Modele działania funkcji Inspektora Ochrony Danych

Inspektor Ochrony Danych – tę funkcję mogą lub są zobowiązani powołać administratorzy danych i podmioty przetwarzające zgodnie z art. 37 RODO. Przepis ten nie tylko wskazuje podstawy do obligatoryjnego wyznaczenia funkcji IOD, ale także daje możliwość powołania Inspektora w różnych wariantach.

IOD, a więc następca administratora bezpieczeństwa informacji (ABI), może funkcjonować jako osoba zatrudniona w zakładzie pracy administratora danych. Może to być także osoba z zewnątrz organizacji, świadcząca usługę jako współpracownik w ramach outsourcingu IOD, który to outsourcing świadczą doświadczone firmy z branży.

Jak mogą poradzić sobie z tym zagadnieniem grupy kapitałowe i duże międzynarodowe korporacje?

Te podmioty mogą powołać Data Protection Officer (DPO) w ramach kilku modeli.

Po pierwsze, osoba pełniąca funkcję IOD/DPO może ją pełnić jako wewnętrzny pracownik, lub w ramach outsourcingu IOD (outsourcingu DPO) dla wszystkich spółek korporacji. Wtedy każda ze spółek grupy zgłasza jedną osobę, jako globalnego DPO do właściwego wg siedziby każdej ze spółek organu nadzorczego.

Kolejna opcja, to powołanie globalnego DPO zgodnie z powyższym opisem, a dodatkowo powołanie lokalnych koordynatorów ds. danych osobowych w poszczególnych spółkach grupy. Koordynatorów ochrony danych (KOD), będących lokalnym wparciem dla DPO nie zgłasza się do organu nadzorczego, ważne jednak by pracownicy przetwarzający dane osobowe w organizacji mieli świadomość w jaki sposób mogą się skontaktować ze swoim lokalnym KOD i lokalnym DPO i jaki jest podział odpowiedzialności obu tych funkcji, tj. na wsparcie w jakim zakresie można liczyć od osób pełniących powyższe funkcje.

Istnieje także możliwość by powołać lokalnych IOD, zgłaszanych do urzędu zgodnie z przepisami poszczególnych państw członkowskich (w  Polsce zgodnie z art. 10 ustawy o ochronie danych osobowych z 10 maja 2018r.) oraz globalnego koordynatora ds. ochrony danych, który wpierałby lokalnych Inspektorów w zakresie ujednolicenia prowadzonych w grupie działań biznesowych, w ramach których przetwarzane są dane osobowe.

Niezależnie od wybranego modelu, należy  pamiętać o terminach i sposobie zgłaszania IOD do organu nadzorczego. Do UODO zgłosić Inspektora można jedynie w sposób elektroniczny, za pomocą kwalifikowanego podpisu elektronicznego albo podpisu potwierdzonego profilem zaufanym ePUAP wykorzystując w tym celu formularz dostępny na stronie www.uodo.gov.pl.

Każdy nowy administrator powinien zostać zgłoszony do Urzędu Ochrony Danych w ciągu 14 dni od chwili jego powołania w organizacji. Podmioty, które miały wyznaczonego ABI, zgodnie ze starymi przepisami, i decydują się na kontynuację współpracy, zgłaszają Inspektora do 1 września br.

Angelika Niezgoda

Autor

Angelika Niezgoda

Od kilku lat zajmuje się tematyką ochrony danych osobowych i bezpieczeństwa informacji. Jako certyfikowany Inspektor Ochrony Danych prowadzi audyty bezpieczeństwa danych i czuwa nad projektowaniem i wdrażaniem procedur ochrony danych osobowych zgodnych z wymogami RODO.