Aneta Kułakowska

radca prawny

Moja praca koncentruje się wokół doradztwa spółkom kapitałowym w bieżącej działalności oraz przedsiębiorcom prowadzącym działalność również w innych formach prawnych...
[Więcej >>>]

Skontaktuj się

Kim jest Inspektor Ochrony Danych

Aneta Kułakowska18 stycznia 2019Komentarze (0)

Rodo w określonych sytuacjach przewiduje obowiązek wyznaczenia inspektora ochrony danych, czyli IOD. Często spotykam się z pytaniem: kim jest Inspektor Ochrony Danych Osobowych? A zaraz potem pojawia się kolejne pytanie: czy w naszej spółce koniecznie musimy powołać IOD? Dzisiaj postaram się odpowiedzieć na te pytania.

Kim jest Inspektor Ochrony Danych

Inspektor Ochrony Danych to osoba powoływana przez spółkę z o.o. jako administratora lub podmiot przetwarzający do pomocy przy przestrzeganiu w spółce przepisów o ochronie danych osobowych. IOD pełni rolę pośrednika pomiędzy Urzędem Ochrony Danych Osobowych (UODO), podmiotem przetwarzającym dane oraz osobą, której dane są przetwarzane.

 

Kim jest Inspektor Ochrony Danych

 

Zadania IOD

Zakres obowiązków oraz zadań IOD określa art. 39 ust. 1 RODO. Zgodnie z nim do obowiązków IOD należą następujące zadania:

  • informowanie spółki oraz jej pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów dotyczących ochrony danych osobowych, a także doradzanie w/w podmiotom w sprawie ochrony danych osobowych,
  • monitorowanie przestrzegania RODO oraz innych przepisów dotyczących ochrony danych osobowych oraz polityk spółki w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
  • na żądanie – udzielanie zleceń co do oceny skutków dla ochrony danych osobowych oraz monitorowanie jej wykonania zgodnie z RODO,
  • współpraca z UODO,
  • pełnienie funkcji punktu kontaktowego dla UODO w kwestiach związanych z przetwarzaniem danych osobowych, w tym z uprzednimi konsultacjami oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach,
  • pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz wykonywaniem praw przysługujących im na mocy RODO oraz innych przepisów.

Pamiętajcie o tym, że spółka wyznaczając IOD zobowiązana jest mu zapewnić odpowiednie zasoby niezbędne do wykonywania zadań oraz dostęp do danych osobowych i operacji przetwarzania. Zasoby te powinny obejmować zarówno wsparcie infrastrukturalne, finansowe, osobowe, jak i bieżące wsparcie ze strony zarządu, zapewnienie możliwości uczestniczenia w szkoleniach oraz zapewnienie dostępu do innych działów w spółce.

Spółka ponadto musi zagwarantować IOD, by był on niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. IOD powinien zatem brać udział w podejmowaniu decyzji dotyczących ochrony danych osobowych, a wszelkie sprawy z tym związane powinny być z nim konsultowane.

Kto może zostać IOD

W RODO znajdziecie ogólne wymogi co do IOD. Możecie przeczytać, że zgodnie z art. 37 ust. 5 RODO IOD jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO. Jednak wymagany poziom wiedzy fachowej nie jest nigdzie określony.

Jak wskazuje Grupa Robocza art. 29 wymagany poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Wobec czego wybór inspektora ochrony danych powinien być dokonany z zachowaniem należytej staranności i z uwzględnieniem charakteru przetwarzania danych osobowych w spółce.

Wiedza fachowa obejmuje zatem wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych, wiedzę z zakresu praktyk w dziedzinie ochrony danych osobowych, znajomość przepisów RODO, a także wiedzę biznesową dotycząca działalności spółki, w której pełni swoją funkcję. A ponadto wiedzę na temat operacji przetwarzania danych i systemów informatycznych. Z kolei jeśli chodzi o osobiste cechy IOD kwalifikujące go do wykonywania funkcji, to możemy mówić o rzetelnym podejściu do wykonywania swoich obowiązków i wysokim poziomie etyki zawodowej.

Spółka funkcję IOD może powierzyć zarówno swojemu pracownikowi, jak i podmiotowi spoza spółki. Podmiotem tym może być osoba fizyczna, jak i osoba prawna. Bez względu na to czy jest to pracownik spółki czy podmiot trzeci, osoby pełniące funkcję IOD muszą spełniać wymogi w zakresie zarówno kwalifikacji, jak i unikania konfliktu interesów.

Pamiętajcie również, że RODO umożliwia wyznaczenie jednego IOD dla kilku spółek. Oczywiście pod warunkiem, że będzie on w stanie podołać swoim obowiązkom wobec wszystkich spółek.

Kiedy spółka musi wyznaczyć IOD

Art. 37 ust. 1 RODO przewiduje obowiązek wyznaczenia inspektora dla spółek z o.o. wówczas, gdy:

  • główna działalność spółki jako administratora lub przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę,
  • główna działalność spółki jako administratora lub przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO.

Ten temat wymaga dodatkowego rozwinięcia i dlatego poświęcę mu oddzielny wpis na blogu.

 

Niezależność IOD

IOD w spółce powinien zajmować samodzielne i niezależne stanowisko, zapewniające mu swobodę należytego wykonywania jego funkcji. Przede wszystkim musi on być niezależny, tj.:

  • nie może otrzymywać instrukcji co do wykonywania swoich zadań,
  • nie może być odwoływany ani karany przez spółkę za wypełnianie swoich zadań,
  • podlega bezpośrednio najwyższemu kierownictwu spółki z o.o., czyli zarządowi.

 

Często pytacie czy IOD może wykonywać również inne zadania. Może wykonywać inne zadania poza pełnioną przez siebie funkcją pod warunkiem jednak, że te inne obowiązki nie powodują konfliktu interesów. Poświęcę temu jeden z kolejnych wpisów. Zatem zapraszam do śledzenia wpisów na blogu.

 

*****

Zapraszam również do śledzenia wpisów na blogu Zarząd w spółce z o.o.

Zapraszam do zapoznania się z poprzednimi wpisami:

Termin spełnienia obowiązku informacyjnego

Kontrola Rodo w spółce z o.o. 

Członek zarządu spółki inspektorem ochrony danych

Rodo w spółce z o.o.

Czy zarząd spółki jest administratorem danych?

{ 0 komentarze… dodaj teraz swój }

Dodaj komentarz

Wyrażając swoją opinię w powyższym formularzu wyrażasz zgodę na przetwarzanie przez AK & AK Kancelaria Prawna Sp. z o.o. Twoich danych osobowych w celach ekspozycji treści komentarza zgodnie z zasadami ochrony danych osobowych wyrażonymi w Polityce Prywatności

Administratorem danych osobowych jest AK & AK Kancelaria Prawna Sp. z o.o. z siedzibą w Warszawie.

Kontakt z Administratorem jest możliwy pod adresem aneta.kulakowska@ak-kancelaria.pl.

Pozostałe informacje dotyczące ochrony Twoich danych osobowych w tym w szczególności prawo dostępu, aktualizacji tych danych, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu na dalsze ich przetwarzanie znajdują się w tutejszej Polityce Prywatności. W sprawach spornych przysługuje Tobie prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Poprzedni wpis:

Następny wpis: