Inspektor ochrony danych (IOD) to funkcja wymagana przez RODO w określonych przypadkach — ale nawet tam, gdzie nie jest obowiązkowa, coraz więcej organizacji ją wprowadza. Problem polega na tym, że rola IOD bywa rozumiana bardzo różnie: od „osoby od dokumentów RODO” po „odpowiedzialnego za wszystko co dotyczy danych”.
Art. 39 ust. 1 RODO definiuje zadania IOD precyzyjnie. Warto do nich wrócić, bo odpowiedź na pytanie „co robi IOD” powinna zaczynać się od przepisu, nie od praktyki rynkowej.
Zadania IOD według art. 39 RODO
Informowanie i doradzanie
IOD informuje administratora, podmiot przetwarzający oraz ich pracowników o obowiązkach wynikających z RODO i innych przepisów o ochronie danych. To nie jest jednorazowe szkolenie — to ciągłe doradztwo. Gdy organizacja planuje nowy proces przetwarzania, wdraża nowy system IT, zmienia dostawcę usług chmurowych — IOD powinien być konsultowany.
Monitorowanie przestrzegania przepisów
IOD monitoruje przestrzeganie RODO — w tym polityk ochrony danych, podział obowiązków, szkolenia pracowników, audyty. Kluczowe słowo: monitoruje. IOD nie wdraża RODO — IOD sprawdza czy RODO jest wdrożone i czy działa.
Doradzanie w sprawie DPIA
Gdy organizacja przeprowadza ocenę skutków dla ochrony danych (DPIA), IOD udziela zaleceń i monitoruje jej wykonanie. IOD nie musi sam przeprowadzać DPIA — ale musi być zaangażowany w proces.
Współpraca z organem nadzorczym
IOD jest punktem kontaktowym dla UODO. W przypadku kontroli, zapytania czy postępowania — IOD jest osobą, z którą organ nadzorczy się kontaktuje.
Punkt kontaktowy dla osób
IOD pełni funkcję punktu kontaktowego dla osób, których dane dotyczą — w sprawach związanych z przetwarzaniem ich danych i wykonywaniem praw.
Czego IOD nie powinien robić
IOD nie jest „działem RODO” ani „osobą odpowiedzialną za zgodność”. Odpowiedzialność za zgodność z RODO spoczywa na administratorze (zarządzie, kierownictwie). IOD doradza i monitoruje — nie decyduje.
IOD nie powinien wykonywać zadań, które powodują konflikt interesów. Typowe konflikty: IOD który jednocześnie kieruje działem IT, HR, marketingu lub prawnym — bo te funkcje podejmują decyzje o przetwarzaniu danych, a IOD ma je kontrolować.
IOD nie powinien być karany ani odwoływany za wykonywanie swoich zadań (art. 38 ust. 3 RODO). Niezależność IOD to nie przywilej — to warunek skutecznego działania.
IOD wewnętrzny czy zewnętrzny
RODO dopuszcza obie formy. IOD może być pracownikiem organizacji lub zewnętrznym specjalistą na umowie. W praktyce:
- IOD wewnętrzny lepiej zna organizację, procesy i ludzi — ale może mieć trudności z zachowaniem niezależności.
- IOD zewnętrzny łatwiej zachowuje niezależność i obiektywizm — ale potrzebuje więcej czasu na zrozumienie organizacji i dostęp do informacji.
- Niezależnie od formy — IOD musi mieć zapewnione zasoby, czas i dostęp do informacji niezbędnych do wykonywania swoich zadań.
Przeczytaj o tym jakie kryteria powinien spełniać IOD i kiedy go wyznaczyć.
FAQ
Nie. RODO wymaga wyznaczenia IOD w trzech przypadkach: przetwarzanie przez organ publiczny, główna działalność wymaga regularnego monitorowania osób na dużą skalę, lub główna działalność polega na przetwarzaniu danych wrażliwych na dużą skalę. W pozostałych przypadkach IOD jest dobrowolny.
Nie. Odpowiedzialność za zgodność z RODO spoczywa na administratorze danych. IOD doradza i monitoruje, ale nie ponosi odpowiedzialności za decyzje administratora.
Nie powinien — to typowy konflikt interesów. Dyrektor IT podejmuje decyzje o systemach i narzędziach przetwarzających dane, a IOD ma te decyzje kontrolować. EDPB wskazuje, że takie łączenie funkcji narusza art. 38 ust. 6 RODO.
Nie. RODO mówi o „kwalifikacjach zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych”. Ważniejsze od dyplomu jest doświadczenie praktyczne i znajomość procesów organizacji.
RODO nie określa wymiaru. Zależy to od skali przetwarzania, liczby procesów i ryzyk w organizacji. Kluczowe: IOD musi mieć wystarczający czas — jeśli pełni funkcję w 0,1 etatu w dużej organizacji, nie jest w stanie skutecznie monitorować zgodności.
Zarządzaj RODO w organizacji — w jednym miejscu
iGDPR pomaga indsektorowi danych osobowych w realizacji jego zadań. Tu poprowadzisz rejestr czynności przetwarzania, będziesz ewidencjonować umowy z podmiotami przetwarzającymi, przeprowadzać analizę ryzyka i zarządzać upoważnieniami. Sprawdź, jak działa w praktyce.
TESTUJ TERAZ — 21 dni bezpłatnie
