeśli główna działalność firmy opiera się na przetwarzaniu w dużej skali danych wrażliwych, również konieczne jest powołanie IOD.
IOD jest konieczny, jeśli działalność firmy opiera się na przetwarzaniu na dużą skalę danych wrażliwych, takich jak m.in. pochodzenie etniczne, poglądy polityczne i religijne, orientacja seksualna, czy też dane dotyczące zdrowia.
Ważne: Tylko, jeśli firma łącznie spełnia powyższe kryteria, jest zobowiązana powołać Inspektora Ochrony Danych.
Przykłady:
Jeśli mały zakład motoryzacyjny skupia 15 pracowników, a główny kierunek jego działalności nie wymaga przetwarzania danych osobowych, to zatrudnianie Inspektora Ochrony Danych nie będzie konieczne.
Co zaś z korporacjami? Duża firma, zatrudniająca 500 osób i skierowana na działania związane z księgowością niekoniecznie musi mieć obowiązek zatrudniania IOD.
Przede wszystkim nie zalicza się ona do jednostek finansowych sektora publicznego, a do tego pomimo przetwarzania danych osobowych znacznego grona osób, niekoniecznie musi się ono odbywać na szeroko zakrojoną skalę. Co więcej, nie jest konieczne przetwarzanie danych szczególnie wrażliwych. Niemniej jednak zatrudnienie IOD w takim przypadku byłoby bardzo zalecane.
Jak przebiega wyznaczenie Inspektora Ochrony Danych?
Na podstawie art. 37 ust. 6 RODO inspektorem może zostać zarówno osoba z personelu podmiotu odpowiedzialnego za przetwarzanie danych, jak i osoba z zewnątrz, na podstawie umowy o świadczenie usług. Inspektor ochrony jest wyznaczany na podstawie prawniczej wiedzy fachowej, znajomości praktyk z zakresu ochrony danych osobowych, kwalifikacji zawodowych, a także umiejętności wykonywania zadań, które określa art. 39 RODO.
Inspektor Ochrony Danych – kurs
Planując powołanie Inspektora Ochrony Danych spośród członków personelu, warto rozważyć skorzystanie ze szkoleń, oferowanych m.in. przez Bureau Veritas. Umożliwiają one poszerzenie wiedzy z zakresu ochrony informacji i zgodności z RODO nie tylko w teorii, lecz przede wszystkim w praktyce. Pozwoli to na zapewnienie firmie skutecznego wsparcia m.in. podczas kontroli zewnętrznych, przeprowadzanych przez prezesa UODO, a także umożliwi odpowiednią reakcję w przypadku pojawienia się naruszeń.
Powoływanie Inspektora Ochrony Danych nie zawsze jest wymagane przez prawo, lecz dla większego spokoju, podniesienia poziomu bezpieczeństwa danych i poprawienia wizerunku firmy warto z takiej możliwości skorzystać.