Inspektor ochrony danych (IOD) – co warto o nim wiedzieć?

IOD – Inspektor ochrony danych, to funkcja powstała na gruncie europejskiego rozporządzenia o ochronie danych osobowych (RODO). Kim jest? Jakie wykonuje zadania? W jakich sytuacjach powołanie go jest dla danej organizacji obowiązkiem, a kiedy – mimo braku konieczności – okaże się działaniem opłacalnym, nie tylko ze względów bezpieczeństwa, ale także wizerunkowych? Poniższy artykuł ma na celu odpowiedź na nurtujące przedsiębiorców kwestie związane z funkcją inspektora ochrony danych.

Od 25 maja 2018 r. zaczęło być stosowane europejskie rozporządzenie o ochronie danych osobowych (RODO)^[1]. Nałożyło ono na niektórych administratorów danych obowiązek powołania inspektora ochrony danych (IOD).

Z poniższego artykułu dowiesz się:

• kim jest IOD,
• jaka jest jego pozycja w organizacji,
• jakie zadania przed nim stoją,
• która organizacja musi, a która powinna go powołać.

Ponadto zaprezentowane zostaną zalety oraz wady różnych modeli realizacji funkcji IOD-a. W podsumowaniu natomiast pokażemy okoliczności, w których dla danej organizacji korzystne będzie posiadanie IOD-a, nawet kiedy nie będzie to uwarunkowane obowiązkiem prawnym.

Kim jest inspektor ochrony danych?

Stoi on na straży zgodnego z prawem przetwarzania danych osobowych w organizacji. Gwarancją prawidłowego wykonywania zadań przez IOD-a pozostaje jego niezależność, oznaczająca autonomię działania w zakresie spraw dotyczących ochrony informacji, które realizować ma w sposób wolny od instrukcji i nacisków. Taki status zapewnić ma suwerenne, oparte na wiedzy i doświadczeniu formułowanie ocen, uwag i zaleceń w ramach realizowanych zadań i pełnionych obowiązków^[2].

Administrator oraz podmiot przetwarzający (procesor danych) zobligowani są do zapewnienia IOD zasobów niezbędnych do wykonywanych przez niego zadań, a także utrzymania oraz rozwijania fachowej wiedzy, kwalifikacji i umiejętności. Oznacza to, że IOD powinien posiadać środki organizacyjne, techniczne, technologiczne i finansowe, pozwalające na realizację jego funkcji^[3]. Zadania IOD określone zostały w art. 39 ust. 1 RODO. Wśród nich wymienić można m.in.:

• obowiązek informowania administratora, procesora oraz ich pracowników, przetwarzających dane osobowe, o spoczywających na nich obowiązkach na gruncie RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych, doradzania im w tym zakresie, monitorowanie przestrzegania RODO oraz innych aktów prawnych z zakresu ochrony danych osobowych.^[4]
• IOD pełni niejako rolę łącznika pomiędzy organizacją a organem nadzorczym, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych. Zobowiązany jest on do pełnienia funkcji punktu kontaktowego zarówno dla tego organu jak i dla osób fizycznych, których dane dotyczą^[5].

Kiedy trzeba wyznaczyć inspektora ochrony danych?

Zgodnie z art. 37 ust. 1 RODO administrator i podmiot przetwarzający mają obowiązek wyznaczenia IOD-a w sytuacji:

1. Przetwarzania danych osobowych przez organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Należy podkreślić, że zgodnie z wytycznymi^[6] Grupy Roboczej Art. 29 obowiązek powołania IOD-a nie dotyczy prywatnych jednostek realizujących zadania w interesie publicznym lub sprawujących władzę publiczną. W tym przypadku zaleca się jednak powołanie IOD-a w ramach dobrych praktyk^[7].
2. Gdy główna działalność polega na operacjach przetwarzania na dużą skalę danych osobowych, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą.
3. Gdy główna działalność opiera się na przetwarzaniu na dużą skalę danych szczególnych kategorii oraz danych dotyczących wyroków skazujących i naruszeń prawa.

W przypadku oceny czy przetwarzanie prowadzone jest na dużą skalę rozważyć należy dwa aspekty: geograficzny i ilościowy. W związku z tym można wskazać, że z przetwarzaniem na dużą skalę nie mamy do czynienia w przypadku operacji realizowanych na szczeblu lokalnym oraz na niskim wolumenie danych, który oceniać należy jako konkretną liczbę lub procent populacji w danym regionie. W pozostałych sytuacjach administrator oraz podmiot przetwarzający mogą samodzielnie zdecydować, czy w ramach swojej organizacji chcą powołać IOD-a.

Różne oblicza IOD-a

IOD wyznaczany jest na podstawie kwalifikacji zawodowych, w skład których wchodzą: fachowa wiedza na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz operacji przetwarzania danych i systemów informatycznych, a także umiejętność wypełnienia przedstawionych wcześniej zadań IOD-a. Wymagany poziom wiedzy fachowej nie został nigdzie określony, dlatego należy oceniać go indywidualnie w każdej sprawie.

Zgodnie z art. 37 ust. 6 RODO IOD może być członkiem personelu administratora lub podmiotu przetwarzającego, albo wykonywać zadania na podstawie umowy o świadczenie usług. Dozwolone jest zatem, aby funkcja IOD-a powierzona została pracownikowi danego podmiotu lub została outsourcingowana.

Jeżeli funkcja IOD-a powierzona zostaje pracownikowi organizacji, realizuje on swoje zadania w jej siedzibie.

Zalety:

• dobra znajomość organizacji, jej pracowników i faktycznego zakresu ich obowiązków, realizacja powierzonych zadań w czasie pracy, stała dostępność w organizacji.

Wady:

• trudność znalezienia osoby posiadającej wszechstronną wiedzę z zakresu ochrony danych osobowych (obszar formalnoprawny) oraz operacji przetwarzania danych i systemów informatycznych (obszar IT),
• ryzyko wpływu przełożonych na sposób realizowania przez nią zadań, możliwość naruszenia jej niezależności,
• niepewność dostępności – zmiana pracodawcy, niedyspozycja zdrowotna.

Drugą możliwością jest powierzenie funkcji IOD-a, na podstawie umowy
o świadczenie usług, zewnętrznemu specjaliście ds. ochrony danych, który – prowadząc jednoosobową działalność - może obsługiwać jako IOD klika mniejszych podmiotów.

Zalety:

• wiedza z zakresu ochrony danych osobowych.

Wady:

• trudność skupienia w jednej osobie wiedzy formalnoprawnej i technicznej (szczególnie z obszaru zabezpieczeń aplikacji i sprzętu IT),
• możliwy problem z czasem reakcji, wynikający z równoległej obsługi kilku klientów.

Funkcję IOD-a powierzyć można także wyspecjalizowanej firmie świadczącej kompleksowe usługi w zakresie ochrony danych osobowych i bezpieczeństwa informacji.

Zalety:

• specjalistyczna wiedza w obszarze formalnoprawnym oraz IT,
• szybka realizacja powierzonych zadań,
• niezwłoczna reakcja w przypadku naruszenia ochrony danych osobowych,
• optymalizacja kosztowa.

Wady:

• funkcja sprawowana zdalnie.

Czy opłaca się powoływać IOD-a?

Posiadanie inspektora ochrony danych Tworzy pozytywny wizerunek organizacji jako tej przywiązującej wagę do ochrony danych osobowych swoich klientów, pracowników i kontrahentów.

Skupienie zadań z zakresu ochrony danych osobowych w osobie IOD-a zapewni również spójność działań podejmowanych przez organizację we wskazanym zakresie, co może skutkować większą świadomością pracowników i minimalizacją ryzyka incydentów. Posiadanie IOD-a powinno być korzystne dla organizacji niezależnie od zakresu przetwarzanych danych. Rekomendujemy, aby w przypadku outsourcingu funkcji IOD-a, korzystać z usług podmiotów mających wieloletnie doświadczenie i specjalizację w tej dziedzinie.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, Dz. Urz. UE z 2016 r. Nr L 119/1 (dalej "RODO").

[2] D. Lubasz, RODO, Ogólne Rozporządzenie o Ochronie Danych, Komentarz, Warszawa 2017, s. 795.

[3] Tamże, s. 797.

[4] RODO, art. 39 ust. 1 lit. a-c.

[5] Tamże. art. 38 ust. 4.

[6] Wytyczne Grupy Roboczej Art. 29 WP 243.

[7] P. Litwiński, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Warszawa 2018, s. 558.

Paweł Domagała, Specjalista ds. Ochrony Danych, ODO 24