IOD

Zadaniem inspektora nie jest wykonywanie poleceń przełożonych. Tymczasem w wielu firmach wciąż funkcjonuje on w strukturze zależnej od działów IT, HR czy bezpieczeństwa, co jest sprzeczne z przepisami. Ostatnie decyzje prezesa UODO i sądów wskazują, że takie błędy mogą kosztować przedsiębiorców setki tysięcy złotych.

Firmy zapominają, że muszą wskazywać inspektorów ochrony danych z imienia i nazwiska oraz umożliwiać kontakt z nimi. UODO analizuje wyniki pierwszej akcji kontrolnej

Niedawno weszły w życie postanowienia dyrektywy o sygnalistach, czyli dyrektywy w sprawie ochrony osób zgłaszających naruszenia prawa Unii. Zgodnie z nią firmy zobowiązane do przestrzegania jej postanowień muszą wskazać osobę odpowiedzialną za przyjmowanie ewentualnych zgłoszeń sygnalistów. Uznaliśmy, że w naszym przedsiębiorstwie takie obowiązki może pełnić inspektor ochrony danych. Czy łączenie tych stanowisk jest dopuszczalne?

Zanim jednak dana jednostka samorządu terytorialnego podejmie taką decyzję, musi ją dokładnie przeanalizować. Powierzenie nowych zdań nie może bowiem spowodować, że inspektor ochrony danych (IOD) zaniedba swoje podstawowe obowiązki. Takie wnioski płyną z wyjaśnień opublikowanych przez Urząd Ochrony Danych Osobowych (UODO).

Firmy nie mogą zasłaniać się faktem, że ich inspektor ochrony danych źle wykonywał swoją pracę. Przepisy RODO jasno bowiem wskazują, że odpowiedzialność za naruszenia ponosi administrator.

W obecnych przepisach nie ma takiego wymogu. Tak samo jak nie ma zakazu zatrudniania IOD z wyrokiem. Polski ustawodawca nie mógł iść dalej niż RODO.

Rozporządzenie UE oraz nowa ustawa o ochronie danych osobowych, która niedawno została uchwalona przez sejm, przewidują sformalizowaną formę certyfikacji oraz kodeksów postępowań (tzw. dobrych praktyk).

RODO przewiduje obowiązek wyznaczenia inspektora ochrony danych (IOD) zawsze, gdy dane przetwarza organ lub podmiot publiczny. W praktyce jednak mogą pojawić się problemy z ustaleniem, kiedy mamy do czynienia z podmiotem publicznym.

Organy administracyjne, zresztą tak, jak i przedsiębiorcy, muszą pogodzić się z tym, że od 25 maja 2018 r. będzie obowiązywała zasada, że osoba fizyczna musi wyrazić zgodę na przetwarzanie swoich danych osobowych ze wskazaniem, o jakie dane chodzi i w jakim celu. To rodzi określone skutki i trudności w realizowaniu zadań podmiotów publicznych. Do tego należy doliczyć i inne obostrzenia, które do tej pory nie były znane ani urzędnikom ani przedsiębiorcom, a które trzeba będzie uwzględnić poprzez wdrożenie odpowiedniej polityki bezpieczeństwa, zarządzania danymi oraz organizację stanowiska pracy inspektora ochrony danych osobowych (IOD). Postanowiliśmy przyjrzeć się bliżej, jak to obecnie wygląda w urzędach i dowiedzieć jak powinno wyglądać - na konkretnych przykładach.

Według nowych przepisów dotyczących ochrony danych osobowych (rozporządzenia RODO) na stanowisko inspektora ochrony danych (DPO) w firmie czy urzędzie, będzie mógł zostać wyznaczony pracownik administratora lub podmiotu przetwarzającego, ale również osoba spoza grona pracowników. Jednak w przypadku niedostatecznej wiedzy podwładnych w zakresie wchodzących z końcem maja regulacji, warto pomyśleć o outsourcingu. Tu z pomocą może przyjść przedsiębiorca, który wyłącznie specjalizuje się w zakresie ochrony danych osobowych.

25 maja 2018 roku ma wejść w życie ogólne rozporządzenie Parlamentu Europejskiego i Rady (UE) o ochronie danych (RODO). Od tej chwili fachowego wsparcia dla administratorów danych udzielać będą inspektorzy ochrony danych. Jakie warunki należy spełnić, by dołączyć do ich grona?