Zadania Inspektora Ochrony Danych (IOD)
12 cze 2019
RODO wprowadziło nową instytucję Inspektora Ochrony Danych (IOD). Z dniem 25 maja 2018 roku wyżej wymieniona instytucja zastąpiła dotychczasową instytucję Administratora Bezpieczeństwa Informacji (ABI).
Zgodnie z art. 29 ust. 1 RODO do zadań Inspektora Ochrony Danych należy:
1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe o obowiązkach informacyjnych,
2. monitorowanie przestrzegania postanowień RODO oraz innych przepisów prawa przez:
- zbieranie informacji w celu identyfikacji procesów przetwarzania,
- analizowanie i sprawdzanie zgodności tego przetwarzania,
- informowanie, doradzanie i rekomendowanie określonych działań administratorowi albo podmiotowi przetwarzającemu.
3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO (należy podkreślić, iż przeprowadzanie oceny skutków dla ochrony danych spoczywa na administratorze – Inspektor Ochrony Danych jedynie doradza w tym procesie)*,
4. współpraca z organem nadzorczym,
5. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
*W odniesieniu wskazanego powyżej pkt 3 Grupa Robocza Art. 29 w swoich wytycznych zaleca administratorowi konsultowanie z Inspektorem Ochrony Danych m.in. następujących kwestii:
- faktu, czy należy przeprowadzić ocenę skutków dla ochrony danych,
- metodologii przeprowadzenia oceny skutków dla ochrony danych,
- faktu, czy należy przeprowadzić wewnętrzną ocenę skutków dla ochrony danych, czy też zlecić ją podmiotowi zewnętrznemu,
- zabezpieczeń (w tym środków technicznych i organizacyjnych) stosowanych do łagodzenia wszelkich zagrożeń praw i interesów osób, których dane dotyczą, e) prawidłowości przeprowadzonej oceny skutków dla ochrony danych i zgodności jej wyników z wymogami ochrony danych (czy należy kontynuować przetwarzanie oraz jakie zabezpieczenia należy zastosować).
Poza wymienionymi powyżej zadaniami, IOD może przyjąć także inne zadania, o ile nie będą w konflikcie z charakterem jego pracy. Takim przykładem może być prowadzenie rejestru czynności przetwarzania danych.
Na uwagę zasługuje również ust. 2 art. 39 RODO, który stanowi, iż: „Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania”.
Powyższy zapis należy rozumieć w ten sposób, iż pełnienie funkcji przez Inspektora Ochrony Danych opiera się na zasadzie ryzyka, czyli IOD jest zobowiązany sprawdzać, gdzie jego zaangażowanie jest potrzebne bardziej, a gdzie mniej, bo wszystkim naraz nie uda mu się zająć.