Czy warto powołać Inspektora Ochrony Danych? W tym wpisie przedstawiam plusy i minusy wyznaczenia Inspektora Ochrony Danych lub osoby pełniącej podobną funkcję w organizacji. To jest lista kwestii, które trzeba wziąć pod uwagę. Nie ma tu znaczenia, czy nasza organizacja musi powołać IOD, czy jest to dobrowolność administratora danych. Przytoczone poniżej powody znajdą zastosowanie zarówno w jednym, jak i drugim przypadku.

Inspektor Ochrony Danych nie jest nową rolą związaną z ochroną danych osobowych. Jednak dopiero na gruncie uprawnień nadanych mu przez RODO jego pozycja w organizacjach publicznych i prywatnych znacznie wzrosła. Częściowo przez to, że od 25 maja 2018 r. stało się jasne lub prawie jasne, które podmioty powinny powołać Inspektora Ochrony Danych. Drugi powód wzmocnienia roli Inspektora to nadanie mu uprawnień kontrolnych i nadzorczych względem działań administratora danych. 

 

Czy warto powołać Inspektora Ochrony Danych?

Osoba, która będzie pełnić funkcję Inspektora Ochrony Danych nie musi być pracownikiem Twojej organizacji.

Jeśli Twoja organizacja nie ma obowiązku powołania Inspektora Ochrony Danych wynikającego z art. 37 RODO to nadal może to zrobić dobrowolnie. O tym dlaczego i kiedy warto zdecydować się na ten krok piszę poniżej.

Osoba, która będzie pełnić funkcję Inspektora Ochrony Danych nie musi być pracownikiem Twojej organizacji. IOD może działać na podstawie umowy cywilno-prawnej. Ważne jest, aby w umowie o współpracy został wskazany z imienia i nazwiska. Inspektor Ochrony Danych musi być bowiem osobą fizyczną. Osoba spoza organizacji z jednej strony może mieć większą łatwość w rozpoznawaniu zagrożeń. Dzieje się tak dlatego, że nie będąc w jej strukturach jest zwykle bardziej obiektywna. Nie ma też obawy w wyrażaniu swojego zdania wobec administratora danych. A ten aspekt braku niezależności jest często podnoszony przez osoby pełniące funkcję IOD. Najczęściej jest tak tam, gdzie Inspektor pracuje tylko na część etatu i ma jeszcze do wykonania zadania na innym stanowisku.

Z drugiej strony, zatrudniając na stanowisko Inspektora Ochrony Danych osobę na umowę B2B trzeba zwrócić uwagę na komunikację. Ważne jest to, w jaki sposób i z jaką częstotliwością będziemy się z nim komunikować. Współpraca na linii zarząd lub kierownik jednostki organizacyjnej a Inspektor Ochrony Danych jest kluczowa do zapewnienia bieżącej wymiany informacji. Bez danych o obecnych i planowanych czynnościach przetwarzania Inspektor nie będzie w stanie należycie pełnić swojej funkcji.

Inspektor Ochrony Danych jest swego rodzaju gwarantem przestrzegania przepisów ochrony danych osobowych w organizacji, w której pełni tę funkcję.

Powołanie IOD zapewnia organizacji dostęp do profesjonalnej wiedzy, podnosi świadomość pracowników i może pomóc wyeliminować wiele niespójności i naruszeń danych, do których mogłoby dojść, gdyby nie sprawować nad nimi kontroli.

Inspektor Ochrony Danych to także wizytówka firmy i instytucji. Jego powołanie to  zapewnienie, że dane klientów, kontrahentów i petentów są u nas bezpieczne.

Ujawnienie danych Inspektora Ochrony Danych.

Jeśli zdecydujemy się na powołanie Inspektora Ochrony Danych to oprócz jego zgłoszenia do Urzędu Ochrony Danych Osobowych trzeba pamiętać o ujawnieniu jego danych na stronie internetowej. Jeśli organizacja nie posiada takiej strony to należy te dane umieścić w miejscu prowadzenia działalności.

Dane Inspektora Ochrony Danych muszą być łatwo dostępne.

Dane Inspektora Ochrony Danych muszą być łatwo dostępne. Ze swojego doświadczenia wiem, że bardzo wiele organizacji ogranicza się tylko do podania informacji, że Inspektor, owszem został powołany, ale bez podania jego danych osobowych i kontaktowych.

Według art. 11 ustawy o ochronie danych osobowych z 10 maja 2018 roku, co zresztą potwierdza Prezes Urzędu Ochrony Danych Osobowych, organizacje, które powołały Inspektora Ochrony Danych zobowiązane są do umieszczenia publicznie jego danych. Wymagane dane IOD to imię i nazwisko oraz adres e-mail lub numer telefonu do niego.

Jak to w praktyce zrealizować? Jeżeli organizacja posiada własną stronę internetową, należy dodać na niej zakładkę “RODO”, “IOD”, “Ochrona Danych Osobowych” lub “Kontakt” i tam zawrzeć te informacje. Jeżeli jednak działalność organizacji odbywa się wyłącznie w jej fizycznej siedzibie, dane Inspektora powinny być umieszczone w ogólnie dostępnym miejscu. Zabronione jest ukrywanie informacji o IOD, np. w trudno dostępnym miejscu siedziby administratora albo w aktualnościach strony.

 

Co daje nam ujawnienie IOD?

Dzięki ujawnieniu danych Inspektora Ochrony Danych każdy pracownik, klient, petent, czy pacjent będzie mógł wyszukać taką osobę i skontaktować się z nią. Dzięki temu może, np.  zapytać o swoje dane lub zgłosić wątpliwości dotyczące ich przetwarzania. A dostęp do treści danych jest uprawnieniem każdej osoby, której dane dotyczą i musimy zapewnić, aby otrzymała ona informacje na temat tego kto, od kiedy i w jakim celu przetwarza jej dane. W mojej ocenie Inspektor Ochrony Danych jest tego gwarantem i choćby z tego względu warto go powołać.

Z mojej praktyki wynika także, że ujawnienie danych Inspektorów Ochrony Danych przyczynia się do lepszej komunikacji między dwoma organizacji. Najczęstrzym przykładem jest umowa powierzenia między administratorem a  podmiotem przetwarzający.  Dzięki temu w kwestiach, które dotyczą przetwarzania danych łatwiej jest się porozumieć. Od razu można się skontaktować z osobą merytoryczną w drugim podmiocie. Nie traci się wtedy czasu na negocjacje zapisów umowy powierzenia z osobami, które nie mają odpowiedniej wiedzy.

Minusy powołania Inspektora Ochrony Danych.

Trzeba jednak pamiętać, że są także minusy powołania Inspektora Ochrony Danych. Inspektor Ochrony Danych będzie nieustanie sprawdzał Twoją organizację i motywował do doskonalenia systemu ochrony danych. Pod tym względem IOD jest niezastąpiony. Znajdzie każdy błąd i wskaże, jak go naprawić. Ten minus to oczywiście sarkazm. To naturalne, że nie lubimy być kontrolowani, ale taki „nasz” wewnętrzny kontroler jest na wagę złota. Lepiej dzisiaj zdać sobie sprawę z tego, co trzeba uzupełnić, co powinno lepiej działać, niż narażać się na takie ryzyko w przyszłości. Tym ryzykiem często nie jest tylko kara finansowa. Jest nim utrata zaufania do organizacji i jej marki. UODO może także nakazać wstrzymanie przetwarzania lub usunięcie danych, które pozyskano niezgodnie z prawem. Często ryzyko utraty danych, które często służą  przetrwaniu i celom statutowym organizacji przemawia lepiej do świadomości niż kara administracyjna?

Powołanie IOD i co dalej?

Samo powołanie Inspektora nie wyczerpuje obowiązków organizacji związanych z dostosowaniem się do wymogów RODO. Po powołaniu IOD administrator danych osobowych powinien ustalić plan działania. Zgodnie z nim warto zmierzać do wprowadzenia poszczególnych wymogów ochrony danych w organizacji. Inspektor Ochrony Danych będzie służył radą i wsparciem, a także monitorował przestrzeganie przepisów przez administratora danych i jego pracowników.

error: Nie kopiujemy!