25
kw.

Inspektor Ochrony Danych (IOD)- dlaczego warto go mieć?

Inspektor ochrony danychInspektor Ochrony Danych w organizacji.

Prywatność i godność człowieka stają się dobrem, które obecnych czasach podlega szczególnej ochronie prawnej. Prawidłowe zarządzanie danymi staje się w wielu dziedzinach priorytetem. Firmy i instytucje przetwarzające dane niezgodnie z wymogami RODO, mogą narazić się na wysokie kary finansowe i utratę dobrego wizerunku.

Kto zatem jest zobowiązany do powołania Inspektora Ochrony Danych?

Do wyznaczenia IOD-a zobowiązane są zawsze organy lub jednostki publiczne a w przypadku podmiotów prywatnych, jednostek lub innych podmiotów (np. stowarzyszeń, fundacji) w sytuacji, gdy:

  • ze względu na charakter prowadzonej działalności dany podmiot przetwarza na dużą skalę szczególne kategorie danych. Mogą być to: informacje o stanie zdrowia czy przynależnością do związku zawodowego), lub
  • gdy rodzaj prowadzaj działalności danego podmiotu wymaga regularnego i systematycznego monitorowania osób na dużą skalę.

W przypadku pozostałych podmiotów, nawet jeśli przepisy nie nakładają obowiązku wyznaczenia IOD-a, mogą dobrowolnie wyznaczyć osobę, której celem działalności będzie zapewnienie zgodności działalności organizacji z przepisami RODO. Jest to tak zwana dobra praktyka rynkowa, której celem jest kształtowanie właściwych postaw organizacji przy przetwarzaniu danych, budowanie pozytywnego wizerunku wśród klientów, dostawców jak i zaufania.

Na czym więc polega rola Inspektora Ochrony Danych?

To przede wszystkim wypełnienie obowiązków wskazanych w art. 39 ust. 1 RODO, a odnoszących się do informowania o obowiązkach spoczywających na mocy RODO, monitorowania i weryfikowania przestrzegania RODO (audyty), podejmowania działań zwiększających świadomość (szkolenia personelu), udzielania na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowaniu jej wykonania, współpracy i pełnieniu  punktu kontaktowego dla Prezesa Urzędu Ochrony Danych Osobowych oraz osób fizycznych, których dane osobowe są przetwarzane.

Ale czy to wszystko?

Z doświadczenia wiemy, że zakres obowiązków jest dużo szerszy, co bezpośrednio wynika z specyfiki funkcji IOD-a w organizacji. A odnosi się to do udziału w kształtowaniu systemu ochrony danych osobowych w organizacji (np. w zakresie kształtowania treści i wypełniania obowiązków informacyjnych, tworzenia polityk lub procedur). Także współpracy przy wykonaniu rejestru czynności lub kategorii czynności, szacowaniu ryzyka, a nawet w zakresie opiniowania umów zawieranych z klientami, dostawcami pod kątem ochrony danych osobowych, udziału w spotkania biznesowych czy też braniu czynnego udziału we wszelkich projektach biznesowych w ramach których dochodzi do przetwarzania danych osobowych.

To tylko niektóre czynności jakie w związku z pełnieniem funkcji IOD bezpośrednio wypełnia wyznaczona osoba. Dlatego istotne jest, aby wyznaczyć właściwą osobę, bo samo wyznaczenie IOD:

  • pierwsze: nie chroni jeszcze przed konsekwencjami w sytuacji naruszenia RODO,
  • drugie: nie oznacza uzyskania zgodności na gruncie RODO,
  • trzecie: nie powoduje zniesienia odpowiedzialności Administratora za przestrzeganie RODO.

Niestety, wielu Administratorów dalej pomimo już prawie 4 lat z RODO z nie zdaje sobie z tego sprawy. Na co wskazuje dobitnie decyzja Prezesa Urzędu Ochrony Danych o nałożeniu kary w wysokości 50 tyś zł na Szkołę Główną Gospodarstwa Wiejskiego (decyzja nr ZSOŚS.421.25.2019 z 21 sierpnia 2019 – link).

Ww. decyzji  Urząd stwierdził, że to Uczelnia jako Administrator jest odpowiedzialna w całości za wdrożenie organizacyjnych i technicznych środków bezpieczeństwa. W tym także pełnienie nadzoru nad wdrożonymi środkami nawet jeśli w Organizacji został wyznaczony Inspektor Ochrony Danych. Który jak możemy przeczytać w niniejszej decyzji: niewłaściwe wypełniał obowiązki.

Co zatem może zrobić Administrator?

To przede wszystkim wyznaczyć osobę o odpowiednich kwalifikacjach, wiedzy i doświadczeniu. Stworzyć jej odpowiednie warunki pracy. Np. (miejsce pracy, właściwe osadzenie w strukturze organizacji), rozwoju (np. szkolenia), jak i przydzielić odpowiednie zasoby np. komputer, telefon, zespół itp.

Ale co najważniejsze, o czym często się zapomina, pełnienie funkcji IOD nie może powodować konfliktu interesu. W sytuacji, jeśli osoba ta wykonuje inne czynności w organizacji. O czym mowa, to przede wszystkim zgodnie z wytycznymi PUODO niedozwolone jest, aby osoba, która ma bezpośrednią decyzyjność w procesach w których dochodzi do przetwarzania danych pełniła jednocześnie funkcję Inspektora Ochrony Danych (link).

Zewnętrzny Inspektor Ochrony Danych to rozwiązanie zarówno dla małych, jak i dużych firm, organizacji, podmiotów publicznych. To wielopłaszczyznowa pomoc, która pokryje zapotrzebowanie na wiedzę, umiejętności i kompetencje. Pozwalając przedsiębiorstwu/organizacji w pełni spełnić postanowienia przepisów związanych z ochroną danych osobowych. To gwarancja przestrzegania prawa oraz skuteczne zabezpieczenie przed karami administracyjnymi i finansowymi określonymi przez RODO.

Wiec, jeśli przetwarzasz dane osobowe i masz obowiązek lub chciałbyś powołać IOD-a, ale Masz wątpliwości? Przedstawiamy poniżej ofertę, która pomoże rozwiać Twoje wątpliwości.

W RAMACH ŚWIADCZONYCH USŁUG W SZCZEGÓLNOŚCI OFERUJEMY:
  • wyznaczenie Inspektora Ochrony Danych oraz dwóch lub więcej Zastępców IOD, gwarantując większą skuteczność działań,
  • stały nadzór nad przestrzeganiem przepisów o ochronie danych i zasad wynikających z wdrożonej dokumentacji przez pracowników,
  • bieżące reagowanie i zarządzanie incydentami w zakresie ochrony danych zgodnie z opracowaną i wdrożoną procedurą,
  • prowadzenie regularnych audytów ochrony danych osobowych oraz przedstawianie raportów pokontrolnych i rekomendacji,
  • wdrożenie, przeprowadzenie analizy ryzyka i zarządzanie ryzykiem w procesie przetwarzania danych osobowych,
  • przygotowanie/aktualizacja i wdrożenie dokumentacji niezbędnej do zgodności z RODO,
  • przygotowanie i prowadzenie rejestru czynności przetwarzania danych osobowych oraz rejestru kategorii powierzonych Organizacji do przetwarzania,
  • Przygotowanie oraz opiniowanie wszelkich wymaganych klauzul, w tym m.in. obowiązków informacyjnych wobec podmiotów danych, klauzul zgody na przetwarzanie danych osobowych, polityk prywatności i innych.
  • Współpracę z działem informatycznym w zakresie rekomendowania i wdrażania zmian w strukturze informatycznej. Oraz systemach informatycznych odnoszących się do wymagań wynikających z RODO;
  • szkolenia osób upoważnionych do przetwarzania danych osobowych w zakresie wymogów prawnych i zasad dotyczących ochrony danych osobowych,
  • udział w kontroli przeprowadzanej przez Organ Nadzorczy lub audytorów zewnętrznych w zakresie ochrony danych osobowych,
  • reprezentacja przed PUODO w kwestii związanej ze zgłoszeniem naruszenia ochrony danych osobowych w trybach przewidzianych w RODO,
  • ale co najważniejsze, do dyspozycji Masz cały zespół, który pracuje dla Ciebie przy zachowaniu zgodności z przepisami RODO.

Chcesz być pewien, że prawidłowo realizujesz ochronę danych osobowych w firmie/organizacji? Skorzystaj z usług Zewnętrznego Inspektora Ochrony Danych.

Jesteśmy otwarci na Twoje pytania i odpowiemy na wszystkie wątpliwości.