Infolinia urzędu 606-950-000

Wyznaczenie Inspektora Ochrony Danych (IOD)

Kto może, a kto musi wyznaczyć IOD?

Ogólne rozporządzenie o ochronie danych w art. 37 ust 1 RODO przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających wówczas, gdy:

  1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.

Przez organy i podmioty publiczne obowiązane do wyznaczenia IOD, o których mowa w art. 37 ust. 1 lit. a RODO, rozumie się jednostki sektora finansów publicznych (np. jednostki samorządu terytorialnego, uczelnie publiczne), instytuty badawcze oraz Narodowy Bank Polski (art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).

  1. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę.
  2. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO.

W interpretacji terminów użytych w art. 37 ust. 1 lit. b i c RODO („główna działalność”, „regularne i systematyczne monitorowanie” i „na dużą skalę”) pomocne mogą być motywy RODO oraz Wytyczne Grupy Roboczej art. 29 dotyczące inspektora ochrony danych.

W pozostałych przypadkach wyznaczenie inspektora będzie fakultatywne. Jednakże nawet w sytuacji, gdy z przepisów nie wynika obowiązek wyznaczenia IOD, Grupa Robocza art. 29 w swoich wytycznych dotyczących inspektora ochrony danych zaleca administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury, przeprowadzonej w celu ustalenia i uwzględnienia poszczególnych przesłanek z art. 37 ust. 1 RODO istnienia lub braku tego obowiązku.

Kwalifikacje do pełnienia funkcji IOD

Zgodnie z art. 37 ust. 5 RODO inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO. Poziom wiedzy inspektora powinien być ustalany w kontekście konkretnych potrzeb administratora danych i procesora (motyw 97 RODO). Jak wskazuje Grupa Robocza art. 29 wymagany poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Wobec czego wybór inspektora ochrony danych powinien być dokonany z zachowaniem należytej staranności i z uwzględnieniem charakteru przetwarzania danych osobowych w ramach jednostki.

IOD powinien posiadać:

  • fachową wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych;
  • fachową wiedzę z zakresu praktyk w dziedzinie ochrony danych osobowych;
  • dogłębną znajomość przepisów RODO;
  • wiedzę biznesową i sektorową dotycząca działalności administratora;
  • odpowiednią wiedzę na temat procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych;
  • w przypadku organów i podmiotów publicznych IOD powinien również wykazywać się znajomością procedur administracyjnych i funkcjonowania jednostki.

W odniesieniu do wypełnienia zadań IOD Grupa Robocza wskazała, że priorytetem DPO powinno być zapewnienie przestrzegania rozporządzenia. Inspektor ma zatem odgrywać kluczową rolę w zakresie wspierania „kultury ochrony danych” oraz pomagać w implementacji niezbędnych elementów RODO tj.:

  • zasady przetwarzania danych osobowych;
  • prawa osób, których dane dotyczą;
  • ochrony danych w fazie projektowania oraz domyślnej ochrony danych;
  • prowadzenia rejestru czynności przetwarzania;
  • wymogów bezpieczeństwa przetwarzania;
  • zgłaszanie naruszeń.

Jeśli chodzi o osobiste cechy inspektora kwalifikujące go do wykonywania funkcji, to są to: rzetelne podejście do wykonywania swoich obowiązków i wysoki poziom etyki zawodowej.

Forma zatrudnienia IOD

Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów (outsourcing).

2018-05-22 Metadane artykułu
Podmiot udostępniający: Departament Rejestracji ABI i Zbiorów Danych Osobowych
Wytworzył informację: Monika Młotkiewicz 2018-05-22
Wprowadził‚ informację: Grzegorz Cześnik 2018-05-22 08:05:18
Ostatnio modyfikował: Filip Szymański 2018-06-06 10:11:55