RODO narobiło sporo zamieszania, wśród wielu przedsiębiorców zrodziło się pytanie czy muszę oni powołać IOD-a w swojej organizacji?
RODO narobiło sporo zamieszania. Pierwotnym celem unijnego rozporządzenia było odzyskanie przez obywateli Unii Europejskiej kontroli nad tym, co dzieje się z ich danymi. Jednak przepisy te spowodowały również wiele wątpliwości. W treści ustawy pojawiły się zapisy dotyczące ukształtowania nowego stanowiska – inspektora ochrony danych (IOD). Czyli jednostki organizacyjnej, organu lub samodzielnego podmiotu decydującego o celach i środkach przetwarzania danych osobowych. Wraz z wprowadzeniem tej funkcji, wśród wielu przedsiębiorców zrodziło się pytanie czy muszę oni powołać IOD-a w swojej organizacji?
„Inspektor ochrony danych to stanowisko powstałe w wyniku przekształcenia funkcji oraz obowiązków Administratora Bezpieczeństwa Informacji. W świetle nowych przepisów, wyznaczona została mu rola doradcza oraz weryfikacyjna wobec działań administratora danych i podmiotu przetwarzającego oraz ich pracowników. Znacznie zwiększył się zakres jego obowiązków, a co za tym idzie pozycja w przedsiębiorstwie.” – mówi Barbara Matasek, specjalista ds. ochrony danych, ODO24
Warto mieć na uwadze fakt, że nawet w sytuacji, gdy z przepisów nie wynika obowiązek wyznaczenia IOD, administratorom i podmiotom przetwarzającym, zaleca się jego powołanie. Niesie to za sobą szereg udogodnień oraz korzyści dla przedsiębiorstwa. Inspektorzy ochrony danych mogą znacznie ułatwić przestrzeganie przepisów z zakresu ochrony danych osobowych oraz odegrać istotną rolę w komunikacji pomiędzy zainteresowanymi podmiotami (tj. organem nadzorczym, osobami fizycznymi, których dane dotyczą oraz poszczególnymi jednostkami w ramach danej organizacji).
Ponadto do zakresu obowiązków IOD można również zaliczyć przeprowadzanie okresowych szkoleń personelu uczestniczącego w operacjach przetwarzania danych osobowych, monitorowanie przestrzegania przepisów prawa z zakresu ochrony danych osobowych oraz dokumentacji obowiązującej u administratora, a także przeprowadzanie systematycznych audytów w organizacji, w której został powołany.
„Zgodnie z art. 37 ust. 5 RODO inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO. Poziom wiedzy inspektora powinien być ustalany w kontekście konkretnych potrzeb administratora danych i procesora (motyw 97 RODO). Dlatego warto rozważyć zatrudnienie takiej osoby spoza grona własnych pracowników. Zyskujemy wówczas pewność, że funkcja ta będzie realizowana w rzetelny i fachowy sposób – podsumowuje Barbara Matasek, specjalista ds. ochrony danych, ODO24. Jedną z najważniejszych zalet outsource’owania tej usługi jest możliwość sięgnięcia po specjalistów zazwyczaj nieosiągalnych wśród pracowników zatrudnionych na etat. Rozwiązanie takie jest idealne nie tylko dla mniejszych organizacji, gdyż zewnętrzni eksperci są w stanie zaoferować wartości nieosiągalne nawet dla najlepszego etatowca w przedsiębiorstwie.”