FreshMail.pl

\ Pełne wyzwań życie IOD

Inspektor Ochrony Danych, czyli IOD. Czyli właściwie kto?

Kim właściwie jest Inspektor Ochrony Danych?

Inspektor Ochrony Danych Osobowych to specjalistyczna funkcja wewnątrz organizacji Administratora lub Podmiotu przetwarzającego. Funkcja IOD jest związana z nadzorem nad prawidłowością działalności Administratora lub Podmiotu przetwarzającego w zakresie ochrony danych osobowych.

 

Kiedy powołanie Inspektora jest obowiązkowe?

Powołanie IOD jest obowiązkowe tylko w przypadku niektórych organizacji. Należy wyraźnie odróżnić funkcję inspektora ochrony danych osobowych (przypisaną do konkretnej osoby fizycznej) od statusu Administratora / Procesora (który co do zasady cechuje organizacje). O ile bowiem funkcja IOD ma charakter opiniująco-nadzorczy i komunikacyjny, o tyle wiele zadań z obszaru obowiązków Administratora ma charakter stricte wykonawczy. Role te różnią się zatem między sobą istotnie. O tyle bowiem, że samo powołanie inspektora nie oznacza, że problem danych osobowych w organizacji został w sposób wyczerpujący zaadresowany.

 

Outsourcing IODFunkcje i role podobne do Mistrza IODy

Należy także pamiętać, że RODO nie zakazuje tworzenia funkcji podobnych do tych pełnionych przez IOD. Tam, gdzie powołanie inspektora nie jest obligatoryjne, nie ma przeciwwskazań do stworzenia roli nazwanej np. „koordynatorem / specjalistą / ekspertem / menedżerem ochrony danych osobowych”. Taka osoba – co istotne, bo odróżnia ją od formalnie powołanego inspektora – może łączyć swoją funkcję oraz przejąć wszystkie lub niektóre obowiązki Administratora.

Jaka jest pozycja IOD w organizacji?

IOD jako pracownik, współpracownik lub osoba trzecia

Inspektor może być zarówno pracownikiem Administratora danych osobowych (lub odpowiednio Podmiotu przetwarzającego), jak również wykonywać zadania na podstawie umowy o świadczenie usług (art. 37 ust. 6 RODO), zawartej z konkretną osobą fizyczną lub jednostką organizacyjną / spółką.

 

Outsourcing IOD: relacja wobec Administratora Danych Osobowych (ADO)

W przypadku, gdy inspektor jest zatrudniony przez inną organizację (outsourcera), desygnuje ona konkretną osobę fizyczną do realizowania czynności (wytyczne GR29, 27). Inspektorzy Ochrony Danych – bez względu na to, czy są pracownikami Administratora – powinni być w stanie wykonywać swoje obowiązki w sposób niezależny (motyw 97 RODO).

 

Inspektor jako osoba prawna lub jednostka organizacyjna?

Inspektor Ochrony Danych to zawsze konkretna osoba fizyczna, chociaż przepisy nie precyzują, czy w umowie o świadczenie usługi ta osoba musi być wskazana. W naszej ocenie nie ma takiego wymogu – konieczne jest jedynie określenie mechanizmu wyznaczania pomiędzy stronami konkretnej osoby fizycznej pełniącej funkcję IOD, która będzie następnie zgłaszana przez Administratora / Podmiot przetwarzający do organu nadzorczego. Konkretyzacja osoby może nastąpić w ramach realizacji umowy. Jednocześnie przepisy nie wymagają weryfikacji po stronie Administratora (Podmiotu przetwarzającego) podstawy zatrudnienia osoby delegowanej przez outsourcera do pełnienia funkcji

 

Outsourcing IOD: kto z kim zawiera umowę?

Co istotne, przepisy RODO nie przewidują konstrukcji umowy o świadczenie usług inspektora ochrony danych na rzecz osoby trzeciej (art. 393 k.c.). W związku z tym należy ostrożnie przyjąć,
że Administrator / Podmiot przetwarzający musi być związany umową chociażby z podmiotem delegującym IOD.

 

Wymogi formalne wobec kandydata a outsourcing IOD

Osoba wykonująca funkcję Inspektora Ochrony Danych na podstawie umowy o świadczenie usług musi spełniać wszystkie wymogi RODO w takim samym zakresie jak osoba zatrudniona przez Administratora / Procesora na podstawie umowy o pracę. W związku z tym procedura sprawdzająca spełnienie wymogów RODO musi być analogiczna w obu przypadkach.

Zadania Inspektora Ochrony Danych

Dwie grupy zadań IOD

Zadania IOD można podzielić na:

  • obligatoryjne (muszą być wykonywane przez IOD) oraz
  • fakultatywne (mogą być wykonywane przez IOD, ale dopuszczalna jest ich realizacja przez inne osoby, niezależne od IOD)

 

Prawne uregulowanie zadań IOD

Zadania fakultatywne należy wyraźnie wskazać w dokumencie definiującym zakres zadań IOD (niezależnie od tego, czy jest on pracownikiem wewnętrznym, czy zewnętrznym). W przeciwnym razie inspektor będzie zobowiązany wyłącznie do wykonywania obowiązków wynikających bezpośrednio z RODO.

Zakres zadań inspektora można zdefiniować na przykład w wewnętrznym regulaminie lub zbiorze zasad wykonywania funkcji IOD. Dokument ten powinien zostać zatwierdzony przez Administratora / Podmiot przetwarzający zgodnie z przyjętą procedurą. Regulamin może być częścią Polityki ochrony danych osobowych z art. 24 ust. 2 RODO lub też częścią innego dokumentu wewnętrznego organizacji.

 

Lista zadań obligatoryjnych Inspektora Ochrony Danych

Do obligatoryjnych zadań IOD należą (art. 39 ust. 1 RODO):

  • współpraca z organem nadzorczym (Prezesem UODO);
  • pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, również wynikających z uprzednich konsultacji z organem nadzorczym, oraz – w stosownych przypadkach – prowadzenie konsultacji we wszelkich innych sprawach;
  • pełnienie funkcji punktu kontaktowego dla podmiotów danych (osoby, których dane dotyczą, mogą kontaktować się z Inspektorem Ochrony Danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz wykonywaniem praw przysługujących im na mocy RODO – art. 38 ust. 4 RODO);
  • informowanie Administratora / Podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów o ochronie danych, jak również doradzanie im w tej sprawie. IOD występuje tutaj w potrójnej roli: wskazuje obowiązki, rekomenduje sposób ich wykonania, a następnie ocenia poprawność realizacji;
  • monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich oraz polityk administratora w dziedzinie ochrony danych osobowych, w tym: podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z nimi audyty. W tym zakresie istotne będzie:
    • zbieranie informacji w celu identyfikacji procesów przetwarzania;
    • analizowanie i sprawdzanie zgodności przetwarzania;
    • informowanie, doradzanie i rekomendowanie określonych działań;
  • udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie wykonania tej oceny zgodnie z art. 35 RODO. Dokonując oceny, Administrator powinien konsultować się z IOD w następujących kwestiach:
    • konieczności przeprowadzenia oceny skutków dla ochrony danych oraz metodologii tej oceny;
    • wyboru między przeprowadzeniem wewnętrznej oceny a zleceniem jej podmiotowi zewnętrznemu;
    • zabezpieczeń (w tym środków technicznych i organizacyjnych) stosowanych do łagodzenia zagrożeń praw i interesów osób, których dane dotyczą;
    • prawidłowości przeprowadzonej oceny skutków dla ochrony danych i zgodności jej wyników z RODO (czy należy kontynuować przetwarzanie, czy też nie, oraz jakie zabezpieczenia należy zastosować).

 

Lista potencjalnych nieobowiązkowych zadań IODO:

Do fakultatywnych zadań inspektora należą (ważna uwaga na końcu listy):

  • prowadzenie rejestru czynności przetwarzania oraz ewentualnie rejestru kategorii czynności przetwarzania (u Podmiotu przetwarzającego);
  • ocena, czy istnieje w danym stanie faktycznym wymóg zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu;
  • ocena, czy istnieje w danym stanie faktycznym wymóg zawiadamiania osób, których dane dotyczą, o naruszeniu ochrony danych osobowych;
  • prowadzenie rejestru powierzeń oraz  rejestru udostępnień danych osobowych (oraz zawartych w tym zakresie umów);
  • prowadzenie rejestru upoważnień do przetwarzania danych osobowych;
  • opiniowanie nowych projektów biznesowych pod kątem zgodności z zasadami: privacy by design oraz privacy by default;
  • przygotowywanie lub opiniowanie umów powierzenia, klauzul informacyjnych oraz klauzul zgód;
  • nadawanie i kontrola w imieniu Administratora / Podmiotu przetwarzającego dostępu do danych osobowych;
  • testowanie, mierzenie oraz ocena skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania;
  • ocena (zgodności i aktualności) przyjętych procedur i rejestrów pod kątem spełnienia wymogu rozliczalności;
  • ocena spełnienia wymogu ograniczenia przechowywania danych osobowych (w ramach procedury retencji danych).

Katalog fakultatywnych zadań nie ma charakteru zamkniętego. Istotne jest jedynie, aby wykonywanie tych zadań nie powodowało konfliktu interesów ani nie naruszało zasady niezależności IOD.

Wymagania wobec IODa

Zasoby, dostęp do danych i operacji

Zgodnie z art. 38 ust. 2 RODO Administrator oraz Podmiot przetwarzający mają obowiązek wspierać IOD, zapewniając mu zasoby niezbędne do wykonania jego zadań, dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.

 

Obowiązek utrzymywania wysokiego poziomu wiedzy przez IOD oraz podnoszenie kwalifikacji

Poziom wiedzy wymaganej od IOD powinien być współmierny do charakteru, skomplikowania oraz skali przetwarzania danych osobowych w organizacji. Przykładowo, w przypadku skomplikowanych procesów obejmujących regularny transfer do państw trzecich od IOD należy wymagać większej wiedzy, niż kiedy taki transfer nie zachodzi.

Zgodnie z wytycznymi GR29, oceniając wymagany poziom kwalifikacji IOD, należy uwzględnić następujące elementy:

  • znajomość krajowych i europejskich przepisów oraz praktyk w zakresie ochrony danych osobowych;
  • zrozumienie prowadzonych operacji przetwarzania;
  • zrozumienie technologii informacyjnych i bezpieczeństwa danych;
  • znajomość kontekstu biznesowego i organizacji Administratora;
  • zdolność promowania kultury ochrony danych w organizacji;
  • wysoki poziom etyki zawodowej.

 

Niezależność Inspektora Ochrony Danych

Niezależność IOD, zgodnie z przepisami RODO, wyraża się poprzez następujące zasady:

  • IOD podlega bezpośrednio najwyższemu kierownictwu Administratora / Podmiotu przetwarzającego (art. 38 ust.4 RODO), co nadaje Inspektorowi Ochrony Danych wysoką pozycję w organizacji i zarazem gwarantuje sprawną drogę raportowania, reagowania w przypadkach naruszenia ochrony danych osobowych i szybkiego wdrażania środków naprawczych;
  • IOD nie może otrzymywać instrukcji dotyczących wykonywania swoich zadań w zakresie ochrony danych osobowych – w szczególności IOD nie może zostać zobligowany do przyjęcia określonego stanowiska w sprawie z zakresu prawa ochrony danych, w tym określonej wykładni przepisów;
  • Administrator / Podmiot przetwarzający nie może karać IOD za prawidłowe wypełnianie przez niego zadań, chociażby nie leżały one w interesie Administratora (art. 38 ust. 3 RODO);
  • IOD może wykonywać inne zadania w organizacji Administratora / Podmiotu przetwarzającego, niemniej nie może to prowadzić do konfliktu interesów. W szczególności IOD nie powinien zajmować w organizacji stanowiska związanego z określaniem sposobów i celów przetwarzania danych (np. szef działu HR lub marketingu, stanowiska zarządcze).

Kiedy powołanie IOD jest konieczne?

Obligatoryjny Inspektor wg przepisów

RODO w art. 37 ust. 1 RODO (a za nim art. 8 i następne UODO) przewiduje obowiązek wyznaczenia IOD dla Administratorów i Podmiotów przetwarzających wówczas, gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (zamknięty katalog organów i podmiotów publicznych został wskazany w art. 9 UODO); lub
  • główna działalność Administratora / Podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
  • główna działalność Administratora / Podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO.

 

Pod kątem spełnienia powyższych przesłanek należy oceniać niezależnie sytuację Podmiotu przetwarzającego oraz Administratora. Przykładowo brak konieczności ustanowienia IOD u Administratora danych X nie wyklucza odmiennej oceny u Podmiotu przetwarzającego Y, nawet jeżeli Y przetwarza na zlecenie X tę samą kategorię danych. IOD natomiast obejmuje swoim „nadzorem” wszystkie kategorie danych niezależnie od tego, czy organizacja występuje jako Administrator, czy jako Podmiot przetwarzający.

 

Działalność główna i działania wspierające

Pojęcie głównej działalności rozumiane jest szeroko i dotyczy sytuacji, kiedy przetwarzanie danych osobowych stanowi nieodłączny element działalności Administratora / Podmiotu przetwarzającego. Innymi słowy chodzi o sytuacje, w których Administrator / Podmiot przetwarzający przetwarza dane, aby osiągnąć swoje cele biznesowe. Jako przykład można wskazać sytuację, w której przetwarzanie danych osobowych klientów jest nierozerwalnym elementem działalności sklepu internetowego lub firm prowadzących monitoring wizyjny w centrach handlowych. Od głównej działalności podmiotu należy odróżnić działania wspierające, takie jak wypłacanie wynagrodzeń pracownikom lub podejmowanie standardowych działań w zakresie wsparcia IT. Wprawdzie działania w tym zakresie są niezbędne, ale zazwyczaj uznaje się je za działania pomocnicze, a nie za element głównej działalności Administratora / Podmiotu przetwarzającego.

 

Duża skala przetwarzania

Jako przykład przetwarzania danych na dużą skalę podaje się (wytyczne GR29, s. 10) przetwarzanie danych osobowych:

  • w związku z wyświetlaniem reklamy behawioralnej przez dostawcę usługi wyszukiwania treści;
  • pacjentów przez szpitale w ramach regularnego prowadzenia działalności gospodarczej;
  • o podróży osób korzystających z miejskiego systemu transportu publicznego (np. karty podróży);
  • dla celów statystycznych w czasie rzeczywistym danych geolokalizacyjnych klientów międzynarodowej sieci fast food, przez Podmiot przetwarzający świadczący w tym zakresie wyspecjalizowane usługi;
  • danych klientów w ramach działalności banków i ubezpieczycieli;
  • przetwarzanie danych klientów (treść, przepływ danych, lokalizacja) przez dostawców usług telefonicznych lub internetowych.
  • Przetwarzaniem na dużą skalę nie są natomiast na przykład (wytyczne GR29, s. 25):
    • przetwarzanie danych pacjenta przez pojedynczego lekarza;
    • przetwarzanie danych osobowych dotyczących wyroków skazujących i czynów zabronionych przez pojedynczego prawnika.
  • Podmiotami, które na dużą skalę przetwarzają szczególne kategorie danych (o których mowa w art. 9 ust. 1 RODO) oraz dane dotyczące wyroków skazujących i czynów zabronionych (art. 10 RODO), przykładowo są:
    • prywatne centra medyczne, prywatne szpitale i przychodnie;
    • firmy ubezpieczeniowe świadczące usługi w zakresie ubezpieczeń na życie lub ubezpieczeń zdrowotnych.

 

Systematyczne i regularne monitorowanie osób

Działania, które mogą stanowić regularne i systematyczne monitorowanie osób, których dane dotyczą, to między innymi (wytyczne GR29, 11):

  • świadczenie usług telekomunikacyjnych;
  • śledzenie lokalizacji, na przykład przez aplikacje mobilne;
  • programy lojalnościowe;
  • reklama behawioralna;
  • profilowanie w ramach oceny ryzyka (np. cele scoringu kredytowego, ustalanie składek ubezpieczeniowych, zapobieganie oszustwom, wykrywanie prania pieniędzy);
  • monitorowanie stanu zdrowia poprzez inteligentne urządzenia;
  • inteligentne liczniki, inteligentne samochody, automatyka domowa.

Bieżące i przyszłe operacje i ryzyka

Analizując potrzebę wyznaczenia IOD, należy przewidzieć także przyszłe operacje na danych osobowych i przyszłe ryzyka. W razie wątpliwości należy rekomendować wyznaczenie IOD. Warto przeprowadzić i udokumentować wewnętrzną procedurę służącą ustaleniu, czy istnieje obowiązek powołania IOD, aby wykazać, że powyższe czynniki zostały uwzględnione przez Administratora / Podmiot przetwarzający. Procedura powinna być powtarzana, jeżeli Administrator / Podmiot przetwarzający podejmie lub będzie planował podjąć działania związane ze świadczeniem usług, które mogą spełniać przesłanki omówione w art. 37 ust. 1 RODO. Ponadto EROD rekomenduje wyznaczenie IOD nawet podmiotom do tego niezobowiązanym. Inspektorzy Ochrony Danych mogą bowiem znacznie ułatwić przestrzeganie nowych przepisów oraz odegrać istotną rolę w pośredniczeniu pomiędzy zainteresowanymi stronami (np. organem ochrony danych, podmiotami danych oraz poszczególnymi jednostkami w ramach jednej organizacji).

Kara za brak powołania obowiązkowego IOD

Brak powołania IOD pomimo spełnienia ww. przesłanek podlega, zgodnie z art. 83 ust. 4 RODO, administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie będzie miała kwota wyższa.

POLE CIEMNE

POLE JASNE

Jesteś u nas już chwilę, co bardzo nas cieszy.
A może chcesz być na bieżąco i czasami dostawać informacje o nowościach na stronie?
Obiecujemy nie spamować :)

Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od Maruta Wachta sp.j., z siedzibą w Warszawie (00-684) przy ul. Wspólnej 62, (Kancelaria) informacji dotyczących oferty Kancelarii drogą e-mailową. Zgodę można wycofać w każdym czasie bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Administratorem danych osobowych jest Kancelaria. Dane osobowe osób zapisujących się na newsletter są przetwarzane w celu przesyłania informacji dotyczących oferty Kancelarii drogą e-mailową. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w naszej Polityce Prywatności.

FreshMail.pl