WYDANIE ONLINE
Ogólne rozporządzenie o ochronie danych wymienia zadania należące do inspektora ochrony danych. Część z tych zadań może nachodzić na kompetencje innych osób lub komórek wykonujących swe zadania w urzędach. Jak zatem powinien zachować się inspektor ochrony danych w razie niemożności wyegzekwowania swych rekomendacji?
Administrator danych osobowych oraz podmiot przetwarzający mają zapewnić, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania swoich zadań. Nie mogą go też oni odwoływać ani karać za wypełnianie tych zadań. Ponadto, IOD podlega bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Powyższe zasady zawarte w RODO stanowią o niezależności inspektora ochrony danych. Jak natomiast kształtuje się ona w praktyce?
Jak wynika z RODO, inspektor ochrony danych powinien posiadać wiedzę nie tylko na temat prawa, ale i praktyk w dziedzinie ochrony danych osobowych. Może ona obejmować np. wiedzę o sposobie tworzenia dokumentacji dotyczącej ochrony danych osobowych, sposobach realizacji uprawnień osób, których dane dotyczą (po tym, gdy zgłoszą odpowiednie żądania), umiejętność dokonywania analizy ryzyka, jak również dobierania odpowiednich zabezpieczeń związanych z ochroną informacji. W tym zakresie wymagana jest również wiedza z zakresu cyberbezpieczeństwa.
W określonych okolicznościach obowiązkiem administratora danych osobowych staje się ocena skutków przetwarzania dla ochrony danych (DPIA). Proces ten powinien być zrealizowany przy wsparciu personelu administratora, ale przede wszystkim z udziałem inspektora ochrony danych, jeżeli takowy jest wyznaczony w organizacji. Sprawdź, jaką rolę pełni IOD w ocenie skutków dla ochrony danych.
Inspektor ochrony danych nie może być karany za należyte, aczkolwiek niezgodne z interesami administratora danych wykonywanie swoich zadań. Może natomiast zostać pociągnięty do odpowiedzialności odszkodowawczej z tytułu nienależytego wykonywania nałożonych na niego obowiązków – i to zarówno jako pracownik, jak i zleceniobiorca.
Przepisy pozwalają na wspólne powołanie inspektora ochrony danych do wykonywania czynności objętych unijnym rozporządzeniem o ochronie danych osobowych, ale też dyrektywą DODO - dotyczącą ścigania czynów zabronionych. Sprawdź poniższy wzór przygotowany przez ekspertów.
Niekiedy administrator danych osobowych decyduje się, aby dla kilku jednostek organizacyjnych gminy powołać jednego, wspólnego inspektora ochrony danych osobowych. Aby jednak przeprowadzić to w sposób formalny, potrzebne jest odpowiednie zarządzenie. Poniżej prezentujemy przykładowy wzór dokumentu gotowy do wykorzystania w jednostce.
Do celów dowodowych oraz przejrzystości działania każdoczesnego inspektora danych osobowych w jednostce warto przygotować regulamin funkcjonowania IOD. Dzięki temu unikniemy niepotrzebnych nieporozumień i komplikacji oraz zyskamy argumenty potrzebne do wykazania prawidłowego wypełniania obowiązków podczas kontroli UODO.
Mimo iż inspektor ochrony danych oraz audytor posiadają inny zakres obowiązków oraz inne kompetencje, to jednak mają kilka cech wspólnych. Jedną z nich jest bezpośrednie podleganie kierownikowi jednostki. W swojej codziennej pracy IOD oraz audytor powinni razem współpracować z poszanowaniem niezależności każdego z nich. Jednak najpierw warto byłoby dokonać właściwego wyboru audytora. W tym celu pomocna będzie poniższa cheklista.
Obowiązkiem każdego inspektora ochrony danych jest monitorowanie przestrzegania RODO. W ramach tego zadania IOD musi też przeprowadzać audyty w organizacji. Warto w związku z tym ustalić, jakie obszary wymagają sprawdzenia. Skorzystaj w tym celu z gotowej checklisty.
Inspektor ochrony danych wykonuje swoje czynności zgodnie z przepisami prawa m.in. unijnym rozporządzeniem o ochronie danych. Warto pamiętać jednak o tym, że IOD ma swoje prawa i obowiązki i warto jednoznacznie je określić i spisać. Można w tym celu posłużyć się poniższym dokumentem.
