Doprecyzuj zadania Inspektora Ochrony Danych - Wskazówki

Doprecyzuj zadania Inspektora Ochrony Danych

Wielu z Administratorów przetwarzających dane osobowe na dużą skalę m.in. w sektorze publicznych wyznaczyło Inspektorów Ochrony Danych (dalej IOD). W artykule podpowiem jak prawidłowo określić zadania i obowiązki Inspektora Ochrony Danych. Art. 39 RODO daje nam jedynie pośrednią odpowiedź jakie zadania spoczywają na IOD, w naszej opinii dla zapewnienia zgodności niezbędne jest doprecyzowanie jak w danej organizacji są one realizowane.

Informowanie Administratora

Art. 39 lit. a) informowanie administratora, podmiotu przetwarzającego oraz pracowników o ich obowiązkach wynikających z RODO.

Określ w jakiej formie przekazywane będą takie informacje, nie oszukujmy się zasada rozliczalności i duża odpowiedzialność wynikająca z RODO przemawia za sporządzaniem pisemnych opinii przez Inspektora Ochrony Danych. Ważne jest również ustalenie kontaktu do Inspektora Ochrony Danych, nierzadko zdarza się, że pracownicy czy też podwykonawcy nie wiedzą w jaki sposób zwrócić się do IOD. W klauzulach przekazywany jest najczęściej adres email lub telefon kontaktowy, ważne żeby te informacje były odpowiednio rozpowszechnione i znane w danej organizacji.

Monitorowanie przestrzegania przepisów o ochronie danych osobowych

Art. 39 lit. b) monitorowanie przestrzegania przepisów o ochronie danych osobowych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

Monitorowanie przestrzegania przepisów o ochronie danych osobowych zwykle odbywa się poprzez realizację audytów przez Inspektora Ochrony Danych. Przepis w tym zakresie jest ogólny, stąd też zalecamy doprecyzowanie w jakich odstępach czasowych mają być realizowane audyty. Dobrą praktyką jest również zaplanowanie działań audytowych np. w formie planu, który powinien być skonsultowany z zainteresowanymi stronami i zaakceptowany przez administratora. Zastanów się audyty powinny być realizowane doraźnie np. podczas powstania podejrzeń o wystąpieniu naruszenia ochrony danych.

Działania zwiększające świadomość i szkolenie personelu – określ w jaki sposób zostanie przeszkolony personel rozpoczynający pracę w organizacji. Zaplanuj szkolenia okresowe i ich zakres, weź pod uwagę zakres obowiązków kadry, która będzie szkolona. Zbierz listy obecności i przygotuj odpowiednie materiały szkoleniowe.

Zalecenia co do oceny skutków dla ochrony danych

Art. 39 lit. c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35

Przy tworzeniu planu audytu warto również uwzględnić działania, które organizacja powinna realizować okresowo mogą to być np. inwentaryzacja czynności, analiza ryzyka, ocena skutków dla ochrony. Uwzględnienie tego w planie pozwoli na odpowiednie zaplanowanie procesu oceny skutków wraz z wydaniem zaleceń czy też koordynowaniem procesu przez Inspektora Ochrony Danych.

Współpraca z Prezesem Urzędu Ochrony Danych Osobowych

d) współpraca z organem nadzorczym;

e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Tutaj zalecamy zastanowienie się nad kwestią, kto będzie kontaktował się w organem nadzorczym w kwestiach takich jak, zmiana Inspektora Ochrony Danych oraz zgłoszenie naruszeń ochrony danych. Jeżeli nie jest to administrator należy wydać stosowne pełnomocnictwo w tym zakresie oraz dokonać opłaty skarbowej.

Podział zadań

Przy ustalaniu polityk ochrony danych zadbaj również o określenie zadań związanych z:

  • Prowadzenie rejestrów czynności (art. 30 RODO) kto dokonuje wpisów do rejestru, kto odpowiada za przekazywanie aktualnych informacji.
  • Wydawanie upoważnień i zbieranie oświadczeń dot. poufności – kto odpowiada za przygotowanie upoważnienia, kto będzie prowadzić ewidencję osób upoważnionych.
  • Tworzenie polityk ochrony danych i jej przeglądy
  • Realizacja procesu analizy ryzyka (art. 32 RODO) dla wdrażanych środków bezpieczeństwa
  • Realizacja procesu oceny skutków dla ochrony danych (art. 35 RODO)

Zalecamy doprecyzowanie wszystkich wyżej wymienionych kwestii oraz ustalenie roli Inspektora Ochrony Danych w wskazanych zadaniach. Należy pamiętać, aby nie doszło do konfliktu interesów czyli, żeby IOD nie sprawdzał sam swoich zadań.