Status Inspektora Ochrony Danych

Specjalista: Agata Kwaśniewska

Stanowisko: aplikantka radcowska w Kancelarii CZUBLUN TRĘBICKI

Data dodania: 26-01-2021

RODO przewiduje przypadki, w których powołanie Inspektora Ochrony Danych jest obligatoryjne, a także przypadki, w których jest to fakultatywne. Niezależnie jednak od tego, czy w danym podmiocie jest obowiązek powołania IOD, RODO wyznacza także pewne wymogi, które powinny zostać spełnione przez IOD oraz w stosunku do IOD tak, aby jego pozycja w ramach struktury organizacyjnej podmiotu, uprawnienia i obowiązki były zgodne z wymogami prawa.

Inspektor ochrony danych przede wszystkim powinien być właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Obowiązek zapewnienia tego spoczywa na administratorze oraz podmiocie przetwarzającym. Celem tego obowiązku prawnego jest zapewnienie, że IOD nie będzie wykluczany z działań związanych z przetwarzaniem danych w organizacji, ani nie będzie marginalizowany w ramach struktury organizacyjnej podmiotu. Nie spełni wymogów RODO powołanie IOD, który będzie pełnił jedynie funkcję fasadową. Żadne sprawy dotyczące ochrony danych osobowych nie powinny być załatwiane z pominięciem IOD.

Dodatkowo, IOD powinien mieć zapewnione zasoby niezbędne do wykonania swoich zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania wiedzy fachowej. Ten wymóg również zdaje się podkreślać, że funkcja inspektora nie może być iluzoryczna. Jeżeli IOD został wyznaczony, to obowiązkiem każdego administratora oraz podmiotu przetwarzającego jest wspieranie inspektora ochrony danych w wypełnianiu jego zadań, m.in. we wskazany powyżej sposób. Inspektor powinien także pogłębiać swoją wiedzę ekspercką w zakresie danych osobowych, utrzymując ją na poziomie pozwalającym mu na pełnienie swojej funkcji z zachowaniem profesjonalnych standardów.

Istotnym wymogiem związanym z usytuowaniem IOD w ramach struktury organizacyjnej podmiotu jest obowiązek zapewnienia, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania swoich zadań. W żadnym wypadku nie może on zostać odwołany ani ukarany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. W związku z tym inspektor ochrony danych powinien bezpośrednio podlegać najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Nie można bowiem dopuścić do sytuacji, w której IOD obawiałby się o swoją pozycję lub zatrudnienie z powodu prawidłowego wykonywania przez siebie zadań.

Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań - zgodnie z prawem Unii lub prawem państwa członkowskiego. Obowiązek zachowania tajemnicy zawodowej ma na celu m.in. ochronę praw osób, których dane dotyczą.

RODO przewiduje, że inspektor ochrony danych może wykonywać także inne zadania i obowiązki niż wprost przewidziane w rozporządzeniu. Administrator lub podmiot przetwarzający muszą jednak zapewnić, by takie zadania i obowiązki nie powodowały konfliktu interesów.

Rekomendacje CZTR:

Każdemu podmiotowi, w którym wyznaczono Inspektora Ochrony Danych, rekomendujemy przegląd aktualnej struktury organizacyjnej oraz faktycznych warunków sprawowania swojej funkcji przez IOD w celu zweryfikowania, czy pozycja, uprawnienia i obowiązki IOD są zgodne ze wskazanymi powyżej wymogami prawa.

Komentarze (0)
lista opinii