Sprawdź, czy każda firma od 25 maja 2018 r. musi powołać inspektora danych osobowych

Barbara Dąbrowska

Autor: Barbara Dąbrowska

Dodano: 9 maja 2018
Pytanie:  Czy w każdej firmie musi być powołany inspektor danych osobowych, czy wystarczy że będzie powołany administrator.
Odpowiedź: 

Obecnie czyli w maju 2018 r. nie ma ani fizycznej możliwości (GIODO nie rejestruje już ABI) ani racjonalnej przyczyny skutkującej powołaniem ABI z uwagi na fakt, iż z dniem 25 maja 2018 r. po prostu ABI przestanie funkcjonować. Dzieje się tak na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) – DZ. Urz. UE L 119 z 4 maja 2016 r.

Wyznaczanie IOD reguluje art. 37 cytowanego powyżej rozporządzenia – (zwanego: RODO).

Artykuł 37 RODO – Wyznaczenie Inspektora Ochrony Danych

1. Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 (dane wrażliwe - pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, danych dotyczących seksualności lub orientacji seksualnej tej osoby), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

2. Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.

3. Jeżeli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych.

Inspektorem Ochrony Danych Osobowych może być osoba fizyczna zarówno zatrudniona jako pracownik – wykonuje pracę zgodnie z zawodem pozycja 242111 (administrator bezpieczeństwa informacji) lub zewnętrzna firma wykonująca zadania na podstawie umowy cywilnoprawnej.

Zakres obowiązków jest zgodny z art. 39 RODO  – w tym przeprowadzanie audytów zgodności przestrzegania zasad ochrony danych osobowych u Administratora Danych Osobowych – co wyklucza wykonywanie przez IODO prac polegających na przetwarzaniu danych osobowych – dokonywanie audytu własnej pracy jest sprzeczne z zasadami audytu i nosi znamiona konfliktu interesów. Pełnienie funkcji inspektora nie może być dodatkiem do innych obowiązków pracowniczych, może oczywiście wykonywać inne zadania i obowiązki ale tylko wtedy, gdy nie zachodzi konflikt interesów.

Art. 39 RODO – zadania Inspektora Ochrony Danych Osobowych

1. Informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie.

2. Monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

3. Udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35.

4. Współpraca z organem nadzorczym.

5. Pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

Inspektor Ochrony Danych Osobowych

Jest ekspertem z doświadczeniem w ochronie danych osobowych, kontroluje procesy przetwarzania danych w organizacji, jak również punktem kontaktowym dla podmiotu danych  i organu nadzorującego – Prezesa Urzędu Ochrony Danych Osobowych.

Audytor zgodnie z zasadami audytu musi:

  • postępować etycznie,
  • rzetelnie prezentować stan faktyczny,
  • wykonywać zadania z należytą starannością zawodową.

Audytor to:

  • niezależność – podstawa bezstronności audytu,
  • podejście oparte na dowodach – racjonalna metoda uzyskania wiarygodnych i odtwarzalnych wniosków.

IODO nie może otrzymywać instrukcji dotyczących wykonywanych zadań – jest niezależny.

Barbara Dąbrowska

Autor: Barbara Dąbrowska

Barbara Dąbrowska, absolwentka studiów MBA, dyrektor ds. finansów i compliance w firmie consultingowej, manager Działu Księgowości w międzynarodowej firmie leasingowej, trener – wykładowca Centrum Szkoleniowe FRR Sp. z o.o.
Nie ma jeszcze komentarzy do tego dokumentu.
Zaloguj się aby dodać komentarz
wiper-pixel