2. właściwej identyfikacji procesów przetwarzania, jakimi są: zbieranie informacji w celu konkretnego rozpoznania poszczególnych czynności związanych z przetwarzaniem danych osobowych oraz analizowanie i sprawdzanie zgodności tego przetwarzania z prawem (rozstrzyganie, czy czynności związane z przetwarzaniem danych osobowych są zgodne z obowiązującymi przepisami),
3. informowania, doradzania i rekomendowania określonych działań, współpracy z organem nadzorczym i pełnienia punktu kontaktowego.
Oczywiście to od przedsiębiorcy zależy, jakie obowiązki będzie posiadała osoba odpowiedzialna za kwestie zapewnienia działania przedsiębiorstwa zgodnie z przepisami o ochronie danych osobowych. W ramach kompetencji może być ona zobowiązana do przeprowadzania okresowych audytów w celu weryfikacji zgodności z RODO, weryfikacji poprawności działalności systemów IT z RODO, tworzenia i aktualizowania dokumentacji zgodnej z RODO, w tym prowadzenia rejestrów.
Funkcja nie dla każdego
Przedsiębiorca nie może wyznaczyć na IODO dowolnej osoby. Pełniący tę funkcję powinien:
1) dysponować odpowiednią wiedzą na temat prawa i praktyk w dziedzinie ochrony danych oraz posiadać odpowiednie kwalifikacje zawodowe; przy czym do odpowiednich umiejętności i wiedzy zgodnie z wytycznymi Grupy Roboczej Art. 29 ds. ochrony danych osobowych zalicza się wiedzę na temat krajowych i europejskich przepisów i praktyk w zakresie ochrony danych osobowych, w tym dogłębnego rozumienia RODO. Zrozumienie przeprowadzonych procesów przetwarzania, zrozumienie technologii informacyjnych i bezpieczeństwa danych, znajomość sektora biznesowego i organizacji (odpowiednia znajomość do sektora działalności, w której funkcjonuje dany podmiot na rynku),
2) posiadać możliwość wykonywania zadań poprzez zapewnienie odpowiedniej pozycji w strukturach podmiotu (niezależność IODO),
3) być dostępny i zlokalizowany na terenie UE (zgodnie z wytycznymi Grupy Roboczej art. 29 w tym zakresie).
Funkcję IODO może pełnić zarówno podmiot zewnętrzny, jak i pracownik lub współpracownik przedsiębiorcy. Konieczne jest jednak zapewnienie mu niezależności i odpowiednie ułożenie relacji z kadrą kierowniczą.
Relacje z kadrą kierowniczą
Określenie sposobu, w jaki należy prawidłowo ułożyć relacje kadry kierowniczej z IODO, jest niezwykle trudnym zadaniem. Trzeba wziąć pod uwagę, że inspektor będzie posiadał dostęp do wielu – często poufnych – informacji na temat funkcjonowania przedsiębiorstwa, a jednocześnie będzie zobowiązany do zapewnienia bezpieczeństwa tych informacji (i danych osobowych). Ponadto musi on być niezależny w strukturze, a żadne organy nie powinny negatywnie wpływać na wykonywaną przez niego pracę.
Właściwe ułożenie relacji kadry kierowniczej z IODO (lub osobą, która zajmie się kwestiami ochrony danych osobowych) dotyczy następujących kwestii:
1) zapewnienia IODO udziału we wszystkich zagadnieniach związanych z ochroną danych osobowych w firmie, np. udziału w spotkaniach, uczestnictwa w podejmowaniu kluczowych decyzji czy umożliwienie zajęcia stanowiska w kwestii danych osobowych,
2) umożliwienia IODO dostępu do niezbędnych informacji, np. o funkcjonowaniu poszczególnych działów,
3) zapewnienia możliwości ciągłego szkolenia,
4) dokumentowania przypadków i powodów postąpienia niezgodnie z zaleceniem IODO,
5) zapewnienia IODO odpowiedniego wsparcia technicznego czy organizacyjnego, np. wsparcia dodatkowych osób w strukturze organizacji ze względu np. na rozległość procesów przetwarzania danych osobowych. Nie ma przeszkód, aby w takim przypadku przedsiębiorca powołał dedykowany zespół, który pod kierownictwem IODO będzie się zajmował kwestią ochrony danych osobowych w firmie. ?
Anna Hoffmann radca prawny, Kancelaria Prawna Piszcz i Wspólnicy
Niezwykle istotną kwestią jest zagwarantowanie IODO niezależności w działaniach. Chodzi w szczególności o niezależność od instrukcji organów zarządzających dotyczących sposobu wykonywania zadań przez inspektora czy brak możliwości wpływania przez inne podmioty (np. pracowników) na podejmowane czynności. Oznacza to brak możliwości instruowania IODO przez organy zarządzające w zakresie wypełniania ciążących na nim obowiązków. Innym fundamentalnym zagadnieniem jest ułożenie relacji pozbawionej konfliktu interesów. Chodzi w głównej mierze o to, żeby IODO nie mógł jednocześnie sprawować własnej funkcji oraz łączyć z nią stanowiska, w którym sam ma wpływ na sprawowaną funkcję inspektora. Przykładowo, funkcji IODO nie powinien sprawować specjalista ds. IT odpowiedzialny za bezpieczeństwo informatyczne w firmie, gdyż podmiot ten nie będzie miał możliwości sam siebie kontrolować.
Michał Dutkiewicz prawnik, Kancelaria Prawna Piszcz i Wspólnicy
Samo wyznaczenie IODO i wykonywanie przez niego opisanych działań nie zwalnia organów zarządzających z odpowiedzialności za naruszenie przepisów RODO. Oznacza to, że zarówno w przypadku, gdy wyznaczenie inspektora jest obligatoryjne, jak i wtedy, gdy podmiot wyznaczył go dobrowolnie, za wszelkie ewentualne nieprawidłowości związane z przetwarzaniem danych osobowych odpowiada administrator. Oczywiście w umowie pomiędzy administratorem a tym podmiotem można określić kwestię odpowiedzialności inspektora.
>Jeden inspektor w całej grupie
Znacznym ułatwieniem dla przedsiębiorców działających w szczególności w ramach grup kapitałowych jest możliwość powołania jednego, wspólnego Inspektora Ochrony Danych Osobowych dla wszystkich spółek funkcjonujących w ramach tej grupy. W przypadku gdy grupa podmiotów – np. spółki wchodzące w skład grupy kapitałowej – chce wspólnie zgłosić IODO, każda z tych spółek musi odrębnie dokonać zgłoszenia inspektora w UODO.