Inspektor Ochrony Danych Osobowych

W świetle wchodzącego w życie Rozporządzenia o Ochronie Danych Osobowych, dotychczasowa funkcja Administratora Bezpieczeństwa Informacji zostanie zastąpiona nowym stanowiskiem, Inspektorem Ochrony Danych Osobowych IOD (DPO). Co istotne, oprócz nazwy, zmianie ulegnie również zakres obowiązków i kompetencje, jakie będzie musiał posiadać Inspektor Ochrony Danych Osobowych. Zgodnie z rozporządzeniem, IOD będzie pełnił jeszcze ważniejszą rolę, nadzorując przestrzeganie przepisów o ochronie danych osobowych w organizacji.

Podczas gdy prawo polskie określa powołanie Administratora Bezpieczeństwa Informacji jako dobrowolne, po 25 maja 2018 r. wyznaczenie Inspektora Ochrony Danych Osobowych będzie już obowiązkowe dla większości organów i podmiotów.

Kto w takim razie jest zobligowany do wyznaczenia Inspektora Ochrony Danych Osobowych?

Ogólne rozporządzenie o ochronie danych w art. 37 ust 1 przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających wówczas, gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę.

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10.

Ponadto zgodnie z art. 37 ust. 4 ogólnego rozporządzenia o ochronie danych obowiązek powołania inspektora ochrony danych może wprowadzić prawo Unii lub prawo państwa członkowskiego. Oznacza to, iż m.in. ustawodawca polski będzie mógł rozszerzyć obowiązek wyznaczenia DPO na inne podmioty.

W pozostałych sytuacjach wyznaczenie Inspektora Ochrony Danych Osobowych ma charakter uznaniowy.

Co zatem definiuje obowiązek wprowadzenia funkcji IOD?

• liczba osób, których dane dotyczą – wyrażoną jako konkretna wartość albo jako odsetek populacji odniesienia;
• ilość danych lub zakres poszczególnych przetwarzanych pozycji danych;
• czas trwania lub trwałość czynności przetwarzania danych;
• zakres geograficzny czynności

Kim jest Inspektor Ochrony Danych Osobowych?

Inspektor Ochrony Danych Osobowych to osoba, która zajmuje się zarządzaniem, czyli zarówno doradztwem w sprawie zasad ochrony danych osobowych jak i monitorowaniem wszelkich działań administratora dotyczących tego zakresu.

„Art.  37 ust.5   stanowi, że DPO  „jest   wyznaczany   na   podstawie  kwalifikacji  zawodowych,   a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39”. Motyw 97 stanowi, że niezbędny poziom wiedzy fachowej należy ustalić w szczególności w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają przetwarzane dane osobowe.”

 Kwalifikacje zawodowe i fachowa wiedza obejmują:

• Znajomość krajowych i europejskich przepisów i praktyk w dziedzinie ochrony danych, w tym dogłębną znajomość RODO
• odpowiednią wiedzę na temat przeprowadzanych operacji przetwarzania danych, systemów informatycznych oraz potrzeb administratora w zakresie bezpieczeństwa danych i ochrony danych
• gruntowną wiedzę w zakresie przepisów i procedur administracyjnych stosowanych w organizacji.

Do głównych zadań IOD (DPO) należy:

• Monitorowanie przestrzegania RODO
• Rola DPO w ramach oceny skutków dla ochrony danych
• Współpraca z organem nadzorczym i pełnienie funkcji punktu kontaktowego
• Podejście oparte na analizie ryzyka
• Rola DPO w rejestrowaniu czynności przetwarzania

Zapraszamy do kontaktu z RODO SECURITY Polska:  22 270 12 93