sobota, 30 czerwiec 2018 10:33

Inspektor danych osobowych (IOD) – nowy urząd i jego kompetencje

Już od 25 maja niemalże każda placówka przetwarzająca dane osobowe będzie musiała posiadać inspektora danych osobowych. Osobę taką można zatrudnić, jednak ciekawą alternatywą jest także outsourcing tego stanowiska.

 

RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 dotyczące ochrony danych osobowych, które weszło w życie 24 maja 2016 r., a stosowane i egzekwowane będzie od 25 maja tego roku, wprowadza istotne zmiany w sektorze ochrony danych osobowych. Z jednej strony zwiększa prawa osób, których dane są przetwarzane, z drugiej zaś na administratorów tych danych nakłada nowe obowiązki. Jednym z nich jest wprowadzenie funkcji inspektora ochrony danych (IOD, nazywany też DPO od z ang. Data protection officer). Jego zadaniem – tak jak obecnie administratorów bezpieczeństwa informacji (ABI) – będzie działanie na rzecz zgodnego z przepisami o ochronie danych przetwarzania danych, zarówno w sferze administracji publicznej, jak i w sektorze prywatnym.

Obowiązek a nie uprawnienie

Jak przypomina Generalny Inspektor Ochrony Danych Osobowych zadania inspektora ochrony danych w ogólnym rozporządzeniu o ochronie danych zostały sformułowane w sposób ogólny, bez wskazania trybu oraz terminów ich realizacji. Jest to istotna różnica w stosunku do tego co obecnie przewiduje ustawa o ochronie danych osobowych i akty do niej wykonawcze w zakresie zadań ABI. Dodatkowo, jak przypomina GIODO, nowe przepisy istotnie wzmacniają rolę i pozycję IOD. Jednym z najważniejszych przejawów tego wzmocnienia jest fakt, że wyznaczenie inspektora ochrony danych stanie się w wielu przypadkach obowiązkiem, a nie – jak dotąd – uprawnieniem administratora danych.

Kto może, a kto musi wyznaczyć inspektora ochrony danych?

Rozporządzenie przewiduje obligatoryjne wyznaczenie inspektora w sytuacji, gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę oraz gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych. W pozostałych przypadkach wyznaczenie inspektora będzie fakultatywne.

Zadania inspektora

Inspektor ochrony danych będzie musiał wykazywać się wiedzą zarówno teoretyczną, jak i praktyczną dotyczącą ogólnego rozporządzenia o ochronie danych oraz przepisów krajowych regulujących przetwarzanie danych. Do jego obowiązków będzie należało m.in. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe o obowiązkach spoczywających na nich na mocy rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie. Inspektor będzie miał także za zadanie monitorowanie przestrzegania rozporządzenia i innych przepisów o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych. To on będzie dokonywał w tym zakresie podziału obowiązków i prowadził szkolenia personelu, a także audyty. IOD będzie także musiał współpracować z organem nadzorczym i pełnić funkcję punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem. Będzie on także pełnił rolę punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy rozporządzenia. Jego zadaniem będzie także prowadzenie rejestru czynności lub rejestru kategorii czynności. Więcej o zadaniach inspektora danych osobowych: abi.giodo.gov.pl

Forma zatrudnienia IOD

Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników danego podmiotów. Możliwe będzie więc nadal pełnienie funkcji inspektora ochrony danych w modelu  outsourcingu, na podstawie umowy o świadczenie usług. Mimo, że również obecnie, funkcję ABI wykonują zarówno osoby będące pracownikami administratorów danych, jak i osoby, które zawarły z administratorem danych umowę cywilnoprawną, ustawa o ochronie danych osobowych nie zawiera przepisu wprost odnoszącego się do tego zagadnienia. Należy jednak pamiętać, że osoba wykonująca funkcję IOD na podstawie umowy o świadczenie usług musi spełniać wszystkie wymogi stawiane przez przepisy RODO, np. wymogi dotyczące unikania konfliktu interesów, gwarancji niezależności, łatwości nawiązania z nim kontaktu, właściwego i terminowego włączania go we wszystkie sprawy dotyczące ochrony danych osobowych. Nowością przewidzianą w rozporządzeniu jest możliwość powołania jednego inspektora ochrony danych dla kilku podmiotów.

Autor: 

Wojciech Ośka

Wojciech Ośka

Partner Zarządzający odpowiedzialny za Departament Marketingu i Szkoleń oraz Outsourcingu Kadr i Płac.  Od 2013 roku związany z kancelarią Russell Bedford Poland. W Russell Bedford odpowiedzialny za kształtowanie i rozwój usług szkoleniowych oraz outsourcingowych, marketing firmy i kontakt z mediami. W latach 2005 – 2013 podczas współpracy z BDO uczestniczył w kreowaniu wizerunku, jednej z wiodących firm audytorsko-konsultingowych,  w zakresie rozwoju usług szkoleniowych jak i wizerunku całej grupy, pełniąc m.in. funkcję kierownika działu sprzedaży oraz osoby odpowiedzialnej za projektowanie i realizacji materiałów promocyjnych, w tym sieci stron www.  Dysponuje bogatym, popartym wieloletnią praktyką zawodową doświadczeniem eksperckim w zakresie doradztwa sprzedażowego i marketingu. Brał udział we wdrożeniach licznych projektów informatycznych na styku informatyki z szeroko rozumianymi finansami. Autor publikacji z zakresu szkoleń i kształcenia kadr. Ukończył studia ekonomiczne oraz studia podyplomowe z zakresu zarządzania.

Masz pytanie z zakresu prawa?

andrzej dmowski1

Warszawa

Andrzej Dmowski

Partner Zarządzający
tel: 22 276 61 80
email: andrzej.dmowski@russellbedford.pl

rafal dabrowski1

Katowice

Leszek Dukiewicz

Dyrektor biura w Katowicach
tel: 32 73 13 420
email: leszek.dutkiewicz@russellbedford.pl

Kariera

Chcesz rozpocząć karierę w dynamicznej międzynarodowej, prężnie rozwijającej się organizacji, stawiasz na rozwój zawodowy, sukces i karierę – prześlij do nas swoją aplikację, nie omijamy żadnego życiorysu!

Aktualne oferty pracy

Skontaktuj się z nami

Biuro prasowe

Prawo do publikacji możliwe jest po skontaktowaniu się z naszym działem PR.

Zapraszamy do zamawiania komentarzy. Nasi eksperci udzielają wypowiedzi m.in. dla magazynu Forbes, dla Pulsu Biznesu, dla Gazety Finansowej i Rzeczpospolitej. Pozostajemy do Waszej dyspozycji.

 

więcej

RB Magazine

RB Magazine numer 55

Tematy na czasie to split payment, raportowanie MDR, nowa matryca stawek VAT. Zmianom przyglądamy się na bieżąco na naszym portalu i w mediach społecznościowych. W magazynie podsumowujemy najważniejsze z nich, a także zwracamy uwagę na takie, które są równie ważne, ale niekoniecznie „medialne”.

Pobierz najnowszy RB Magazine

 

Facebook

Twitter

RB__Poland Dodatkowe informacje ws. wykazu podatników VAT - Russell Bedford Poland https://t.co/5JGinMFPtd
19hreply
RB__Poland Russell Bedford na konferencji #Mazurytobiznes. Zobacz fotorelację: https://t.co/mHMjo3qHDd https://t.co/uh8ru9j9dt
24hreply
RB__Poland Przeprowadzanie inwestycji na obszarach Natura 2000 - Russell Bedford Poland https://t.co/Y93sRBhiuX
RB__Poland Ceny transferowe. Japońska reforma podatkowa - Russell Bedford Poland https://t.co/G3H1Jeku2n