Powołanie inspektora ochrony danych w danej instytucji – czy jest konieczne? Czy w małej instytucji konieczne jest powołanie inspektora ochrony danych? Postanowiliśmy rozwiać wątpliwości w zakresie sytuacji, w których powołanie IOD jest konieczne, a kiedy jedynie opcjonalne.

Ogólne rozporządzenie o ochronie danych w art. 37 ust. 1 przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających, wówczas gdy:

  1. Po pierwsze, gdy przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. Po drugie, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  3. Po trzecie, gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których jest mowa w art. 9 ust.1 oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10.

W pozostałych przypadkach wyznaczenie inspektora będzie fakultatywne. Jednakże, zgodnie z art. 29, Grupa Robocza zaleca administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia i uwzględnienia poszczególnych przesłanek z art. 37 ust. 1 RODO istnienia lub braku tego obowiązku.

Obowiązek powołania Inspektora Ochrony Danych

Jakie są kwalifikacje do pełnienia funkcji Inspektora Ochrony Danych?

Zgodnie z art. 37 ust. 5 RODO inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO. Poziom wiedzy inspektora powinien być ustalany w kontekście konkretnych potrzeb administratora danych i procesora. Jak wskazuje Grupa Robocza, wymagany poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Zgodnie z tymi przesłankami wybór inspektora ochrony danych powinien być dokonany z zachowaniem należytej staranności i z uwzględnieniem charakteru przetwarzania danych osobowych w ramach jednostki.

IOD powinien posiadać:

  • wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych,
  • wiedzę z zakresu praktyk w dziedzinie ochrony danych osobowych,
  • dogłębną znajomość przepisów RODO,
  • wiedzę biznesową i sektorową dotyczącą działalności administratora,
  • odpowiednią wiedzę na temat procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych,
  • w przypadku organów i podmiotów publicznych IOD powinien również posiadać wiedzę w zakresie procedur administracyjnych i funkcjonowania jednostki.

Inspektor ma odgrywać kluczową rolę w zakresie wspierania „kultury ochrony danych” oraz pomagać w implementacji niezbędnych elementów RODO, tj.:

  • zasady przetwarzania danych osobowych,
  • prowadzenia rejestru czynności przetwarzania,
  • ochrony danych w fazie projektowania oraz domyślnej ochrony danych,
  • prawa osób, których dane dotyczą,
  • wymogów bezpieczeństwa przetwarzania,
  • zgłaszanie naruszeń.

Forma zatrudnienia IOD

Zgodnie z art. 37 ust. 6 RODO, Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.

Jeśli masz pytania dotyczące funkcjonalności programu RODOprotektor – wyślij nam wiadomość!