Kim jest inspektor ochrony danych osobowych?
Inspektor ochrony danych osobowych to najważniejsza osoba w organizacji dysponująca fachową wiedzą na temat przepisów RODO. IOD wspomaga przestrzeganie przepisów o ochronie danych osobowych, przeprowadza audyty i szkoli personel w zakresie ochrony danych. W razie potrzeby jest punktem kontaktowym – zarówno dla UODO (urzędu ochrony danych osobowych), jak i dla osób, których te dane dotyczą.
Na kim spoczywa obowiązek powołania inspektora danych osobowych?
Na mocy przepisów RODO obowiązek wyznaczenia inspektora danych osobowych występuje w trzech przypadkach:
- gdy przetwarzania danych dokonuje organ lub podmiot publiczny, z wyjątkiem sądów (także podmioty prywatne realizujące zadania publiczne, np.: dostawcy energii, wody);
- gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania danych, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dotyczą na dużą skalę (np.: firmy hostingowe, call center lub firmy świadczące usługi pośrednictwa pracy);
- gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (tzw. danych wrażliwych, którymi dysponują np.: szpitale, apteki) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Komu powierzyć obowiązki IOD?
IOD powoływany jest przez administratora danych osobowych lub podmiot przetwarzający. Przepisy RODO nie regulują formy współpracy z inspektorem danych osobowych. W związku z tym IOD może, ale nie musi, być zatrudniony na umowę o pracę, a z treści przepisów wprost wynika dopuszczalność outsourcingu usług RODO.
Jaki jest zakres obowiązków IOD zgodnie z RODO i innymi przepisami unijnymi?
Do zadań inspektora ochrony danych zgodnie z art. art. 39 ust. 1 oraz 38 ust. 4 RODO należą:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
- monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityki administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podziału obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35
- współpraca z Prezesem Urzędu Ochrony Danych Osobowych,
- pełnienie funkcji punktu kontaktowego dla Prezesa Urzędu Ochrony Danych Osobowych w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach,
- pełnienie roli punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.
Jakich podmiotów i jakich branż może dotyczyć wymóg wyznaczenia IOD?
Przykładowe podmioty i branże, których dotyczy wymóg wyznaczenia Inspektora danych osobowych:
- szpitale i placówki medyczne przetwarzające dane pacjentów;
- żłobki, przedszkola, szkoły;
- ośrodki kultury;
- instytucje pomocy społecznej;
- jednostki samorządu terytorialnego;
- banki i firmy ubezpieczeniowe;
- podmioty świadczące usługi telekomunikacyjne;
- hostingodawcy;
- podmioty śledzące lokalizację za pomocą aplikacji telefonicznych;
- podmioty prowadzące monitoring wizyjny;
- podmioty przetwarzające dane osobowe na potrzeby reklamy behawioralnej z wykorzystaniem wyszukiwarek internetowych.