Inspektor Ochrony Danych Osobowych - nowe wyzwania dla organizacji i jej pracowników

Nowe regulacje dotyczące ochrony danych osobowych nakładają na jednostki samorządu terytorialnego oraz przedsiębiorców obowiązek powołania Inspektora Ochrony Danych Osobowych. Jego najważniejszym zadaniem ma być koordynowanie działań w zakresie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i nadzorowanie nad poprawnością stosowania RODO.

Obowiązek ten jest nałożony wymogiem stawianym przez artykuł 37 ust 1 lit. a) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Inspektor Ochrony Danych Osobowych (IODO) jest kluczową osobą w zarządzaniu systemem ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w jednostce samorządu terytorialnego. Do jego głównych obowiązków należy:

1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o spoczywających na nich obowiązkach i doradzanie im w tym zakresie,
2. monitorowanie przestrzegania RODO, innych przepisów o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych,
   
   w tym podziału obowiązków, działań zwiększających świadomość, szkoleń personelu uczestniczącego w operacjach przetwarzania oraz powiązanych z tym audytów,
3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,
4. współpraca z organem nadzorczym,
5. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych
   
   z przetwarzaniem, w tym z uprzednimi konsultacjami oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Osoba pełniąca funkcję IODO musi posiadać właściwe kwalifikacje zawodowe, a w szczególności fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Zakres zadań jaki będzie spoczywać na IODO dotyczy w szczególności następujących zakresów:

- dbałość o szczelność i efektywność wdrożonego systemu,

- monitorowanie skutków działań podejmowanych przez podmiot dla ochrony danych osobowych i daleko posunięta współpraca wewnątrz organizacji,

- opracowywanie ścieżek postępowania i zarządzania ryzykiem związanych ze stosowaniem RODO.

IODO jest więc istotnym elementem zarządzania w danej organizacji/przedsiębiorstwie i powinien być włączony w procesy biznesowe, tak aby z pewnym wyprzedzeniem możliwe było minimalizowanie lub eliminowanie działań prowadzących do naruszenia regulacji RODO. IODO musi być również wyposażony w kompetencje do podejmowania decyzji w celu zarządzania systemem ochrony danych osobowych oraz udzielania zainteresowanym informacji w granicach zagwarantowanych przez prawo. Doprowadzenie do sytuacji, w której IODO jest jedynie odbiorcą podjętych wcześniej decyzji i jest pozbawiony możliwości wpływania na procesy decyzyjne, powoduje że wprowadzony system będzie jedynie pustą fasadą. Należy pamiętać, że za złamanie (choćby nieumyślne) wymogów RODO powodować będzie istotne konsekwencje dla danego podmiotu. Odpowiedzialność finansowa może sięgać do 20 mln euro lub 4% całkowitego rocznego obrotu. Należy również pamiętać o ryzyku utraty reputacji.

Podsumowując, wprowadzenie systemu zarządzania danymi osobowymi zgodnie z wymogami RODO jest nierozerwalnie związane z faktycznym umocowaniem osoby zarządzającej tym systemem (IODO) w realnym procesie decyzyjnym. Brak poważnego podejścia do roli IODO w organizacji, spowoduje że wprowadzony system będzie jedynie formalnością, co będzie generować ryzyko nałożenia kar na dany podmiot lub też na osoby odpowiedzialne za brak funkcjonowania tego systemu. Należy jednocześnie pamiętać o postulacie wprowadzenia instytucji sygnalisty, co ma na celu zwiększenie kontroli nad zgodnością działalności podmiotów z regulacjami prawnymi. Nie powinno więc budzić jakichkolwiek wątpliwości, że IODO musi być wyposażony w narzędzia uprawniające do odgrywania aktywnej roli w danej organizacji.

Maciej Fornalczyk (CEO)

Paweł Ludwiczak