Inspektor Ochrony Danych

Inspektor Ochrony Danych

 

IOD

Regulacja dotycząca Inspektora Ochrony Danych (IOD) została ujęta w art. 37-39 RODO. Zadaniem IOD jest krótko mówiąc zadbanie o poziom ochrony danych osobowych w organizacji. IOD ma być pośrednikiem pomiędzy organem nadzorczym a administratorem lub podmiotem przetwarzającym. Co istotne, to Administrator lub Podmiot przetwarzający wciąż ponoszą odpowiedzialność za przestrzeganie przepisów RODO w organizacji. IOD natomiast odgrywa w instytucji role konsultacyjną, uświadamiającą, doradczą oraz kontrolną.

KIEDY NALEŻY POWOŁAĆ INSPEKTORA OCHRONY DANYCH?

Na początek należy wskazać, że nie każda instytucja ma obowiązek wyznaczenia IOD. Ten obowiązek będzie dotyczyć tylko części podmiotów.

Zgodnie z art. 37 ust. 1 RODO Administrator i podmiot przetwarzający mają obowiązek wyznaczyć Inspektora Ochrony Danych w następujących sytuacjach:

  1. Organ lub podmiot publiczny dokonują przetwarzania danych. Wyjątek tutaj stanowią sądy w zakresie sprawowania przez nie wymiaru sprawiedliwości.
    Co ważne, przez organy oraz podmioty publiczne rozumie się:
    1. Jednostki sektora finansów publicznych,
    2. Instytuty badawcze,
    3. Narodowy Bank Polski.
  2. W ramach swojej głównej działalności administrator lub podmiot przetwarzający przetwarzają na dużą skalę dane, które ze względu na swój charakter, zakres lub cele wymagają regularnego monitorowania osób, których te dane dotyczą.
  3. W ramach swojej głównej działalności administrator lub podmiot przetwarzający przetwarzają na dużą skalę dane osobowe szczególnych kategorii, które wynikają z art. 9 ust.1 RODO oraz z art. 10 RODO (dane osobowe dotyczące wyroków skazujących i naruszeń prawa).

Co należy rozumieć poprzez główną działalność?

Pojęcie głównej działalności dotyczy tych sytuacji, w których przetwarzanie danych osobowych jest nieodłącznym elementem działalności Administratora lub Podmiotu przetwarzającego. Oznacza to, iż dane osobowe stają się niezbędne do osiągnięcia określonych celów biznesowych. Przykładem takiej sytuacji może być firma ubezpieczeniowa, której główną działalnością jest sprzedaż ubezpieczeń oraz realizacja likwidacji szkody. Warto tutaj wyróżnić również działania wspierające, które są niezbędne ale przeważnie uznawane są za działania pomocnicze. Do takich działań wspierających możemy zaliczyć wypłacanie wynagrodzeń pracownikom czy też korzystanie z usług IT.

Co oznacza duża skala przetwarzania?

Pojęcie przetwarzania na dużą skalę jest pojęciem nieostrym. Dlatego też, Grupa Robocza Art.29 wskazuje, iż przy definiowaniu dużej skali należy zwrócić uwagę wymienione poniżej aspekty:

  1. Liczba osób, których dane dotyczą,
  2. Konkretna liczba bądź procent określonej grupy społeczeństwa,
  3. Zakres przetwarzanych danych osobowych,
  4. Okres, przez który dane są przetwarzane,
  5. Zakres geograficzny przetwarzania danych osobowych.

Zgodnie z wytycznymi Grupy Roboczej Art. 29 jako przykłady przetwarzania danych osobowych na dużą skalę można wskazać:

  1. Przetwarzanie danych osobowych w związku z wyświetlaniem reklamy behawioralnej przez dostawcę usługi wyszukiwania treści,
  2. Przetwarzanie danych osobowych pacjentów przez szpitale w ramach prowadzenia działalności gospodarczej,
  3. Przetwarzanie danych osobowych osób korzystających z miejskiego transportu publicznego,
  4. Przetwarzanie danych klientów w ramach działalności banków i ubezpieczycieli,
  5. Przetwarzanie danych klientów przez dostawców usług telefonicznych lub internetowych.

Do przetwarzania na dużą skalę nie możemy zaliczyć:

  1. Przetwarzania danych pacjenta przez pojedynczego lekarza,
  2. Przetwarzanie danych osobowych dotyczących wyroków skazujących i czynów zabronionych przez pojedynczego prawnika.

 Regularne monitorowanie osób

Monitorowanie osób odnosi się do szeroko pojętych form śledzenia i profilowania w sieci. Ważne jest, aby przy ustalaniu czy przetwarzanie może być monitorowaniem zachowania ustalić, czy osoba jest obserwowana w Internecie, w tym czy stosowane są techniki przetwarzania danych takie jak profilowanie. Grupa Robocza Art. 29 wskazuje, iż monitorowanie powinno być systematyczne oraz regularne.

Regularnym monitorowaniem można nazwać działania, które są:

  1. Stałe albo występujące w określonych odstępach czasu przez ustalony okres,
  2. Cykliczne albo powtarzające się w określonym terminie,
  3. Odbywające się stale lub okresowo.

Systematycznym monitorowaniem traktujemy działania, które:

  1. Występują zgodnie z określonym systemem,
  2. Są zaaranżowane, zorganizowane bądź metodyczne,
  3. Odbywają się w ramach generalnego planu zbierania danych,
  4. Są przeprowadzane w ramach określonej strategii.

Poprzez systematyczne i regularne monitorowanie osób, których dane dotyczą można rozumieć działania takie jak:

  1. Świadczenie usług telekomunikacyjnych,
  2. Przekierowywanie poczty elektronicznej,
  3. Śledzenie lokalizacji,
  4. Programy lojalnościowe,
  5. Reklamy behawioralne,
  6. Monitorowanie stanu zdrowia i kondycji fizycznej poprzez inteligentne urządzenia,
  7. Inteligentne liczniki, inteligentne samochody, automatyka domowa.

W pozostałych sytuacjach wyznaczenie Inspektora Ochrony Danych jest fakultatywne. Co istotne, w sytuacji braku obowiązku zgodnie z przepisami wyznaczenia IOD, Grupa Robocza Art. 29 w swoich wytycznych rekomenduje, aby Administratorzy oraz Podmioty przetwarzające udokumentowały wewnętrzne procedury, w których uwzględnią przesłanki z art. 37 RODO dotyczące istnienia obowiązku bądź braku obowiązku wyznaczenia IOD.

ZADANIA INSPEKTORA OCHRONY DANYCH

Katalog zadań, które Inspektor Ochrony Danych jest zobowiązany wykonywać zostały uregulowane w art. 38 ust. 4 oraz w art. 39 ust. 1 RODO. Należą do nich:

  1. Informowanie administratora, podmiot przetwarzający oraz pracowników, którzy przetwarzają dane osobowe o tym, jakie obowiązki na nich spoczywają na podstawie RODO oraz przepisów Unii Europejskiej lub państw członkowskich a także doradzanie tym podmiotom w tej kwestii;
  2. Monitorowanie przestrzegania przepisów wynikających z RODO oraz innych przepisów Unii Europejskiej lub państw członkowskich oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
  3. Na żądanie udzielanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
  4. Współpraca z organem nadzorczym jakim jest Prezes UODO
  5. Kontaktowanie się z Prezesem UODO w kwestiach związanych z przetwarzaniem wraz z uprzednimi konsultacjami zgodnie z art. 36 RODO, jak również prowadzenie w stosownych sytuacjach konsultacji w innych sprawach.

UWAGA - IOD MOŻE WYKONYWANE INNE ZADANIA I OBOWIĄZKI, ALE NIE MOGĄ ONE POWODOWAĆ KONFLIKTU INTERESÓW Z FUNKCJĄ, KTÓRĄ PEŁNI.

Niezależnie od powyższego możemy przyjąć, że IOD może wykonywać inne zadania, które nie będą sprzeczne z jego pozostałymi zadaniami oraz nie będą godzić w jego niezależność. Tak też nie można wykluczyć, iż przy odpowiednim ułożeniu w instytucji procesu, IOD mógłby prowadzić w imieniu administratora rejestr czynności przetwarzania danych osobowych, kierować w imieniu administratora zawiadomienia o naruszeniu ochrony danych osobowych lub też wspierać go w redagowaniu odpowiedzi na kierowane przez osoby fizyczne zapytania odnoszące się do uprawnień tychże osób.

Co istotne, osoby fizyczne, których dane dotyczą mogą kontaktować się z powołanym IOD we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO.

JAKIE KWALIFIKACJE POWINIEN MIEĆ INSPEKTOR OCHRONY DANYCH

IOD wyznaczany jest przede wszystkim na podstawie swoich kwalifikacji zawodowych, na które składają się wiedza i praktyka z dziedziny prawa, ochrony danych osobowych a także umiejętność wykonywania zadań. Co istotne, poziom wiedzy IOD nie został określony w sposób jednoznaczny, co z kolei oznacza, że musi być on współmierny do charakteru, skomplikowania oraz ilości danych osobowych przetwarzanych w ramach organizacji.

KARA ZA BRAK POWOŁANIA IOD

Jeśli pomimo zaistnienia przesłanek dotyczących obowiązku wyznaczenia w swoich strukturach IOD, nie zostanie on powołany, to zgodnie z treścią art. 83 ust. 4 RODO istnieje ryzyko, że na administratora zostanie nałożona administracyjna kara, w tym sankcja pieniężna.

TRUDNOŚCI IOD W REALIZOWANIU FUNKCJI?

W dużej mierze największym wyzwaniem Inspektora Ochrony Danych jest ciągłe budowanie oraz podtrzymywanie świadomości w zakresie ochrony danych osobowych. Przede wszystkim istotne jest budowanie i podtrzymywanie tej świadomości u administratorów oraz podmiotów przetwarzających. Ważna w tym zadaniu jest cierpliwość, systematyczność, a także konsekwencja w realizowaniu swoich zadań. Wielu praktyów zwraca uwagę, że ostatnia z kompetencji IOD wymieniona w przepisach, tj. punkt kontaktowy dla Prezesa UODO wskazuje, że IOD powinien być de facto kimś pośredniczącym pomiędzy przedsiębiorcą a organem nadzorczym. Tak też zadania IOD nie należą do najłatwiejszych i nie bez powodu wymaga się od takiej osoby nie tylko wiedzy merytorycznej, ale także odpowiednich kompetencji miękkich.

Zakładam, że jesteś tu po to, bo szukasz informacji na konkretny temat. Jeśli powyższy post nie rozwiązał Twojego problemu, zachęcam Cię do konsultacji online.

 

 

Kategorie

Ostatnie posty

Dane wrażliwe (art. 9 RODO)
Dane wrażliwe (art. 9 RODO)

Czym są dane wrażliwe? Czy danymi wrażliwymi są wszystkie dane osobowe czy tylko wybrana część?

Rejestr czynności przetwarzania
Rejestr czynności przetwarzania

RODO nakłada na administratorów danych osobowych szereg obowiązków. Jednym z nich jest prowadzenie rejestru czynności przetwarzania. Czym zatem jest ten rejestr i w jakim celu należy go prowadzić?

Analiza ryzyka
Analiza ryzyka

Jednym z obowiązków Administratora, który nakładają na niego przepisy RODO jest wykonanie oceny skutków dla ochrony danych osobowych. W artykule kilka ważnych informacji dla osób dokonujących słynnego DPiA.

RODO-Advisor

▪️nie wdrożyłeś RODO w firmie▪️szukasz bieżącego wsparcia▪️szukasz Inspektora Ochrony Danych▪️odnotowałeś wyciek danych▪️masz problem i chcesz go przedyskutować▪️chcesz przeszkolić personel▪️ 

ROZWIĄŻEMY PROBLEM

▪️chcesz korzystać z przysługujących RODO-uprawnień▪️czujesz, że Twoje prawa nie są przestrzegane▪️chcesz mądrze zarządzać swoimi danymi osobowymi, ale nie wiesz jak▪️ myślisz o założeniu firmy i chcesz poznać RODO-procesy▪️ 

Kontakt

787 799 843
kontakt@rodo-advisor.pl
Plac Hallera 5 lok. 14A
03-464 Warszawa

CREATED BY REVEO

Dokumentacja RODO - Polityka Prywatności oraz Ogólna klauzula informacyjna