Obowiązki Inspektora Ochrony Danych Osobowych – kto może zostać IODO?

Obowiązki Inspektora Ochrony Danych Osobowych są dość rozległe i specyficzne. Inspektor Ochrony Danych Osobowych to osoba pełniąca funkcję pewnego rodzaju pośrednika pomiędzy Urzędem Ochrony Danych Osobowych, a podmiotem zajmującym się przetwarzaniem danych czy osobą, której dane osobowe dotyczą. Na to stanowisko kandydatów powoływać może wyłącznie administrator bądź podmiot zajmujący się kontrolą przestrzegania w firmie bądź organizacji przepisów odnoszących się do ochrony danych osobowych.

Jeśli interesuje Cię ta tematyka, poczytaj, jakie są obowiązki Inspektora Ochrony Danych osobowych, kto może zostać IODO i z czym się praca Inspektora Ochrony Danych Osobowych wiąże.

O danych osobowych pisaliśmy m.in. tutaj: Dane osobowe na zleceniu, dane osobowe pracowników. Jeśli interesuje Cię ta tematyka, zapraszamy do lektury. A jeśli interesuje Cię kwestia ochrony danych osobowych w kadrach i rekrutacji – mamy szkolenie online RODO w kadrach i rekrutacji

Inspektor Ochrony Danych Osobowych – kiedy niezbędne jest jego powołanie?

Do powołania do funkcjonowania stanowiska Inspektora Ochrony Danych Osobowych (IOD) zobowiązane są przede wszystkim podmioty publiczne oraz wszystkie te, które zajmują się przetwarzaniem danych osobowych na bardzo dużą skalę. Pozostałe podmioty mogą oczywiście wyznaczyć kogoś na stanowisko Inspektora Ochrony Danych Osobowych jeżeli mają taką potrzebę, jednak nie jest to narzucane na nich obligatoryjnie.

Kurs online RODO – ochrona danych osobowych w zakładzie pracy

Warto jednak mieć na względzie fakt, że jeżeli zdecydują się na powołanie do funkcjonowania takiego stanowiska, automatycznie stają się zobowiązani do przestrzegania takich samych zasad i przepisów, jak podmioty które odgórnie są zobowiązane do utworzenia stanowiska Inspektora Ochrony Danych Osobowych.

W przypadku tworzenia stanowiska dla IOD powstaje jedno, dość zasadnicze pytanie – czy osoba czuwająca nad prawidłowym przetwarzaniem danych osobowych ma być osobą z zewnątrz czy może lepszym rozwiązaniem jest powierzenie tych zadań osobie pracującej już w przedsiębiorstwie lub organizacji?

W tym przypadku jest to tak naprawdę kwestia bardzo indywidualna, najważniejsza kwestią jest to, by wszystkie obowiązki Inspektora Ochrony Danych Osobowych zostały wykonywane z należytą starannością i znajomością przepisów, mniejsze znaczenie ma to, kto podejmuje się ich wykonania.

Zgodnie z przepisami, osoba zajmująca stanowisko IOD nie może zostać odwołana ani ukarana zarówno przez administratora, jak i podmiotu przetwarzającego dane, jeżeli wykonuje swoją prace zgodnie z przyjętymi zasadami i normami. Nie oznacza to jednak, że stanowisko to zostaje obsadzane bezterminowo. Istnieją przypadki, w których IOD może być odwołany ze swojego miejsca pracy. Chodzi tu przede wszystkim o:

• przyczyny wynikające ze stosunku pracy czy zawieranych umów;
• wyjątkowych sytuacji takich jak np. kradzież czy nękanie;
• naruszenie obowiązków zawodowych.

Kto może zostać Inspektorem Ochrony Danych Osobowych?

Obowiązki Inspektora Ochrony Danych Osobowych może pełnić osoba fizyczna (zgodnie z przepisami nigdy nie może być to osoba prawna!), posiadająca stosowne kwalifikacje zawodowe, włączając w to niezbędną wiedzę z zakresu prawa oraz praktyk w dziedzinie ochrony danych osobowych. Wiedza i umiejętności są na tym stanowisku niezwykle istotne, bowiem to właśnie one pozwolą na odpowiednie wykonywanie wszystkich należących do IOD obowiązków.

Choć posiadanie odpowiednich kwalifikacji i umiejętności w przypadku wymagań, jakie musi spełnić osoba ubiegająca się o stanowisko Inspektora Ochrony Danych Osobowych (art.37 ust. 5 RODO) to bardzo ogólne kryterium, to jednak jest ono trudniejsze do spełnienia, niż początkowo mogłoby się wydawać. Ochrona danych osobowych to bardzo ogólna i rozległa dziedzina, nic więc dziwnego w tym, że osoba pełniąca obowiązki IOD musi mieć niezwykle szeroki zakres wiedzy i umiejętności.

Ponadto mając na względzie szybki postęp techniczny, osoba zajmująca się kontrolą przetwarzania danych osobowych musi być gotowa na ciągłe podnoszenie swoich kwalifikacji. Poza wiedzą niezbędne będą również umiejętności interpersonalne z zakresu komunikacji, umiejętności dzielenia się wiedza z innymi, zarządzaniem projektami, negocjacjami czy mediacjami.

Status Inspektora Ochrony Danych Osobowych

Ze względu na swoje obowiązki Inspektor Ochrony Danych Osobowych musi mieć silną pozycję w firmie bądź organizacji w której pracuje (znacznie silniejszą niż administrator bezpieczeństwa informacji). Można przez to powiedzieć, że niejako pozycja IOD musi być niezależna, w związku z czym osoba pracująca na tym stanowisku nie powinna:

• otrzymywać odgórnych instrukcji odnoszących się do wykonywanych przez niego obowiązków (pod warunkiem oczywiście, że wykonywane są rzetelnie i zgodnie z obowiązującymi przepisami);
• być odwoływana ani karana za wykonywanie swoich obowiązków, jeżeli wykonuje je właściwie, nie dopuszczając się naruszenia zarówno przepisów prawnych, jak i norm społecznych oraz nie podejmuje działań przeciwko dobru innych pracowników czy miejsca zatrudnienia;
• podporządkowywać się innym pracownikom przedsiębiorstwa/ organizacji – Inspektor Ochrony Danych Osobowych odpowiada wyłącznie przed wyższym kierownictwem lub podmiotem przetwarzającym.

W zależności od sytuacji w przedsiębiorstwie czy organizacji nie ma przeciwwskazań ku temu, by osoba zajmująca się ochroną danych osobowych wykonywania także funkcje, które nieco wychodzą poza obowiązki Inspektora Ochrony Danych Osobowych. Należy jednak pamiętać o tym, że dodatkowe zadania do wykonania nigdy nie mogą przeszkadzać w wykonywaniu zadań przypisanych do tego stanowiska.

Obowiązki Inspektora Ochrony Danych Osobowych

Ze względu na fakt, że stanowisko Inspektora Ochrony Danych Osobowych jest stosunkowo nowe (wprowadzone w życie wraz z wejściem w życie przepisów RODO), w związku z czym obowiązki osoby sprawującej pieczę nad ochroną danych są dość szerokie. Najczęstsze obowiązki Inspektora Ochrony Danych osobowych to:

• zdobywanie i aktualizowanie wiedzy z zakresu ochrony danych osobowych;
• przygotowanie szczegółowych audytów w zakresie ochrony danych osobowych (dotyczy to audytów zarówno zapowiedzianych jak i niezapowiedzianych);
• opracowywanie checklisty audytowej;
• zapewnienie pracownikom pozyskania odpowiedniej wiedzy w zakresie ich praw w dziedzinie ochrony danych osobowych;
• udział w projektowaniu każdej nowej czynności niezależnie od działu;
• codzienna kontrola przestrzegania ochrony danych osobowych w przedsiębiorstwie/ organizacji;
• rejestrowanie naruszeń ochrony danych osobowych (nawet tych najmniejszych i pozornie błahych);
• okresowa inwentaryzacja narzędzi służących do ochrony przetwarzanych danych osobowych;
• organizacja okresowych szkoleń uświadamiających pracownikom zarówno ich prawo do ochrony danych osobowych, jak i ukazywanie wszystkich zagrożeń z tym związanych;
• kontrola prowadzenia regularnych i rzetelnych ewidencji (np. pomieszczeń, sprzętu, upoważnień itp.);
• kontrola przeprowadzania odrębnych, regularnych audytów przez służby informatyczne;
• ustalenie ram współpracy pomiędzy Inspektorem Ochrony Danych Osobowych a organem nadzorującym;
• rejestracja wszystkich podejmowanych działań, które mają zapewnić bezpieczne przetwarzanie danych.

Obowiązki Inspektora Ochrony Danych Osobowych obejmują również kontrolę nad systemem ochrony danych. Jest to jedna z najbardziej odpowiedzialnych funkcji, wymagająca regularnego kontaktu z Urzędem Ochrony Danych Osobowych oraz wszystkimi osobami, których dane poddawane są przetwarzaniu (bardzo często określa się takie osoby mianem podmiotu danych).

IOD musi mieć wiele spraw pod ścisłą kontrolą, podejmując szybie decyzje i reagując natychmiastowo na pojawiające się nieprawidłowości związane z przetwarzaniem danych.

Kto ponosi odpowiedzialność za brak należytej ochrony danych osobowych?

Pełna odpowiedzialność za jakiekolwiek błędy w ochronie danych osobowych spoczywa na barkach administratora. W zależności od rodzaju występujących nieprawidłowości, odpowiedzialność za zaistniałe sytuacje może przyjmować różne formy (administracyjną, cywilną, a nawet karną – taka sytuacja ma miejsce jednak bardzo rzadko).

 Niewłaściwa ochrona danych osobowych najczęściej związana jest z karami administracyjnymi w formie pieniężnej (które mogą osiągać zawrotne kwoty nawet 20 mln euro).  Odpowiedzialność administracyjna najczęściej wynika z następujących nieprawidłowości:

• przetwarzania danych osobowych, które jest niezgodne z przepisami RODO;
• przetwarzania danych osobowych bez stosownych uprawnień;
• przetwarzania danych bez wyraźnej zgody podmiotu, do którego należą;
• brak zachowania pełni praw wobec osób, których dane są przetwarzane;
• przekazywania danych osobowych osobom bądź jednostkom do tego nieuprawnionym.

Odpowiedzialność administratora danych osobowych, wynikająca z niewłaściwej ochrony jest niezaprzeczalna, a tym samym związana z koniecznością poniesienia (bardzo często dość dotkliwych) konsekwencji. Zdarzają się jednak sytuacje, w których za brak należytej ochrony danych odpowiedzialność ponosi nie tylko administrator, ale również Inspektor Ochrony Danych  Osobowych, nie wykonujący swoich obowiązków w sposób należyty.

W takim wypadku konsekwencje zaistniałej sytuacji musi ponieść zarówno administrator, jak i osoba pełniąca funkcje IOD. Zakres odpowiedzialności zależny jest od wzajemnych powiązań pomiędzy stronami.

Jeżeli osoba zatrudniona jako IOD jest jednocześnie pracownikiem administratora (zatrudnionym na umowę o pracę), wówczas ponosi odpowiedzialność w przypadku, w którym:

• zataja przed administratorem istotne informacje natury prawnej, 
• nie informuje administratora o wykrytych błędach w zakresie ochr9ony danych osobowych.

W przypadku, gdy funkcję IOD pełni osoba z zewnątrz, działająca na zlecenie administratora, wówczas zakres odpowiedzialności w dużym stopniu wynika z zapisów zawartej pomiędzy stronami umowy o świadczenie usług. W przypadku, w którym pomiędzy administratorem a IOD nie zostały określone warunki ewentualnej odpowiedzialności, wówczas Inspektor Ochrony Danych Osobowych będzie się musiał zmierzyć nie tylko z konsekwencjami wystąpienia szkody rzeczywistej, ale również z utraconymi w wyniku błędu korzyściami.

Wyjątek będą stanowiły tu jedynie sytuacje, w których pochodzący spoza struktur firmy/organizacji IOD nie popełnił błędu, a co za tym idzie nie może zostać pociągnięty do odpowiedzialności za nie (chodzi tu przede wszystkim o wystąpienie całego szeregu zewnętrznych czynników, na których zaistnienie inspektor nie ma najmniejszego wpływu).

W związku z pewnymi wątpliwościami do co tego, kto ponosi odpowiedzialność za brak należytej ochrony, coraz więcej firm zajmujących się ochroną danych osobowych decyduje się na wprowadzenie do umowy pomiędzy administratorem a IOD punktów ograniczających odpowiedzialność stron.

Pełna nasza oferta szkoleniowa tutaj: Certyfikowane kursy online oraz Kursy online z zaświadczeniem