Kim jest Inspektor Danych Osobowych? IOD a RODO.
Kim jest Inspektor Ochrony Danych i jakie są jego obowiązki ?
Inspektor Ochrony Danych to to osoba powoływana przez administratora lub podmiot przetwarzający (procesor), do której obowiązków należy pomoc przy przestrzeganiu w firmie lub organizacji przepisów o ochronie danych osobowych. W szczególności obowiązkiem Inspektora jest informowanie i doradzanie administratorowi lub procesorowi, jak i również ich pracownikom, w zakresie obowiązków wynikających z przepisów prawa o ochronie danych, monitorowanie zgodności organizacji z wszystkimi przepisami prawa dotyczących ochrony danych, dokonywanie audytów, promowanie wszelkich działań podnoszących świadomość, a także przeprowadzanie szkoleń dla personelu zajmującego się przetwarzaniem danych, udzielanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania. Inspektor Ochrony Danych pełni funkcję punktu kontaktowego dla osób fizycznych składających wnioski i żądania dotyczące przetwarzania ich danych osobowych i wykonywania ich praw, współpracuje z organami ochrony danych i pełni w tym zakresie funkcję punktu kontaktowego dla organów ochrony danych w kwestiach związanych z przetwarzaniem. Inspektor Ochrony Danych włączany jest we wszystkie sprawy organizacji dotyczące ochrony danych osobowych.
Czy Inspektor Ochrony Danych jest niezależny przy wykonywaniu swoich zadań i funkcji ?
Inspektor Ochrony Danych jest umieszczony w strukturze organizacyjnej administratora danych lub podmiotu przetwarzającego bezpośrednio pod najwyższym kierownictwem, jest to gwarancja niezależności, zajmowanie tak wysokiej pozycji inspektora ochrony danych w strukturze administratora danych, skraca drogę raportowania, co ułatwia konieczności podejmowania szybkich działań naprawczych w sytuacji naruszenia ochrony danych osobowych. W ramach wypełniania swoich zadań inspektor ochrony danych, nie może otrzymywać poleceń dotyczących sposobu załatwienia sprawy, środków jakie mają zostać podjęte, czy też celu jaki powinien zostać osiągnięty. Ponadto, administrator nie powinien uniemożliwiać, bądź ograniczać inspektorowi ochrony danych kontaktu z Prezesem Urzędu Ochrony Danych Osobowych. Administrator lub podmiot przetwarzający nie może odwołać ani karać Inspektora Ochrony Danych za wypełnianie przez niego zadań. Oczywiście przepis ten należy odnosić do obiektywnie prawidłowego wykonywania zadań. Inspektor nie może zostać odwołany ani ukarany za udzielenie określonego zalecenia, nawet jeśli jest ono niezgodne ze stanowiskiem reprezentowanym przez administratora lub podmiot przetwarzający. Zakaz odwoływania inspektora ochrony danych, nie dotyczy sytuacji z przyczyn innych niż wykonywanie swoich obowiązków.
W jakiej formie może współpracować Inspektor Ochrony Danych?
Inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego (procesora), jak i osoba spoza grona podmiotów wyżej wymienionych. Możliwe jest pełnienie funkcji inspektora ochrony danych w modelu outsourcingu, na podstawie umowy o świadczenie usług. Ważne jest by umowa taka zawierała w swojej treści odpowiednie postanowienia dotyczące pełnienia funkcji Inspektora Ochrony Danych.
Kto musi, a kto może wyznaczyć Inspektora Ochrony Danych ?
Do wyznaczenia Inspektora zobowiązane są organy i podmioty publiczne, podmioty przetwarzające na dużą skalę szczególne kategorie danych osobowych (tzw. danych wrażliwych określanych również jako dane sensytywne). Do takiej kategorii należą dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. W przypadku podmiotów, których główna działalność polega na regularnym i systematycznym monitorowaniu osób, których dane dotyczą na dużą skalę. Przy określaniu pojęcia “regularne i systematyczne monitorowanie osób” należy posiłkować się art. 29 wytycznych Grupy Roboczej. Zgodnie z tym wskazano następujące przykłady takich działalności: obsługa sieci telekomunikacyjnej lub świadczenie usług telekomunikacyjnych, przekierowywanie poczty elektronicznej, działania marketingowe oparte na danych, profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy), śledzenie lokalizacji (na przykład przez aplikacje mobilne), wszelkie programy lojalnościowe czy reklama behawioralna, monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych, szeroko rozumiany monitoring wizyjny, urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa.
Przepisy RODO nie definiują pojęcia “dużej skali” (nie wskazują liczby osób i konkretnych wartości, których dane przetwarzamy). Przy określaniu czy przetwarzanie następuje na dużą skalę powinno się uwzględnić między innymi takie czynniki jak: liczba osób, których dane dotyczą, zakres przetwarzanych danych osobowych, czas lub okres, przez jaki dane są przetwarzane oraz zakres geograficzny. Dla przykładu warto wskazać takie czynności: (śledzenie podróżnych korzystających z „kart miejskich”, czy też przetwarzanie danych przez banki, zakłady ubezpieczeń, dostawców usług telefonicznych lub internetowych). Ciekawostką jest to, że Państwa członkowskie mogą przewidzieć również inne sytuacje, w których powołany będzie obligatoryjnie inspektor ochrony danych, polski ustawodawca nie skorzystał z takiej możliwości.
W przypadku pozostałych podmiotów, wyznaczenie Inspektora Ochrony Danych będzie fakultatywne, lecz obowiązek powołania Inspektora mają między innymi wszelkie podmioty świadczące usługi ochrony mienia, które monitorują przestrzeń publiczną, szpitale czy placówki opieki zdrowotnej, które nie mogą realizować świadczeń medycznych bez przetwarzania danych osobowych pacjenta, a także firmy marketingowe, w tym zwłaszcza firmy zajmujące się szeroko rozumianą obsługą Call Center.
Jeżeli masz problemy lub trudności z określeniem skali na jaką przetwarzasz dane osobowe, nie jesteś w stanie określić, czy Twoja działalność polega na regularnym i systematycznym monitorowaniu osób, których dane dotyczą na dużą skalę, skontaktuj się z nami a Nasz Inspektor Ochrony Danych pomoże Tobie rozwiązać ten problem.
Kto musi, a kto może wyznaczyć Inspektora Ochrony Danych ?
Do wyznaczenia Inspektora zobowiązane są organy i podmioty publiczne, podmioty przetwarzające na dużą skalę szczególne kategorie danych osobowych (tzw. danych wrażliwych określanych również jako dane sensytywne). Do takiej kategorii należą dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. W przypadku podmiotów, których główna działalność polega na regularnym i systematycznym monitorowaniu osób, których dane dotyczą na dużą skalę. Przy określaniu pojęcia “regularne i systematyczne monitorowanie osób” należy posiłkować się art. 29 wytycznych Grupy Roboczej. Zgodnie z tym wskazano następujące przykłady takich działalności: obsługa sieci telekomunikacyjnej lub świadczenie usług telekomunikacyjnych, przekierowywanie poczty elektronicznej, działania marketingowe oparte na danych, profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy), śledzenie lokalizacji (na przykład przez aplikacje mobilne), wszelkie programy lojalnościowe czy reklama behawioralna, monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych, szeroko rozumiany monitoring wizyjny, urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa.
Przepisy RODO nie definiują pojęcia “dużej skali” (nie wskazują liczby osób i konkretnych wartości, których dane przetwarzamy). Przy określaniu czy przetwarzanie następuje na dużą skalę powinno się uwzględnić między innymi takie czynniki jak: liczba osób, których dane dotyczą, zakres przetwarzanych danych osobowych, czas lub okres, przez jaki dane są przetwarzane oraz zakres geograficzny. Dla przykładu warto wskazać takie czynności: (śledzenie podróżnych korzystających z „kart miejskich”, czy też przetwarzanie danych przez banki, zakłady ubezpieczeń, dostawców usług telefonicznych lub internetowych). Ciekawostką jest to, że Państwa członkowskie mogą przewidzieć również inne sytuacje, w których powołany będzie obligatoryjnie inspektor ochrony danych, polski ustawodawca nie skorzystał z takiej możliwości.
W przypadku pozostałych podmiotów, wyznaczenie Inspektora Ochrony Danych będzie fakultatywne, lecz obowiązek powołania Inspektora mają między innymi wszelkie podmioty świadczące usługi ochrony mienia, które monitorują przestrzeń publiczną, szpitale czy placówki opieki zdrowotnej, które nie mogą realizować świadczeń medycznych bez przetwarzania danych osobowych pacjenta, a także firmy marketingowe, w tym zwłaszcza firmy zajmujące się szeroko rozumianą obsługą Call Center.
Jeżeli masz problemy lub trudności z określeniem skali na jaką przetwarzasz dane osobowe, nie jesteś w stanie określić, czy Twoja działalność polega na regularnym i systematycznym monitorowaniu osób, których dane dotyczą na dużą skalę, skontaktuj się z nami a Nasz Inspektor Ochrony Danych pomoże Tobie rozwiązać ten problem.
Jak powołać i gdzie zgłosić Inspektora Ochrony Danych ?
Inspektora Ochrony Danych można wyznaczyć w formie postanowienia zawartego w umowie, jak i również w formie oświadczenia woli administrator danych osobowych, czyli w drodze uchwały lub zarządzenia przez uprawniony do organ. Jak wynika z informacji powyżej to Administrator Danych odpowiada za znalezienie i wybór osoby, która spełnia wszelkie wymagania. Administrator Danych musi zgłosić Inspektora Ochrony Danych do organu nadzorczego, czyli Prezesa Urzędu Ochrony Danych Osobowych. Wykonanie tej czynności musi odbyć się w nieprzekraczalnym terminie 14 dniu od momentu wyznaczenia Inspektora. Zgłoszenia dokonuje się w formie elektronicznej, czyli przy użyciu dokumentu elektronicznego, który opatrzony jest kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Zgłoszenia tego można dokonać na udostępnionym formularzu, który znajduje się na stronie internetowej Prezesa Urzędu Ochrony Danych Osobowych. W zawiadomieniu o wyznaczeniu IOD należy podać informacje dotyczące zarówno administratora danych osobowych, jak również wyznaczonego IOD. To jeszcze nie wszystko, Administrator danych osobowych lub podmiot przetwarzający, który wyznaczył IOD, musi niezwłocznie po wyznaczeniu udostępnić dane dotyczące jego osoby (tj.: imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu), na swojej stronie internetowej, jeżeli nie prowadzi własnej strony internetowej, to w sposób ogólnie dostępny w miejscu prowadzenia działalności (np. na zakładowej tablicy ogłoszeń, o ile jest ona dostępna również dla osób trzecich).
Jakie kwalifikacje powinna posiadać osoba zajmująca stanowisko Inspektora Ochrony Danych?
Inspektor Ochrony Danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych, mający wiedzę biznesową i sektorową obejmującą przedmiot działalności administratora lub procesora oraz umiejętności wypełnienia zadań wynikających z RODO. Poziom wiedzy inspektora powinien być dostosowany do indywidualnych potrzeb administratora danych i podmiotu przetwarzającego. Nigdzie nie określono jednoznacznie wymaganego poziomu fachowej wiedzy jaką powinien posiadać Inspektor lecz poziom wiedzy musi być adekwatny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach pracy danej jednostki. W związku z tym wybierając Inspektora Ochrony Danych należy mieć na względzie indywidualny charakter przetwarzania danych osobowych w ramach konkretnej jednostki.
Ile maksymalnie podmiotów może obsługiwać jeden Inspektor Ochrony Danych ?
Liczba obsługiwanych podmiotów powinna się mieścić w racjonalnych granicach. Ocena tej kwestii uzależniona jest od wielu czynników, w tym m.in. od: efektywnej dostępności inspektora, możliwości uzyskania przez niego szczegółowej wiedzy dotyczącej funkcjonowania podmiotu, dysponowania przez niego odpowiednią ilością czasu do zakresu zadań i specyfiki procesów przetwarzania danych, a także wielkości struktury organizacyjnej jednostki będącej administratorem danych.
Jak powołać i gdzie zgłosić Inspektora Ochrony Danych ?
Inspektora Ochrony Danych można wyznaczyć w formie postanowienia zawartego w umowie, jak i również w formie oświadczenia woli administrator danych osobowych, czyli w drodze uchwały lub zarządzenia przez uprawniony do organ. Jak wynika z informacji powyżej to Administrator Danych odpowiada za znalezienie i wybór osoby, która spełnia wszelkie wymagania. Administrator Danych musi zgłosić Inspektora Ochrony Danych do organu nadzorczego, czyli Prezesa Urzędu Ochrony Danych Osobowych. Wykonanie tej czynności musi odbyć się w nieprzekraczalnym terminie 14 dniu od momentu wyznaczenia Inspektora. Zgłoszenia dokonuje się w formie elektronicznej, czyli przy użyciu dokumentu elektronicznego, który opatrzony jest kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Zgłoszenia tego można dokonać na udostępnionym formularzu, który znajduje się na stronie internetowej Prezesa Urzędu Ochrony Danych Osobowych. W zawiadomieniu o wyznaczeniu IOD należy podać informacje dotyczące zarówno administratora danych osobowych, jak również wyznaczonego IOD. To jeszcze nie wszystko, Administrator danych osobowych lub podmiot przetwarzający, który wyznaczył IOD, musi niezwłocznie po wyznaczeniu udostępnić dane dotyczące jego osoby (tj.: imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu), na swojej stronie internetowej, jeżeli nie prowadzi własnej strony internetowej, to w sposób ogólnie dostępny w miejscu prowadzenia działalności (np. na zakładowej tablicy ogłoszeń, o ile jest ona dostępna również dla osób trzecich).
Jakie kwalifikacje powinna posiadać osoba zajmująca stanowisko Inspektora Ochrony Danych?
Inspektor Ochrony Danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych, mający wiedzę biznesową i sektorową obejmującą przedmiot działalności administratora lub procesora oraz umiejętności wypełnienia zadań wynikających z RODO. Poziom wiedzy inspektora powinien być dostosowany do indywidualnych potrzeb administratora danych i podmiotu przetwarzającego. Nigdzie nie określono jednoznacznie wymaganego poziomu fachowej wiedzy jaką powinien posiadać Inspektor lecz poziom wiedzy musi być adekwatny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach pracy danej jednostki. W związku z tym wybierając Inspektora Ochrony Danych należy mieć na względzie indywidualny charakter przetwarzania danych osobowych w ramach konkretnej jednostki.
Ile maksymalnie podmiotów może obsługiwać jeden Inspektor Ochrony Danych ?
Liczba obsługiwanych podmiotów powinna się mieścić w racjonalnych granicach. Ocena tej kwestii uzależniona jest od wielu czynników, w tym m.in. od: efektywnej dostępności inspektora, możliwości uzyskania przez niego szczegółowej wiedzy dotyczącej funkcjonowania podmiotu, dysponowania przez niego odpowiednią ilością czasu do zakresu zadań i specyfiki procesów przetwarzania danych, a także wielkości struktury organizacyjnej jednostki będącej administratorem danych.
