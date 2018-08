Obowiązek ustanowienia IOD nałożony został na organy lub instytucje publiczne (z wyjątkiem sądów) oraz podmioty, których główna działalność polega na operacjach przetwarzania na dużą skalę danych osobowych, które ze względu na swój charakter, zakres czy cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą lub przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych bądź danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Czym zajmuje się Inspektor Ochrony Danych?

Fachowe wsparcie administratorów danych, czyli przedsiębiorców – to określenie odzwierciedlające rolę IOD-a, co oznacza jednak w praktyce? Zadania inspektora określone zostały w art. 39 ust. 1 RODO. Wśród nich znajdują się m.in. obowiązek informowania administratora, podmiotu przetwarzającego oraz ich pracowników przetwarzających dane osobowe o spoczywających na nich obowiązkach na gruncie RODO oraz innych przepisów Unii Europejskiej lub państw członkowskich o ochronie danych. Co więcej, do jego obowiązków należy także monitorowanie przestrzegania RODO oraz innych aktów prawnych z tego zakresu.

Jakie kompetencje musi posiadać oraz kto może zostać IOD?

Zgodnie z art. 37 ust. 6 RODO IOD może być członkiem personelu administratora lub podmiotu przetwarzającego, albo wykonywać zadania na podstawie umowy o świadczenie usług.

Paweł Domagała, specjalista ds. ochrony danych z ODO 24 wskazuje, że specjalistyczna wiedza na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz operacji przetwarzania danych i systemów informatycznych to obowiązkowe kryterium będące wyznacznikiem tego, czy osoba może ubiegać się o stanowisko IOD-a. Warto jednak pamiętać, że wymagany poziom wiedzy fachowej nie został określony w żadnym dokumencie, należy go zatem oceniać indywidualnie w każdym przypadku.

Jednym z możliwych rozwiązań jest powierzenie stanowiska IOD-a pracownikowi organizacji. Za takim rozwiązaniem przemawia przekonanie, że osoba z wnętrza organizacji cechuje się dobrą znajomością firmy, jej struktury oraz pozostałych pracowników, a także realizuje swoje zadania w czasie pracy, co za tym idzie, jest stale dostępna w organizacji.

Niezwłoczna reakcja w przypadku naruszenia ochrony danych osobowych, a także realizacja zadań w obszarze formalnoprawnym oraz IT na wysokim poziomie to jedne z wielu pozytywnych aspektów tego modelu.

RODO nałożyło na przedsiębiorców wiele nowych obowiązków, w tym także ten dotyczący powołania IOD-a. Należy zaznaczyć jednak, że nawet kiedy firma nie została zobowiązana do tego prawnie, powołanie stanowiska IOD-a może mieć pozytywny wydźwięk wizerunkowy – organizacja będzie postrzegana w środowisku jako ta dbająca o bezpieczeństwo danych osobowych swoich klientów i kontrahentów, a tym samym będzie chętniej wybierana jako podwykonawca usług, w ramach których będzie pełnić rolę podmiotu przetwarzającego. Nie należy pominąć faktu ewentualnej urzędowej kontroli, IOD (własny czy z outsourcingu) to domniemanie należytej ochrony danych osobowych.

