(ANG. DATA PROTECTION OFFICER)

Zwykle bardzo korzystne dla przedsiębiorstw jest zlecenie za zewnątrz (outsourcing) pewnych funkcji czyli powierzenie wykonywania tych obowiązków specjalistom. Poza innymi zaletami outsourcingu (niskie koszty, uniezależnienie od absencji i fluktuacji kadr, zwiększenie zakresu odpowiedzialności podmiotu trzeciego itp.) daje to pewność wykonywania tych obowiązków na wysokim profesjonalnym poziomie. Ponadto w przypadku IOD gwarantuje to niezależność inspektora wymaganą przez przepisy.

 

Do podstawowych obowiązków inspektora ochrony danych wynikających bezpośrednio z zapisów art. 39 RODO należą:

 

  • informowanie administratora danych, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii Europejskiej lub krajowych o ochronie danych i doradzanie im w tej sprawie:

stosowanie zasad postępowania prowadzących do zgodności z przepisami RODO wynika nie tylko z samych przepisów, ale także z wyjaśnień i wytycznych Europejskiej Rady Ochrony Danych, a także Prezesa Urzędu Ochrony Danych Osobowych. Ponadto na różnych portalach internetowych oraz w mediach pojawiają się liczne opinie i komentarze w tej dziedzinie. IOD, mając dostateczną wiedzę i doświadczenie, potrafi wybrać z tych wszystkich materiałów te, które mają faktyczną wartość merytoryczną, odsiewając te, które wynikają z niezrozumienia zasad rządzących ochroną danych osobowych i wprowadzają w błąd, powodując niepokój i nieporozumienie. W związku z tym administrator i jego pracownicy otrzymują od IOD rzetelne poprawne merytorycznie informacje, które pozwalają im na właściwe postępowanie w sferze ochrony danych,

  • udzielanie na żądanie administratora zaleceń, co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z przepisami art. 35 RODO ,
  • monitorowanie przestrzegania przepisów RODO, innych przepisów Unii lub krajowych o ochronie danych oraz procedur i instrukcji Administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym:
  • działania zwiększające świadomość:

IOD może podejmować akcje i działania uświadamiające pracownikom i współpracownikom administratora wagę danych osobowych i konieczność przestrzegania przepisów w celu ich ochrony; wskazuje pracownikom te sytuacje i zdarzenia, na które powinni być szczególnie wyczuleni gdyż mogą one świadczyć o naruszeniu ochrony danych osobowych,

  • szkolenia personelu uczestniczącego w operacjach przetwarzania:

(IOD może przeprowadzać zarówno krótkie instruktaże dla osób podejmujących współpracę z administratorem, jak i prowadzić regularne szkolenia dla kadry personelu zaangażowanego w przetwarzanie danych osobowych; regularne szkolenia nie tylko podnoszą wiedzę pracowników i zleceniobiorców administratora w dziedzinie ochrony danych, ale realnie przyczyniają się do zmniejszenia ryzyka naruszenia ochrony danych; świadczą także o dołożeniu należytej staranności ze strony administratora, co może mieć znaczenie w razie ewentualnej kontroli,

  • audyty związane z ochroną danych osobowych:
  • współpraca z PUODO (Prezesem Urzędu Ochrony Danych Osobowych) oraz pełnienie funkcji punktu kontaktowego dla PUODO w kwestiach związanych z przetwarzaniem, w tym z ewentualnymi uprzednimi konsultacjami z PUODO oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach (w koniecznych przypadkach).

 

Ponadto do obowiązków Inspektora może także należeć:

 

  • pełnienie punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO:
  • prowadzenie w imieniu Administratora rejestru czynności przetwarzania danych osobowych, o którym mowa w art. 30 RODO:

w większości przypadków prowadzenie tego rejestru jest obowiązkiem administratora; w ramach sprawowania swojej IOD prowadzi ten rejestr w imieniu administratora, co zapewnia prowadzenie go zgodnie z przepisami i utrzymywanie w aktualności.

 

Inspektor przy wykonywaniu swoich obowiązków ma także prawo do inicjowania i podejmowania przedsięwzięć w zakresie doskonalenia systemu ochrony danych osobowych:

IOD jako profesjonalny i niezależny podmiot ma zasadniczą rolę w poprawie systemu bezpieczeństwa danych osobowych administratora, dlatego też zgłasza do administratora wszelkie sugestie i propozycje mające na celu zwiększenie i poprawę bezpieczeństwa danych osobowych; zapewnia to administratorowi przetwarzanie danych zgodnie z prawem i minimalizuje ryzyko poniesienia negatywnych konsekwencji naruszenia przepisów w tym zakresie.