IOD – czyli Inspektor Ochrony Danych, czyli tak właściwe kto?

Rola, obowiązki oraz status Inspektora Ochrony Danych wynikają bezpośrednio z artykułu 38 i 39 RODO. Zasady jego wyznaczenia zostały określone w Rozdziale 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Oczywiście przewidziano okres przejściowy i tam gdzie wcześniej był powołany Administrator Danych Osobowych, to może on pełnić rolę Inspektora do końca września 2018 roku. Po tym czasie musi został formalnie powołany na Inspektora.

Po co okres przejściowy?

Okres przejściowy został przewidziany aby organizacja zdążyła zapoznać się z nowymi obowiązkami, wydać lub zaktualizować procesy o polityki, a następnie świadomie w oparciu o wiedzę i doświadczenie wskazać właściwego Inspektora. Nie zawsze musi to być ta sama osoba, która była ABI ale najczęściej tak właśnie jest.

Co Inspektor o danych osobowych wiedzieć powinien?

Inspektor powinien posiadać praktyczną wiedzę na temat ochrony danych osobowych. Poziom wiedzy Inspektora powinien być współmierny do celów do jakich został powołany. W małej organizacji, gdzie przeważa się stosunkowo niewiele danych a sposób ten nie jest zbytnio zaawansowany (skomplikowany) Inspektor może wykazać się wiedzą ogólną w oparciu o przepisy prawa oraz dobre praktyki. W dużych organizacjach, w szczególności z branży IT, gdzie ilość przetwarzanych danych jest duża, a procesy zautomatyzowane Inspektor powinien wykazać się poza wiedzą i doświadczeniem umiejętnością podejmowania właściwych decyzji w oparciu o wiedzę ekspercką.

Należy pamiętać, że ukończenie szkolenia nie zawsze gwarantuje pozyskania odpowiedniej wiedzy – to tak, jakby po kursie pierwszej pomocy mieć nadzieję na przeprowadzenie skomplikowanego zabiegu.

Inspektor wspiera organizację?

Rolą Inspektora jest wspieranie organizacji w prawidłowym formułowaniu treści zgód, celu przetwarzania, zakresu niezbędnych danych, czasie ich przetwarzania oraz sposobu w jaki dane te należy chronić. Jednak Inspektor nie zastąpi wszystkich managerów w organizacji. To oni na podstawie jego wskazówek dokonują przeglądu procesów i wdrażają w porozumieniu z nim niezbędne środki bezpieczeństwa adekwatne do ryzyk związanych z przetwarzaniem danych osobowych.

Rolą Inspektora nie jest przygotowanie „gotowca”, którego będziesz mógł stosować przy każdej możliwej okazji, gdyż nie ma możliwości stworzenia takiego rozwiązania. RODO wymaga każdorazowo indywidualnego podejścia do ochrony danych osobowych, zatem gotowe zworce jak zgody czy obowiązek informacyjny po prostu się nie sprawdzą. Należy je każdorazowo dostosowywać do procesu, za który jesteśmy odpowiedzialni.

Kontakt z Inspektorem w sytuacji kryzysowej?

Kiedy należy niezwłocznie skontaktować się z Inspektorem:

– przy naruszeniu ochrony danych osobowych w celu uzgodnienia zasadności zgłoszenia tego naruszenia do UODO,
– w przypadku podejrzenia naruszenia zasad bezpieczeństwa lub wykrycia luk bezpieczeństwa,
– przy żądaniu osoby, której dane dotyczą (art. 15-21 RODO) w celu oceny zasadności tego żądania,
– przy wniosku o ujawnienie danych osobowych w celu uzyskania opinii,
– przy wniosku organu uprawnionego o ujawnienie czynności lub działań związanych z osobą której dane są przetwarzane.

A kiedy Inspektor skontaktuje się ze mną?

Inspektorowi przysługuje prawo weryfikacji procesów pod kątem zgodności z RODO. W ramach audytów lub oceny ma on prawo weryfikacji w organizacji zasadności przetwarzania, sposobu jej organizacji oraz wydawania opinii. Ma to na celu podniesienie bezpieczeństwa oraz świadomości w organizacji. Audyty ułatwiają też formułowanie ryzyk oraz potencjalnych

Niezależność Inspektora

Inspektor może prawidłowo wykonywać swoją pracę tylko wówczas, jeżeli nie otrzymuje instrukcji, jak ma wykonywać swoje zadanie – taka niezależność wynika wprost z RODO. Inspektor, wydając opinię, kieruje się przede wszystkim ograniczeniem ryzyka naruszenia praw i wolności osób, których dane dotyczą, ale uwzględnia też m.in. koszt wdrożenia zabezpieczeń, cele przetwarzania czy jego kontekst. Informacja zwrotna „To utrudnia nam pracę. Proszę o inną opinię” nie jest argumentem mającym wpływ na zmianę wydanej opinii.