Inspektor Ochrony Danych (IOD)- dlaczego warto go mieć?
Inspektor Ochrony Danych w organizacji.
Prywatność i godność człowieka stają się dobrem, które obecnych czasach podlega szczególnej ochronie prawnej. Prawidłowe zarządzanie danymi staje się w wielu dziedzinach priorytetem. Firmy i instytucje przetwarzające dane niezgodnie z wymogami RODO, mogą narazić się na wysokie kary finansowe i utratę dobrego wizerunku.
Kto zatem jest zobowiązany do powołania Inspektora Ochrony Danych?
Do wyznaczenia IOD-a zobowiązane są zawsze organy lub jednostki publiczne a w przypadku podmiotów prywatnych, jednostek lub innych podmiotów (np. stowarzyszeń, fundacji) w sytuacji, gdy:
- ze względu na charakter prowadzonej działalności dany podmiot przetwarza na dużą skalę szczególne kategorie danych. Mogą być to: informacje o stanie zdrowia czy przynależnością do związku zawodowego), lub
- gdy rodzaj prowadzaj działalności danego podmiotu wymaga regularnego i systematycznego monitorowania osób na dużą skalę.
W przypadku pozostałych podmiotów, nawet jeśli przepisy nie nakładają obowiązku wyznaczenia IOD-a, mogą dobrowolnie wyznaczyć osobę, której celem działalności będzie zapewnienie zgodności działalności organizacji z przepisami RODO. Jest to tak zwana dobra praktyka rynkowa, której celem jest kształtowanie właściwych postaw organizacji przy przetwarzaniu danych, budowanie pozytywnego wizerunku wśród klientów, dostawców jak i zaufania.
Na czym więc polega rola Inspektora Ochrony Danych?
To przede wszystkim wypełnienie obowiązków wskazanych w art. 39 ust. 1 RODO, a odnoszących się do informowania o obowiązkach spoczywających na mocy RODO, monitorowania i weryfikowania przestrzegania RODO (audyty), podejmowania działań zwiększających świadomość (szkolenia personelu), udzielania na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowaniu jej wykonania, współpracy i pełnieniu punktu kontaktowego dla Prezesa Urzędu Ochrony Danych Osobowych oraz osób fizycznych, których dane osobowe są przetwarzane.
Ale czy to wszystko?
Z doświadczenia wiemy, że zakres obowiązków jest dużo szerszy, co bezpośrednio wynika z specyfiki funkcji IOD-a w organizacji. A odnosi się to do udziału w kształtowaniu systemu ochrony danych osobowych w organizacji (np. w zakresie kształtowania treści i wypełniania obowiązków informacyjnych, tworzenia polityk lub procedur). Także współpracy przy wykonaniu rejestru czynności lub kategorii czynności, szacowaniu ryzyka, a nawet w zakresie opiniowania umów zawieranych z klientami, dostawcami pod kątem ochrony danych osobowych, udziału w spotkania biznesowych czy też braniu czynnego udziału we wszelkich projektach biznesowych w ramach których dochodzi do przetwarzania danych osobowych.
To tylko niektóre czynności jakie w związku z pełnieniem funkcji IOD bezpośrednio wypełnia wyznaczona osoba. Dlatego istotne jest, aby wyznaczyć właściwą osobę, bo samo wyznaczenie IOD:
- pierwsze: nie chroni jeszcze przed konsekwencjami w sytuacji naruszenia RODO,
- drugie: nie oznacza uzyskania zgodności na gruncie RODO,
- trzecie: nie powoduje zniesienia odpowiedzialności Administratora za przestrzeganie RODO.
Niestety, wielu Administratorów dalej pomimo już prawie 4 lat z RODO z nie zdaje sobie z tego sprawy. Na co wskazuje dobitnie decyzja Prezesa Urzędu Ochrony Danych o nałożeniu kary w wysokości 50 tyś zł na Szkołę Główną Gospodarstwa Wiejskiego (decyzja nr ZSOŚS.421.25.2019 z 21 sierpnia 2019 – link).
Ww. decyzji Urząd stwierdził, że to Uczelnia jako Administrator jest odpowiedzialna w całości za wdrożenie organizacyjnych i technicznych środków bezpieczeństwa. W tym także pełnienie nadzoru nad wdrożonymi środkami nawet jeśli w Organizacji został wyznaczony Inspektor Ochrony Danych. Który jak możemy przeczytać w niniejszej decyzji: niewłaściwe wypełniał obowiązki.
Co zatem może zrobić Administrator?
To przede wszystkim wyznaczyć osobę o odpowiednich kwalifikacjach, wiedzy i doświadczeniu. Stworzyć jej odpowiednie warunki pracy. Np. (miejsce pracy, właściwe osadzenie w strukturze organizacji), rozwoju (np. szkolenia), jak i przydzielić odpowiednie zasoby np. komputer, telefon, zespół itp.
Ale co najważniejsze, o czym często się zapomina, pełnienie funkcji IOD nie może powodować konfliktu interesu. W sytuacji, jeśli osoba ta wykonuje inne czynności w organizacji. O czym mowa, to przede wszystkim zgodnie z wytycznymi PUODO niedozwolone jest, aby osoba, która ma bezpośrednią decyzyjność w procesach w których dochodzi do przetwarzania danych pełniła jednocześnie funkcję Inspektora Ochrony Danych (link).
Zewnętrzny Inspektor Ochrony Danych to rozwiązanie zarówno dla małych, jak i dużych firm, organizacji, podmiotów publicznych. To wielopłaszczyznowa pomoc, która pokryje zapotrzebowanie na wiedzę, umiejętności i kompetencje. Pozwalając przedsiębiorstwu/organizacji w pełni spełnić postanowienia przepisów związanych z ochroną danych osobowych. To gwarancja przestrzegania prawa oraz skuteczne zabezpieczenie przed karami administracyjnymi i finansowymi określonymi przez RODO.
Wiec, jeśli przetwarzasz dane osobowe i masz obowiązek lub chciałbyś powołać IOD-a, ale Masz wątpliwości? Przedstawiamy poniżej ofertę, która pomoże rozwiać Twoje wątpliwości.
W RAMACH ŚWIADCZONYCH USŁUG W SZCZEGÓLNOŚCI OFERUJEMY:
- wyznaczenie Inspektora Ochrony Danych oraz dwóch lub więcej Zastępców IOD, gwarantując większą skuteczność działań,
- stały nadzór nad przestrzeganiem przepisów o ochronie danych i zasad wynikających z wdrożonej dokumentacji przez pracowników,
- bieżące reagowanie i zarządzanie incydentami w zakresie ochrony danych zgodnie z opracowaną i wdrożoną procedurą,
- prowadzenie regularnych audytów ochrony danych osobowych oraz przedstawianie raportów pokontrolnych i rekomendacji,
- wdrożenie, przeprowadzenie analizy ryzyka i zarządzanie ryzykiem w procesie przetwarzania danych osobowych,
- przygotowanie/aktualizacja i wdrożenie dokumentacji niezbędnej do zgodności z RODO,
- przygotowanie i prowadzenie rejestru czynności przetwarzania danych osobowych oraz rejestru kategorii powierzonych Organizacji do przetwarzania,
- Przygotowanie oraz opiniowanie wszelkich wymaganych klauzul, w tym m.in. obowiązków informacyjnych wobec podmiotów danych, klauzul zgody na przetwarzanie danych osobowych, polityk prywatności i innych.
- Współpracę z działem informatycznym w zakresie rekomendowania i wdrażania zmian w strukturze informatycznej. Oraz systemach informatycznych odnoszących się do wymagań wynikających z RODO;
- szkolenia osób upoważnionych do przetwarzania danych osobowych w zakresie wymogów prawnych i zasad dotyczących ochrony danych osobowych,
- udział w kontroli przeprowadzanej przez Organ Nadzorczy lub audytorów zewnętrznych w zakresie ochrony danych osobowych,
- reprezentacja przed PUODO w kwestii związanej ze zgłoszeniem naruszenia ochrony danych osobowych w trybach przewidzianych w RODO,
- ale co najważniejsze, do dyspozycji Masz cały zespół, który pracuje dla Ciebie przy zachowaniu zgodności z przepisami RODO.
Chcesz być pewien, że prawidłowo realizujesz ochronę danych osobowych w firmie/organizacji? Skorzystaj z usług Zewnętrznego Inspektora Ochrony Danych.
Jesteśmy otwarci na Twoje pytania i odpowiemy na wszystkie wątpliwości.