Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

  • Michał Nosowski

Jak ważny jest Inspektor Ochrony Danych?


Inspektor Ochrony Danych, czyli następca ABI, to jeden z bardziej interesujących tematów, jeśli chodzi o wdrożenia RODO. O tym, kiedy go należy powołać już pisałem tutaj. Teraz czas na informację, jak właściwie takiego inspektora wybrać i umiejscowić w organizacji tak, aby mógł wykonywać swoje zadania bez przeszkód.

RODO wskazuje bowiem bardzo konkretnie, że Inspektor Ochrony Danych:

  1. Musi mieć wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych – nie musi być ona potwierdzona jakimś konkretnym certyfikatem, nie ma wymogu robienia szkoleń albo kursów (przynajmniej w Polsce, na dzień dzisiejszy). Ocena, czy ktoś spełnia te wymogi albo nie, należy do administratora danych. Trzeba też zapewnić IODowi możliwość aktualizacji swojej wiedzy i poszerzania horyzontów, jako że kwestie bezpieczeństwa danych ewoluują właściwie z dnia na dzień.

  2. Może być zatrudniony na umowę o pracę, albo działać w oparciu o umowę cywilnoprawną – zawsze jednak Inspektorem musi być osoba fizyczna. Inspektorem nie może być Spółka!

  3. Musi być włączony we wszystkie kwestie związane z ochroną danych osobowych w organizacji – chodzi o to, aby Inspektor Ochrony Danych wiedział, jakie dane są przetwarzane, przez kogo, znał poziom zabezpieczeń oraz miał wiedzę o ewentualnych problemach związanych z przetwarzaniem danych w organizacji. Obowiązek wprowadzenia IODa w te kwestie obciąża administratora danych – to on musi umożliwić Inspektorowi dowiedzenie się wszystkiego, co dotyczy danych osobowych w organizacji.

  4. Jest niezależny – administrator danych nie może wydawać mu poleceń co do decyzji i ocen dotyczących ochrony danych. Jeżeli IOD mówi, że coś jest niezgodne z RODO, to administrator danych nie może mu np. po prostu kazać tego zignorować. Dodatkowo, IOD podlega bezpośrednio najwyższemu kierownictwu administratora danych, np. zarządowi spółki.

  5. Dysponuje odpowiednimi środkami i czasem do wykonywania swoich zadań – co dotyczy m.in. budżetu, możliwością doszkalania się albo możliwością kontaktu z pracownikami, którzy przetwarzają dane osobowe.

Jak widać, umiejscowienie Inspektora w przedsiębiorstwie to nie jest taka prosta sprawa. Musi to być bowiem osoba kompetentna, niezależna, mająca wpływ na to co się dzieje w organizacji w zakresie, w jakim przetwarzane są dane osobowe, a dodatkowo mieć czas i pieniądze na wykonywanie swoich zadań.

I obowiązek, aby Inspektorowi te wszystkie rzeczy zapewnić, spoczywa na administratorze danych osobowych – ostatecznie bowiem to on odpowiada za zgodność przetwarzania danych osobowych z prawem.

#rodo #administrator #administratorbezpieczeństwainformacji #inspektorochronydanych

Michał Nosowski

Jestem radcą prawnym specjalizującym się w prawie nowych technologii. Stworzyłem tego bloga po to aby dzielić się swoją pasją - czyli badaniem styku świata IT i prawa.

 

W ramach kancelarii ByteLaw, której jestem współzałożycielem, pomagam głównie startupom, software house'om, freelancerom i ludziom zajmującym się marketingiem internetowym. Jeśli chcesz dowiedzieć się więcej, zapraszam do odwiedzenia strony Kancelarii.

  • Twitter Social Icon
  • LinkedIn Social Icon
  • Facebook Social Icon
  • Instagram Social Icon

Projekt: 2020 Michał Nosowski, Toruń.