Kto powinien opracować wewnętrzną politykę ochrony danych osobowych? Administrator czy IOD?

Zgodnie z art. 24 RODO administrator, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Treść powyższego artykułu wskazuje jednoznacznie, że wdrożenie odpowiednich środków technicznych i organizacyjnych (które mogą obejmować również wdrożenie przez administratora odpowiednich polityk ochrony danych) należy do obowiązków administratora (osób przez niego wyznaczonych).

Rolą IOD jest natomiast dokonywanie oceny przyjętych przez administratora środków (w tym wewnętrznych polityk) pod kątem ich zgodności z przepisami prawa i skuteczności. Do zadań inspektora ochrony danych należy też monitorowanie przestrzegania przyjętej w dziedzinie ochrony danych osobowych polityki przez osoby upoważnione do przetwarzania danych (art. 39 ust 1 lit. b RODO).

W trakcie tworzenia polityk dotyczących ochrony danych wskazane jest, aby administrator zasięgał opinii i wskazówek u swojego inspektora ochrony danych (IOD), który posiada fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych. Zgodnie z treścią art. 39 ust 1 lit. b RODO

2019-01-07 Metadane artykułu
Podmiot udostępniający: Zespół Współpracy z Administratorami Danych
Wytworzył informację: Monika Młotkiewicz 2019-01-07
Wprowadził‚ informację: Edyta Madziar 2019-01-07 12:01:52
Ostatnio modyfikował: Edyta Madziar 2019-01-07 13:59:57