Inspektor Ochrony Danych może być pracownikiem zatrudnionym w firmie lub zostać powołanym w ramach outsourcingu. IOD pełni ważne role i zadania dotyczące ochrony bezpieczeństwa danych. Niektórzy przedsiębiorcy w celu ograniczenia kosztów często decydują się na wyznaczenie funkcji IOD jednego ze swoich pracowników. Czy zawsze warto? Kiedy lepiej funkcje Inspektora Danych Osobowych powierzyć podmiotowi zewnętrznemu?
Inspektor Ochrony Danych – kim jest?
Inspektor Ochrony Danych (IOD) to osoba, która wspiera administrowanie danych, które podlegają ochronie. Czasami funkcję IOD określa się jako urzędnika ds. ochrony danych, ponieważ jest to osoba, której obowiązek powołania nakłada Unia Europejska (przepisy Rozporządzenia Nr 45/2001 Parlamentu Europejskiego i Rady z 18 grudnia 2000 roku o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych).
Zadania Inspektora Ochrony Danych
Obowiązki i zadania, przed którymi staje Inspektor Ochrony Danych, określają przepisy rozporządzenia o ochronie danych (RODO) uwzględnione w art. 37. Do głównych obowiązków IOD należy:
- współpraca z osobami, które mają wgląd do przetwarzanych danych (m.in. administrator, podmiot przetwarzający, pracownicy) o obowiązkach spoczywających na nich z uwagi na przepisy RODO, a także inne dokumenty sporządzone i zatwierdzone przez państwa Unii Europejskiej dotyczące ochrony danych osobowych,
- sprawdzanie przestrzegania przepisów RODO i pokrewnych związanych z ochroną i przetwarzaniem danych osobowych. Monitorowanie działań polityki administrowania danymi i czynności podejmowanych przez podmiot przetwarzający dane osobowe, w tym podejmowanie aktywności mających na celu zwiększanie świadomości, prowadzenie szkoleń i przeprowadzanie audytów,
- współpracowanie z organem nadzorczym,
- pełnienie roli osoby kontaktowej dla organu nadzorczego w sprawach dotyczących przetwarzania danych, udział w konsultacjach regulowanych w przepisach RODO, a także w innych.
Pracownik czy podmiot zewnętrzny jako IOD?
Inspektorem Ochrony Danych może być osoba, która jest pracownikiem administratora lub podmiotu, który przetwarza dane (pracownik) lub być zatrudniony na podstawie umowy o świadczenie usług (podmiot zewnętrzny, outsourcing). Bez względu na charakter powierzenia funkcji IOD, Inspektor podlega zwierzchnictwu kierownictwa administratora lub podmiotu przetwarzającego. Tradycyjnym rozwiązaniem jest powierzenie funkcji pracownikowi, jednak aby było to możliwe, konieczne jest ukończone szkolenie na Inspektora Ochrony Danych Osobowych. Innym rozwiązaniem jest powierzenie obowiązków podmiotowi zewnętrznemu, ale nie zawsze jest to dobre rozwiązanie. Dlaczego?
Kto powinien pełnić funkcję Inspektora Ochrony Danych
Decydując się na wyznaczenie pracownika do pełnienia funkcji IOD i ukończenie przez niego szkolenia, instytucja czy przedsiębiorstwo mogą zyskać korzyści na dwóch polach. Z perspektywy pracownika jest poszerzenie wiedzy, kompetencji i odpowiedzialności, związanej z bezpieczeństwem informacji, przetwarzaniem i ochroną danych. Pracodawca ma wtedy pewność, że w przypadku kontroli wszystko powinno być zgodne z przepisami, a zdobyte na szkoleniu wiedza i umiejętności nie dopuszczą do naruszeń.
Zdarza się jednak, że grupa przedsiębiorców zdecyduje o wyznaczeniu jednego IOD. Outsourcing to rozwiązanie, którego główną zaletą jest niezależność i brak konfliktu interesów.