Inspektor ochrony danych osobowych – konieczny?
Od początku obowiązywania RODO minęło już prawie pół roku a nadal wielu przedsiębiorców nie wie, czy muszą powołać inspektora ochrony danych osobowych („IOD”).
W ustawie o ochronie danych osobowych z 1997 r. podmioty były uprawnione do powołania tzw. ABI – administratora bezpieczeństwa informacji. Teraz, zgodnie z RODO to inspektor ochrony danych osobowych jest podmiotem, mającym za zadanie m.in. stworzyć i wdrożyć polityki i odpowiednie procedury, wspierać administratora w bieżącym wdrożeniu przepisów czy reagować na naruszenia ochrony danych. To inspektor ma obowiązek poinformowania administratora, jego pracowników i inne podmioty przetwarzające o ich powinnościach wynikających z RODO. Powinien niejako czuwać nad stanem ochrony danych u administratora i prowadzić cykliczne szkolenia. Inspektor jest również punktem kontaktowym z organem nadzoru – Prezesem Urzędu Ochrony Danych Osobowych i z osobami, których dane są przetwarzane.
Inspektorem nie musi być osoba bądź podmiot zewnętrzny, będący poza strukturą organizacyjną danego przedsiębiorcy. Istotnym jest, żeby wykonywanie innych obowiązków i zadań nie powodowało konfliktu interesów i pozwalało na należyte pełnienie funkcji inspektora.
Zgodnie z art. 37 RODO powołanie inspektora jest obowiązkowe, gdy:
- przetwarzania dokonuje organ bądź podmiot publiczny,
- administrator, z racji swojej działalności, regularnie i systematycznie monitoruje osoby, których dane dotyczą na dużą skalę,
- administrator przetwarza na dużą skalę dane osobowe szczególnej kategorii oraz dane dotyczące naruszeń prawa i wyroków skazujących.
Obowiązek powołania inspektora mają m.in. szpitale, zarządy komunikacji miejskiej, banki, ubezpieczyciele, agencje marketingowe i dostawcy usług telefonicznych/internetowych. Kto może zostać inspektorem? Kandydat powinien odznaczać się kwalifikacjami zawodowymi i fachową wiedzą z zakresu ochrony danych osobowych. IOD nie tylko musi posiadać merytoryczne przygotowanie, ale i regularnie uczestniczyć w szkoleniach, powiększając swoją wiedzę. Przedsiębiorca może się również zdecydować na pełnienie funkcji inspektora przez podmiot zewnętrzny (tzw. outsourcing usług). Należy jedynie pamiętać, aby decyzja o powołaniu IOD była przemyślana i podjęta po wnikliwej analizie stanu ochrony danych osobowych.
DJ