Inspektor Danych Osobowych to osoba, którą wyznaczają administratorzy danych osobowych zobowiązani do powołania IOD na podstawie obowiązującego Rozporządzenia o Ochronie Danych Osobowych (RODO). Podstawowym zadaniem Inspektora Danych osobowych jest czuwanie nad zgodnością działań administratora z obowiązującymi przepisami, a także pełnienie funkcji kontaktowej pomiędzy Urzędem Ochrony Danych Osobowych, administratorem danych i osobami, których dane dotyczą. Jakie jeszcze zadania wykonywane są na co dzień przez Inspektora Danych Osobowych i jakie kompetencje powinna posiadać osoba pełniąca tą funkcję?

Podstawowe zadania i obowiązki Inspektora Danych Osobowych

Inspektor Ochrony Danych Osobowych powinien być w pełni świadomy zadań, jakie będzie wykonywać w ramach pełnionej funkcji oraz rozumieć pojęcia takie jak inwentaryzacja procesów przetwarzania danych, zasobów biorących udział w procesach przetwarzania danych, analiza ryzyka wobec zasobów informacyjnych, ocena skutków przetwarzania danych, dokumentacja zgodności z RODO czy audyt zgodności z RODO. Jego udział w każdym z poszczególnych procesów będzie niezwykle istotny dla ogólnego powodzenia procesu wdrażania RODO oraz utrzymania zgodności działań firmy z wytycznymi Rozporządzenia.

Zapisy Rozporządzenia o Ochronie Danych Osobowych jasno określają rolę Inspektora Danych Osobowych i zadania, jakie powinien realizować w ramach swojej pozycji. W szczególności będzie on odpowiedzialny za informowanie i doradzanie administratorowi danych, podmiotowi przetwarzającemu oraz ich pracownikom w zakresie wykonywanych operacji związanych z danymi osobowymi. IOD będzie także monitorował przestrzeganie RODO przez firmę i współpracował z organem nadzorczym w razie pojawienia się problemów z bezpieczeństwem danych.

Inspektor Ochrony Danych jest odpowiedzialny także za organizowanie szkoleń dla pracowników zajmujących się przetwarzaniem danych osobowych doradzanie w kwestiach dotyczących oceny skutków dla ochrony danych.

Aby wesprzeć firmę w działaniach w kierunku zgodności z wytycznymi RODO oraz innymi przepisami krajowymi i międzynarodowymi dotyczącymi ochrony danych osobowych, IOD będzie odpowiadał za przeprowadzanie audytów zgodności działań firmy z przepisami oraz prowadzenie analizy ryzyka związanego z operacjami przetwarzania danych. Aby przygotować firmę w pełni do działania zgodnie z założeniami rozporządzenia, IOD zajmie się organizacją szkoleń dla pracowników przetwarzających dane osobowe, a w ramach pracy bieżącej prowadzeniem rejestrów czynności i kategorii przetwarzania.

Jakie normy i zasady musi znać osoba pełniąca rolę IOD?

Oczywistym, najbardziej rozległym, a zarazem najważniejszym dokumentem z jakim musi być zaznajomiony Inspektor Ochrony Danych jest oczywiście Rozporządzenie o Ochronie Danych Osobowych. To na jego podstawie Inspektor będzie monitorował działania administratora lub podmiotu przetwarzającego dane, konsultował i doradzał w zakresie prowadzonych działań i planowanych zmian czy organizował szkolenia dla pracowników w celu wzmocnienia wiedzy o RODO i zasad z niego wynikających. RODO wprowadza zamknięty katalog czynności przypadających jako obowiązki Inspektora Ochrony Danych, wskazując tym samym na fakt, że dokument ten jest najważniejszym w kontekście kompetencji Inspektora Danych Osobowych. Aby ten mógł wykonywać swoją rolę rzetelnie i szkolić się wraz z rozwojem rynku i nowo pojawiających się zagrożeń, wartościowe dla IOD będą wszelkie szkolenia z zakresu pracy na jego pozycji, a także szkolenia branżowe, specyficzne dla obszaru działalności przedsiębiorstwa, z którym współpracuje Inspektor Ochrony Danych.

Wśród przykładów wartościowych norm i zasad, które IOD powinien znać i rozumieć można wymienić standardy ISO właściwe dla charakteru działalności poszczególnych organizacji. Ważną rolę odegra tu m.in. ISO 27001 skupiające się na bezpieczeństwie informacji, dające podstawę do budowania systemu zarządzania opartego nie tylko o ochronę informacji przechowywanych cyfrowo (choć norma jest często błędnie interpretowana jako norma dedykowana wyłącznie do branży IT).

Kiedy firma ma obowiązek powołania Inspektora Danych Osobowych?

Zgodnie z RODO, wyznaczenie osoby do pełnienia roli Inspektora Danych Osobowych jest konieczne w przypadku, gdy przetwarzaniem danych zajmują się organy lub podmioty publiczne z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, a także gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych.