Jakie są obowiązki Inspektora Ochrony Danych Osobowych?

Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych
Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych

Francuski organ regulacyjny ds. ochrony danych osobowych (CNIL) wydał ciekawy przewodnik inspektora ochrony danych osobowych (IOD). To zbiór praktycznych podpowiedzi, jak zapewnić zgodność z RODO. Co znajduje się we wnętrzu?

Po wejściu w życie RODO, rola IOD – w stosunku do jego poprzednika, czyli ABI – jest dla każdej organizacji kluczowa. W szczególności, ze względu na jego czynny udział we wszystkich procesach przetwarzania danych osobowych. Jednak IOD nie jest osobiście odpowiedzialny za naruszenie obowiązków określonych w RODO. W przypadku zaistnienia naruszeń, odpowiedzialność ponosi organizacja powołująca IOD, czyli w praktyce administrator lub podmiot przetwarzający.

Organizacje często zapominają, że IOD pełni rolę o charakterze nadzorczym, doradczym, informacyjnym i jego głównym zadaniem jest wsparcie kierownictwa w wypełnianiu obowiązków w zakresie danych osobowych.

Z pewnością rola IOD nie ma charakteru wyłącznie wykonawczego. IOD udziela kierownictwu oraz innym osobom uczestniczącym w procesach przetwarzania danych osobowych eksperckich wskazówek, aby zapewnić zgodność z obowiązującymi przepisami prawa. Co więcej, IOD jest źródłem wiedzy w zakresie ochrony danych osobowych, która to powinna być cyklicznie przekazywana osobom zainteresowanym podczas szkoleń i konsultacji.

Poniżej wskazano zakresy działań, w które w szczególności powinien być zaangażowany IOD:

  • Monitorowanie przestrzegania RODO. Przykładem tych działań będzie realizowanie wewnętrznych weryfikacji procesów przetwarzania danych osobowych, zlecanie audytów zewnętrznych w tym zakresie oraz monitorowanie działań korygujących i naprawczych w następstwie zidentyfikowania nieprawidłowości.
  • Kontakty z organem nadzorczym. IOD jest punktem kontaktowym pomiędzy organizacją, a organem nadzorczym. Do jego zadań należy odpowiadanie na pytania i wezwania organu. Powiadamia on organ nadzorczy o zaistniałych naruszeniach ochrony danych w organizacji. Kierunek komunikacji nie jest jednak jednostronny, należy pamiętać, że IOD może zwracać się z pytaniami dotyczącymi danych osobowych do organu nadzorczego.
  • Kontakty z osobami, których dane dotyczą. Bardzo ważnym aspektem pracy IOD są kontakty z osobami, których dane dotyczą. Osoby te mogą zwracać się z wszelkimi pytaniami oraz żądaniami dotyczącymi ich praw, np. żądaniem usunięcia danych, prawem dostępu do danych, prawem do sprostowania danych.
  • Zapewnienie rozliczalności m.in. poprzez prowadzenie dokumentacji przetwarzania danych osobowych. Podstawowymi dokumentami dotyczącymi przetwarzania danych osobowych są m.in. rejestr czynności przetwarzania, rejestr naruszeń, DPIA (ocena skutków), umowy powierzenia, ewidencja zgód. Są to podstawowe narzędzia pracy IOD, które przede wszystkim pozwalają na pozyskiwanie wiedzy na temat procesów przetwarzania danych w organizacji i ich prawidłowe monitorowanie.

Należy pamiętać, że nie w każdym przypadku wyznaczenie IOD jest obowiązkowe. Przepisy regulujące tę kwestię to art. 37 RODO. Jako ciekawostka – CNIL zaprezentował statystykę dotyczącą wykształcenia osób zajmujących stanowisko IOD: 28% posiada wykształcenie IT; 28% wykształcenie prawnicze; a w pozostałej części to osoby o profilu administracyjnym, finansowym, compliance, audytowym.

Praktyczny przewodnik RODO dla Inspektorów Ochrony Danych Osobowych

Krajowa Komisja ds. Informatyki i Wolności Obywatelskich (Commission nationale de l’informatique et des libertés, CNIL)

Język angielski, 54 strony
Dokument można pobrać bezpłatnie na stronie https://bit.ly/3ytA5rL

Czytaj także: Pobierz bezpłatny poradik bezpieczeństwa danych w placówkach ochrony zdrowia