Już niemal dekadę temu, w 2018 roku, wiele firm na terenie całej Unii Europejskiej, w tym w Polsce, musiało się zmierzyć z istotnymi zmianami prawnymi związanymi z tzw. RODO. Jest to ogólne rozporządzenie o ochronie danych, inaczej rozporządzenie o ochronie danych osobowych, które ujednoliciło i zaostrzyło wymogi prawne dotyczące przetwarzania i ochrony danych osobowych. Wprowadzilo ono również pojęcie Inspektora Ochrony Danych (IOD). Sprawdź, kiedy jest to funkcja obowiązkowa i przekonaj się, czy warto mieć IOD w firmie, nawet, gdy nie jest to dla Ciebie wymóg obligatoryjny?
Spis treści:
Kim jest Inspektor Ochrony Danych i jaka jest jego rola?
Inspektor Ochrony Danych jest osobą wyznaczaną przez firmę przetwarzającą dane lub administratora danych. Jego zadaniem jest szeroko pojęty nadzór danego podmiotu oraz wspieranie go w zakresie obowiązków wynikających z przepisów RODO. Do obowiązków takiej osoby należy m.in.:
- kontrola przestrzegania przepisów RODO i polityki przetwarzania danych organizacji lub administratora,
- przeprowadzanie szkoleń i udzielanie porad,
- przeprowadzanie audytów,
- opracowywanie umów i pism w zakresie przetwarzania danych osobowych,
- współpraca z właściwymi organami nadzorczymi,
- kontakt z osobami, których dane są przez dany podmiot przetwarzane.
To, kto może pełnić rolę Inspektora Ochrony Danych, nie jest jednoznacznie określone. Powinien on mieć odpowiednią wiedzę z zakresu przepisów RODO, praktyk w dziedzinie ochrony danych osobowych, czy polskiego i europejskiego ustawodawstwa w tym zakresie. Nie istnieją żadne jednolite wymogi co do tego, w jaki sposób wiedza ta ma być potwierdzana lub weryfikowana. Powinna być ona wystarczająca do poziomu trudności zadań, z jakimi wiąże się praca na takim stanowisku w danej organizacji. Oprócz tego osoba taka musi mieć pełną zdolność do czynności prawnych, pełnię praw publicznych oraz nie może być karana za przestępstwo umyślne lub skarbowe.
Kiedy powołanie IOD jest obowiązkowe?
Kiedy Inspektor Ochrony Danych jest obowiązkowy? Zgodnie z aktualnymi przepisami, obowiązek powołania IOD ciąży zarówno na poszczególnych podmiotach publicznych, jak i organizacjach prywatnych. Głównym kryterium, które o tym decyduje, jest charakter pracy podmiotu oraz to, na jaką skalę dane są przetwarzane.
Podmioty publiczne
Inspektor Ochrony Danych powinien zostać powołany przez podmioty publiczne przetwarzające dane osobowe. Szczegółowe informacje na ten temat można znaleźć m.in. na oficjalnych stronach Urzędu Ochrony Danych Osobowych. Zgodnie z informacjami udostępnianymi przez urząd, IOD powinien znaleźć się np. w jednostkach samorządu terytorialnego, na uczelniach publicznych, w instytutach badawczych, czy w Narodowym Banku Polskim.
Przetwarzanie danych na dużą skalę (monitoring lub dane wrażliwe)
W przypadku innych podmiotów, o tym, czy trzeba powołać inspektora ochrony danych, decyduje skala i charakter przetwarzanych informacji. Jest to obowiązkowe, gdy organizacja:
- opiera swoją działalność na administrowaniu danymi osobowymi,
- przetwarza szczególne kategorie danych osobowych na dużą skalę,
- przetwarza duże ilości danych w sposób regularny.
Kiedy IOD nie jest obowiązkowy, ale warto go mieć?
Istnieje wiele firm, które przetwarzają duże ilości danych osobowych, lecz w rozumieniu przepisów nie jest to przetwarzanie na dużą skalę. W takiej sytuacji warto rozważyć powołanie Inspektora Ochrony Danych mimo tego, że nie jest to obowiązkowe. Pozwoli to na stworzenie odpowiednich procedur oraz zachowanie bezpieczeństwa podczas codziennej pracy, a w konsekwencji lepszą ochronę informacji o klientach, czy kontrahentach. Firmy, które z pewnością zyskają na powołaniu inspektora, to np. duże sklepy e-commerce, podmioty świadczące usługi IT, czy agencje marketingowe.
Outsourcing IOD czy własny pracownik – co się bardziej opłaca?
Wiele firm stoi przed dylematem, czy zdecydować się na IOD wewnętrzny, czy zewnętrzny. Pierwsza z tych opcji często będzie mało opłacalna lub wręcz niemożliwa do zrealizowania. Konieczne byłoby zatrudnienie osoby z odpowiednimi kwalifikacjami lub przeszkolenie już zatrudnionego pracownika. Nie zawsze zachodzi też konieczność, aby inspektor był dostępny w firmie przez cały czas, na cały etat.
Lepszą opcją może być zatem nasza oferta outsourcingu IOD. Możemy również zaoferować pomoc w innych obszarach przetwarzania danych osobowych. Nasza specjalność to m.in. bieżąca obsługa RODO, a także profesjonalne audyty RODO. Outsourcing Inspektora Ochrony Danych zagwarantuje Twojej firmie rzetelność, zgodność z przepisami, a także terminowość w zakresie zobowiązań wynikających z aktualnych przepisów prawa. Zatrudniamy doświadczonych specjalistów, którzy stale aktualizują swoją wiedzę. Dzięki temu nie musisz samodzielnie śledzić zmian prawnych i rozumieć ich zawiłości. Ponadto koszt Inspektora Ochrony Danych będzie w ten sposób mniejszy, niż w sytuacji, gdybyś zatrudniał taką osobę wewnętrznie, na stałe.