Inspektor Ochrony Danych Osobowych

25 maja 2018 r. jest datą „zero” dla wszystkich podmiotów przetwarzających dane osobowe (Administratorów). Artykuł 37 ust. 1 Rozporządzenia RODO wprost stanowi, kiedy administrator będzie zobowiązany wyznaczyć Inspektora Ochrony Danych Osobowych (IOD). Są to trzy następujące przypadki:

1. przetwarzania dokonują organ lub podmiot publiczny;
2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Administrator będzie mógł swobodnie wybierać i wyznaczać osobę na funkcję IOD. Musi jednak pamiętać o zasadzie rozliczalności i wykazaniu przed organem nadzoru, że osoba wyznaczona na pełnienie tej funkcji spełnia kryteria odpowiednich kwalifikacji zawodowych, w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz umiejętności wypełniania zadań. To na Administratorze ciążyć będzie odpowiedzialność wykazania, że do procesu przetwarzania danych osobowych dopuścił właściwą osobę.

Grupa Robocza Artykułu 29* oraz Generalny Inspektor Danych Osobowych zalecają podmiotom przetwarzającym dane osobowe wyznaczenia IOD, nawet wtedy gdy obowiązek ten nie wynika bezpośrednio z przepisów Rozporządzenia czy też przepisów krajowych. Powołanie IOD jest nie tylko warunkiem rozliczalności, ale też pozwoli na ograniczenie ryzyka naruszenia danych osobowych oraz przyczyniać się będzie do wzrostu konkurencyjności przedsiębiorstwa.

Do zadań IOD należeć będzie m.in.:

  • informowanie administratora o obowiązkach na nim spoczywających i doradzanie mu w zakresie przetwarzania danych osobowych;
  • monitorowanie przestrzegania przez administratora unijnych i krajowych aktów normatywnych w dziedzinie ochrony danych osobowych (w tym okresowe audyty, szkolenia pracowników);
  • udzielanie na żądanie administratora zaleceń odnośnie do oceny skutków dla ochrony danych osobowych oraz monitorowanie jej wykonania;
  • współpraca z organem nadzoru;
  • punkt kontaktowy pomiędzy organem nadzoru a administratorem.

* Grupa Robocza została powołana na mocy art. 29 dyrektywy 95/46/WE. Jest ona niezależnym organem doradczym w zakresie ochrony danych i prywatności. Zadania grupy określone są w art. 30 dyrektywy 95/46/WE oraz art. 15 dyrektywy 2002/58/WE.