Jakie zadania ma IOD

lis 5, 2021 | Artykuły o RODO i otoczeniu regulacyjnym

Zadania inspektora ochrony danych zostały precyzyjnie wskazane w art. 39 ust. 1 oraz 38 ust. 4 RODO.

Informowanie

Jako pierwsze z nich art. 39 ust. 1 określa jako:

informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

art. 39 ust. 1 lit. a RODO

To ważny punkt, który wskazuje jednoznacznie na rolę informacyjną i edukacyjną. Zadanie jest wypełnione gdy każda osoba przetwarzająca dane osobowe jest świadoma swoich obowiązków związanych z przetwarzaniem danych. Bez wątpienia nie należy oczekiwać, by każdy pracownik natychmiast stał się specjalistom w tej dziedzinie. Jednak osoba pracująca w określonym dziale powinna wiedzieć w ramach jakich czynności przetwarza się dane osobowe w obszarze, jakie to są kategorie itd. Warto by takie osoby były zaangażowane w podstawowe procesy związane z przetwarzaniem danych. Należą do nich zarządzanie upoważnieniami, realizacja żądań czy też okresowe usuwanie danych, potocznie zwane retencją. Ważną rzeczą jest podstawowa wiedza o postępowaniu w przypadku naruszenia. Często zdarza się, że pracownicy nie są świadomi pilności tego zagadnienia.

Monitorowanie

Na drugie zadanie art. 39 ust. 1 wskazuje:

monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

art. 39 ust. 1 lit. b RODO

Ten punkt wskazuje jednoznacznie, że kluczowy obowiązek IOD to działania operacyjne czyli monitorowanie przestrzegania prawa i wewnętrznych polityk. Właściwe narzędzia wspierające pomogą w kontroli podstawowych wskaźników operacyjnych. Podobnie jak przednio realizacja tego zadania nie będzie możliwa bez zaangażowania personelu uczestniczącego w operacjach przetwarzania. Do ważnych zadań regulator wskazuje audyty. Można je realizować zarówno zasobami wewnętrznymi, jaki i zewnętrznymi.

Udzielanie zaleceń

udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;

art. 39 ust. 1 lit. c RODO

Zgodnie z art. 35 ust. 2 RODO administrator dokonując oceny skutków konsultuje się z IOD, jeżeli został wyznaczony, w celu wydania przez niego zaleceń. Warto także pamiętać, że na podstawie Wytycznych Grupy Roboczej Art. 29, administrator dokonując ww. oceny powinien konsultować się z IOD w następujących kwestiach:

  • czy należy przeprowadzić ocenę skutków dla ochrony danych;
  • metodologii przeprowadzenia oceny skutków dla ochrony danych;
  • czy należy przeprowadzić wewnętrzną ocenę czy też zlecić ją podmiotowi zewnętrznemu;
  • zabezpieczeń (w tym środków technicznych i organizacyjnych) stosowanych do łagodzenia wszelkich zagrożeń praw i interesów osób, których dane dotyczą;
  • prawidłowości przeprowadzonej oceny skutków dla ochrony danych i zgodności jej wyników z RODO (czy należy kontynuować przetwarzanie, czy też nie oraz jakie zabezpieczenia należy zastosować).

Jak widać w ramach zadań IOD winien aktywnie uczestniczyć procesie oceny skutków dla ochrony danych. Co jednak istotne, rola jego nie jest tu wiodąca, a wspierająca.

Współpraca z organem nadzorczym

współpraca z organem nadzorczym;

art. 39 ust. 1 lit. d RODO

IOD powinien współpracować z organem nadzorczym w kwestiach związanych z przetwarzaniem danych osobowych oraz w stosownych przypadkach zwracać się do niego

Punkt kontaktowy

pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

art. 39 ust. 1 lit. e RODO

IOD pełni zatem rolę łącznika pomiędzy administratorem lub podmiotem przetwarzającym, a organem nadzorczym. Świadczy on zarówno wsparcie administratorowi w zakresie sposobu wykonania obowiązków nałożonych na administratora wynikających z RODO , jak i reprezentuje administratora przed organem.

IOD z jednej strony udziela fachowego wsparcia administratorowi w zakresie sposobu wykonania obowiązków nałożonych na administratora wynikających z RODO, z drugiej strony wspomaga go przed organem nadzorczym w wykazaniu zasadności wybranych rozwiązań w ramach prowadzonych przez organ postępowań. Dotyczy to zarówno konsultacji, udzielania informacji jak i naruszeń.

Warto zwrócić uwagę, że powołany inspektor ochrony danych zgodnie z Wytycznymi Grupy Roboczej art. 29 powinien, komunikować się w języku używanym przez Prezesa Urzędu. 

Punkt kontaktowy dla osób, których dane dotyczą

Rozporządzenie RODO w istocie dotyczy uporządkowania i zabezpieczenia praw osób, których dane dotyczą. Dlatego bardzo ważne zadanie IOD określone zostało w art. 38 ust. 4.

Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.

art. 38 ust. 4 RODO

IOD jest zatem punktem kontaktowym dla wszystkich osób, których dane dotyczą a chcą skontaktować się w sprawie swoich danych osobowych. Prawa te zostały określone w art. 15-22 RODO. Ważne jest by administrator umożliwił taki kontakt podmiotom danych. Pewnym sposobem jest umieszczenie adresu e-mail na stronie internetowej. By usprawnić realizację praw wielu administratorów stosuje rozwiązania pomagające w sposób kompleksowy i terminowy zarządzać żądaniami podmiotów danych, w szczególności prawa do zapomnienia.

Na koniec warto zauważyć, że niejako spoiwem właściwego zarządzania RODO jest współpraca. Bez niej ryzyko dla danych istotnie rośnie. O jednym trzeba jednak pamiętać, IOD nie jest osobą, która odpowiada za cały obszar przetwarzania danych. Jest menadżerem tego obszaru i jednocześnie specjalistom wspierającym tych, którzy w procesach uczestniczą i za nie odpowiadają.

Polecane treści