Kim jest inspektor ochrony danych?

Wiele osób zastanawia się, kim jest inspektor ochrony danych na gruncie rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem tych danych (RODO) i jakie są podstawy jego powołania, a także obowiązki związane z pełnieniem tej funkcji.

Poniżej wyjaśniamy kto i w jakich okolicznościach powinien powołać inspektora, jakie są jego zadania oraz kto może pełnić tę rolę.

Kim jest inspektor ochrony danych?

Zgodnie z motywem 97 oraz art. 35 RODO inspektor ochrony danych (IOD) to osoba, która posiada fachową wiedzę na temat prawa oraz praktyk dotyczących ochrony danych. Może być powołany przez administratora danych osobowych bądź też podmiot przetwarzający w celu wspomagania przestrzegania przepisów dotyczących ochrony danych osobowych w danej organizacji.

Do podstawowych zadań inspektora ochrony danych należy informowanie o obowiązkach, które wynikają z RODO, a także innych przepisów w zakresie ochrony danych osobowych. Inspektor ochrony danych ma za zadanie monitorować przestrzeganie zasad i polityk ochrony danych osobowych w organizacji.

Do obowiązków inspektora ochrony danych należy również pełnienie roli punktu kontaktowego dla osób, których dane dotyczą we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych, w tym związanych z wykonywaniem praw przysługujących im na mocy RODO. To do niego należy się zwracać jeśli chcemy poprawić nasze dane czy uzyskać ich kopię. Do inspektora należy również zgłaszać prośby w zakresie usunięcia danych lub przeniesienia ich do innego administratora danych osobowych (jeżeli jest to w danym przypadku możliwe).

Inspektor ochrony danych powinien także współpracować z Prezesem Urzędu Ochrony Danych Osobowych w kwestiach związanych z przetwarzaniem danych osobowych oraz w stosownych przypadkach zwracać się do niego, np. w celu informowania o naruszeniach ochrony danych.

Zgodnie z motywem 97 RODO, inspektor ochrony danych osobowych udziela zaleceń co do dokładnej oceny skutków, jakie wiążą się z ochroną danych osobowych, a także monitorowania jej wykonania.

Inspektor ochrony danych musi uczestniczyć we wszystkich sprawach dotyczących ochrony danych osobowych w organizacji, powinien dysponować pełną wiedzą w zakresie operacji przetwarzania danych w organizacji na potrzeby realizacji swoich zadań.

Komu podlega inspektor ochrony danych osobowych?

Inspektor ochrony danych jest podmiotem niezależnym. Jego działania, mimo iż pozostaje on w stosunku pracy z danym podmiotem, nie reguluje żadna instrukcja czy polecenia. Podlega bezpośrednio tylko najwyższemu kierownictwu przedsiębiorstwa czy też innego podmiotu, w którym przetwarza się dane osobowe. Inspektorowi ochrony danych nie można wydawać poleceń dotyczących sposobu realizacji jego obowiązków, nie można go również karać za realizację powierzonych mu zadań związanych z ochroną danych.

Inspektor ochrony danych musi przestrzegać obowiązujących go procedur, m.in. obowiązku zachowania tajemnicy dotyczącej wykonywania powierzonych mu zadań, a także zadbania o to, by w trakcie wykonywania wybranych procedur nie doszło do jakichkolwiek konfliktów interesów pomiędzy administratorem danych osobowych, a osobą, której dane dotyczą, czyli podmiotem danych.

Formy zatrudnienia IOD i powołanie inspektora ochrony danych zgodnie z RODO

W myśl rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679, nie ma konieczności uregulowania formy zatrudnienia inspektora ochrony danych. W praktyce oznacza to, że osoba ta nie musi zawierać umowy o pracę czy umowy cywilnoprawnej z danym podmiotem. Ponadto inspektor danych osobowych nie musi należeć do personelu administratora danych osobowych lub też podmiotu przetwarzającego. Z treści przepisów jednoznacznie zatem wynika, że inspektor ochrony danych może być osobą bądź firmą zewnętrzną, która realizuje powierzone zadania w zakresie związanym z ochroną danych.

Powołanie inspektora ochrony danych zgodnie z RODO może być konieczne w szczególności w dwóch przypadkach. Powinno ono nastąpić, gdy:

• przeważająca działalność administratora danych osobowych lub podmiotu przetwarzającego opiera się na operacjach przetwarzania, które z uwagi na swój charakter, cele bądź zakres wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, w tym monitorowania na dużą skalę;
• przeważająca działalność administratora danych osobowych lub podmiotu przetwarzającego polega na przetwarzaniu danych na dużą skalę, w szczególności jeżeli są to dane osobowe dotyczące wszelkiego typu naruszeń prawa i wyroków skazujących, a także dane osobowe szczególnych kategorii, czyli tzw. dane wrażliwe (dane dotyczące zdrowia, seksualności, przynależności do związków zawodowych itp.).

Inspektor ochrony danych jest osobą, której powierza się obowiązki związane z ochroną danych osobowych i monitorowaniem, a także przestrzeganiem zasad przetwarzania danych. Funkcja ta dotyczy również zwiększania świadomości personelu przedsiębiorstwa, organizacji w zakresie ochrony danych osobowych i sposobów ich zabezpieczenia.

W przypadku jakichkolwiek pytań zapraszamy do kontaktu z Kancelarią. Doświadczeni prawnicy udzielą wszelkich informacji dotyczących wyznaczenia inspektora ochrony danych w przedsiębiorstwie.

 

Przygotował:

Piotr Sawicki
adwokat

Damian Grodziński
aplikant adwokacki