Korzyści z posiadania zewnętrznego Inspektora Ochrony Danych (outsourcing IOD)
14 mar 2019
IOD odgrywa główną rolę w systemie ochrony danych osobowych w firmie będącej Administratorem danych lub Podmiotem przetwarzającym. Powyższe stanowisko podziela także Zespół Roboczy ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, będący niezależnym organem doradczym w sprawach ochrony danych i prywatności powołanym na mocy art. 29 dyrektywy 95/46/WE RODO (GR Art. 29). W swoich wytycznych GR Art. 29 rekomenduje powołanie Inspektora Ochrony Danych nawet wówczas, gdy RODO bezpośrednio nie nakłada na daną firmę takiego obowiązku.
RODO daje Administratorom danych i Podmiotom przetwarzającym wolną rękę przy wyborze sposobu współpracy z Inspektorem Ochrony Danych. Współpraca IOD z Administratorem danych lub Podmiotem przetwarzającym może przybrać formę umowy o pracę, umowy o świadczenie usług oraz umowy zlecenia z Kancelarią radcowską/adwokacką świadczącą usługi zewnętrznego IOD (outsourcing IOD).
Należy zaznaczyć, iż niezależnie od wybranej przez Administratora danych lub Podmiot przetwarzający formy współpracy, zewnętrznemu IOD (współpracującemu w modelu B2B) przysługują takie same prawa i obowiązki. Nadto zewnętrzny IOD musi spełniać kryterium niezależności oraz podlega ochronie przed rozwiązaniem z nim umowy ze względu na niezastosowanie się do poleceń Administratora danych lub Podmiotu przetwarzającego.
Praktyka pokazuje, iż w firmach, które nie powołały fakultatywnie IOD lub też wyznaczyły do pełnienia tej funkcji przypadkową osobę zatrudnioną wewnątrz firmy, system ochrony danych nie zawsze działa poprawnie. Taki wewnętrzny IOD bardzo często nie wykonuje swoich zadań z uwagi na inne obowiązki pracownicze, a czasem z uwagi na brak wiedzy w tym zakresie. Tym samym każda firma, która obligatoryjnie lub fakultatywnie powołuje Inspektora Ochrony Danych, powinna rozważniej wybierać osobę do pełnienia tej funkcji. Każdej firmie powinno zależeć, aby korzystać z usług doradczych osób będących specjalistami w swojej dziedzinie, a nie powierzać pełnienia tej funkcji pracownikowi firmy, który nie posiada fachowej wiedzy, a zwłaszcza odpowiednich kwalifikacji. Podkreślenia wymaga, iż RODO wymaga od osoby pełniącej taką funkcję wiedzy z zakresu prawa. Tym samym outsourcing funkcji IOD wydaje się rozwiązaniem rozsądnym i – dość często – tańszym.
Na marginesie należy zaznaczyć, iż Administrator danych lub Podmiot przetwarzający z chwilą wyznaczenia Inspektora Ochrony Danych ma obowiązek zamieścić dane kontaktowe IOD na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności. Poza wskazanym powyżej obowiązkiem, Administrator danych lub Podmiot przetwarzający zawiadamia organ nadzorczy o fakcie wyznaczenia IOD. Podkreślenia wymaga również, iż dane kontaktowe IOD powinny umożliwiać osobom, których dane dotyczą i organowi nadzorczemu nawiązanie kontaktu w prosty sposób. W tym celu w ramach danych kontaktowych należy podać imię, nazwisko, adres poczty elektronicznej lub numer telefonu.