Ogólne rozporządzenie o ochronie danych wprowadza zamknięty katalog czynności, za których wykonanie  odpowiedzialny jest Inspektor Ochrony Danych. Art. 39 ust. 1 RODO stanowi, że inspektor ochrony danych ma następujące zadania:

1) informowanie administratora, podmiotu przetwarzajacego oraz pracowników, którzy przetwarzaja dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporzadzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

2) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzajacego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększjące świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania danych oraz powiązane z tym audyty;

3) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;

4) współpraca z organem nadzorczym;

5) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszystkich innych sprawach.

Inspektor Ochrony Danych

 

Powołanie Inspektora Ochrony Danych, zdaniem Grupy Roboczej Art. 29 ds. ochrony danych, ułatwi przestrzeganie przepisów przez administratorów danych i podmioty przetwarzające. Cel ten osiągnięty zostanie poprzez wprowadzenie mechanizmów rozliczalności, które monitorowane będą właśnie przez Inspektorów. Odgrywać oni będą także rolę pośredników pomiędzy administratorem danych osobowych a organem ochrony danych lub osobami, których dane dotyczą.

Inspektor Ochrony Danych nie będzie ponosił odpowiedzialności w przypadku niezgodności przetwarzania z RODO. To administrator danych osobowych lub podmiot przetwarzający zobowiązany będzie do zapewnienia i udowodnienia zgodności przetwarzania z przepisami prawa.

Art. 37 ust. 1 rozporządzenia wskazuje na obowiązek wyznaczenia Inspektora Ochrony Danych gdy:

  • przetwarzania dokonuje organ lub podmiot publiczny;

  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cel wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;

  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących warunków.

Możliwe jest wyznaczenie jednego Inspektora ochrony danych przez grupę organizacji pod warunkiem, że będzie łatwo nawiązać z nim kontakt z każdej organizacji.

W celu zapewnienia możliwości łatwego kontaktu z Inspektorem Ochrony Danych, wewnętrznym lub zewnętrznym istotne jest udostępnienie jego danych kontaktowych zgodnie z wymogami rozporządzenia.

Zgodnie z art. 37 ust. 5 RODO Inspektor Ochrony Danych jest wyznaczony na podstawie kwalifikacji zawodowych. Szczególne znaczenie ma wiedza fachowa na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Równie istotne jest posiadanie umiejętności wypełniania zadań, o których mowa w art. 39 RODO. Poziom wymaganej od inspektora wiedzy nie jest nigdzie jednoznacznie określony. Musi być on jednak współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w organizacji.

W związku z tym wybór Inspektora ochrony danych winien być dokonywany z niezwykłą starannością i uwzględnieniem charakteru przetwarzania danych w organizacji. Istotne jest, by inspektor ochrony danych posiadał wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych. Zwłaszcza istotna jest dogłębna znajomość RODO. Przydatna jest również wiedza na temat funkcjonowania sektora w ramach którego działa podmiot administratora. W przypadku organów i podmiotów publicznych ważne jest też posiadanie wiedzy z zakresu procedur administracyjnych i funkcjonowania jednostki.

Inspektor Ochrony Danym powinien posiadać odpowiednią wiedzę na temat operacji przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych.

Art. 38 RODO stanowi, iż administrator i podmiot przetwarzający zapewnić powinni, by inspektor ochrony danych był właściwie i niezwłocznie włączony we wszystkie sprawy dotyczące ochrony danych osobowych. Rozporządzenie wprost wskazuje na konieczność konsultacji z inspektorem wyników oceny skutków przetwarzania dla ochrony danych już na etapie projektowania.

Organizacja powinna zapewnić Inspektorowi Ochrony Danych między innymi:

  • udział w spotkaniach przedstawicieli wyższego i średniego szczebla organizacji;

  • uczestnictwo przy podejmowaniu decyzji dotyczących przetwarzania danych osobowych,

  • odpowiednie wsparcie finansowe i instytucjonalne;

  • możliwość ciągłego aktualizowania wiedzy z zakresu ochrony danych osobowych,

  • udział w szkoleniach, warsztatach, forach poświęconych ochronie danych;

  • w zależności od rozmiaru i struktury organizacji przydatne może być powołanie zespołu inspektora ochrony danych (inspektor ochrony danych i jego pracownicy).

Im bardziej skomplikowany jest proces przetwarzania danych, tym więcej środków powinien przeznaczać administrator danych dla inspektora ochrony danych. Ochrona danych musi być skuteczna i wymaga wystarczających zasobów odpowiednich do zakresu przetwarzania danych.

Inspektor Ochrony Danych wypełniając swoje zadania i obowiązki wynikające z art. 39 RODO nie powinien otrzymywać żadnych instrukcji od administratora danych. Sposób rozpoznania spraw, wybór środków, czy podjęcie kontaktu z organem nadzorczym to samodzielne decyzje inspektora. Art. 38 ust. 3 stanowi, że inspektor nie jest odwoływalny ani karany przez administratora lub podmiot przetwarzający za wypełnianie swoich zadań. Ten sam art. 38 wskazuje na potrzebę wykluczenia ewentualnego konfliktu interesów w sytuacji gdy inspektor wykonuje dodatkowo „inne zadania”.

 

P. U. GRAFRED  Kancelaria Inspektora Ochrony Danych

65-950 Zielona Góra

ul. Wojska Polskiego 25/907

+48 68 4151372, +48 601499272

alfred.spychala@abi-24.com.pl, pu_grafred@wp.pl