Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

Czy IOD może nadawać upoważnienia?

Czy administrator danych osobowych może udzielić IOD upoważnienia do nadawania upoważnień do przetwarzania danych osobowych?

Jeżeli administrator decyduje się na skorzystanie ze środka, jakim jest nadawanie upoważnień do przetwarzania danych w wykonaniu obowiązków określonych w art. 29 i art. 32 ust 1 i 4 RODO to może upoważnić  inną osobę do nadawania upoważnień do przetwarzania danych w jego imieniu, ale osoba tą nie powinien być inspektor ochrony danych.

Przede wszystkim obowiązki określone w art. 29 i art. 32 ust. 1 i 4 RODO są obowiązkami administratora i podmiotu przetwarzającego. Są oni zobowiązani do zapewnienia, aby dostęp do danych miały tylko osoby przez nich określone, działające na zasadach i  w sposób wskazany przez administratora. Dlatego wydawanie upoważnień osobiście przez osobę kierującą lub zarządzającą podmiotem będącym administratorem lub podmiotem przetwarzającym  może istotnie przyczynić się do prawidłowego zapewnienia takiej kontroli. Takie osoby powinny bowiem najlepiej znać organizację pracy w swojej jednostce i dzięki temu w sposób najwłaściwszy określić, komu oraz w jakim zakresie powinno być nadane stosowne upoważnienie do przetwarzania danych.

Zatem dla zapewnienia właściwego systemu ochrony danych w jednostce najkorzystniejszym rozwiązaniem byłoby nadawanie upoważnienia do przetwarzania danych przez samego administratora (podmiot przetwarzający) lub - w zależności od wielkości podmiotu i jego struktury - przez np. kierownika działu kadr lub kierowników innych komórek organizacyjnych. Osoby te bowiem mogą najbardziej precyzyjnie określać, komu oraz w jakim zakresie upoważnienie powinno zostać nadane, i na bieżąco je aktualizować.

Natomiast rola inspektora ochrony danych koncentruje się na monitorowaniu przestrzegania przepisów o ochronie danych osobowych i wewnętrznych polityk oraz prawidłowego wykonywania wynikających z nich obowiązków, a także doradzaniu i podnoszeniu świadomości w zakresie tych obowiązków. Dlatego IOD nie powinien być osobą, która sama realizuje obowiązki określone w art. 29 i art. 32 ust 1 i 4 RODO. Powodowałoby to konflikt interesów, którego występowania zakazuje w odniesieniu do inspektorów art. 38 ust 6. RODO.

Natomiast rozwiązania, jakie zamierza przyjąć w zakresie realizacji obowiązków z art. 29 i 32 ust 1 i 4 RODO administrator lub podmiot przetwarzający, w tym np. procedura nadawania upoważnień czy treść upoważnień może być skonsultowana z powołanym IOD, który jako specjalista z zakresu ochrony danych osobowych, powinien również i w tym zakresie doradzić administratorowi danych.

 

2019-11-29 Metadane artykułu
Podmiot udostępniający: Zespół Współpracy z Administratorami Danych
Wytworzył informację: Monika Młotkiewicz 2019-11-29
Wprowadził‚ informację: Edyta Madziar 2019-11-29 14:11:00
Ostatnio modyfikował: Edyta Madziar 2019-11-29 14:25:34