Artykuł 37 RODO wskazuje, kiedy należy wyznaczyć Inspektora Ochrony Danych:
"1.Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10."
W naszym artykule https://www.rodo.pl/post/konflikt-interesow-iod-ado, przypominamy, że w sytuacjach kiedy obowiązek wyznaczenia IOD, nie wynika wprost z przepisów, to zawsze należy pamiętać o tym, że wszystkie obowiązki IOD spoczywają na Administratorze, czyli organizacji.
Więcej na temat obowiązków Inspektora, piszemy tutaj https://www.rodo.pl/post/obowiazki-iod.
W dzisiejszym artykule chcemy przybliżyć kolejny krok, który polega na właściwym umocowaniu, powołanego IOD w strukturze organizacji.
W samym RODO wyróżnić można trzy najważniejsze aspekty dotyczące działań firmy podejmowanych wobec IOD.
Pierwszym obowiązkiem Administratora wskazanym przez twórców RODO i wskazanym w artykule 38 RODO, jest: " Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych."
Kluczowe jest więc angażowanie Inspektora we wszystkie kwestie dotyczące ochrony danych, już na pierwszym etapie procesu. Prosimy zwracać na to szczególną uwagę, gdyż w niektórych przypadkach włączenie IOD w tworzenie nowego rozwiązania, na zbyt późnym jego etapie może spowodować wywrócenie projektu o 180 stopni, a to w dalszej kolejności może wiązać się z dodatkowymi kosztami lub nawet zmianą warunków zamówienia. Pamiętajmy, że sama konsultacja jest również obowiązkiem Administratora, wynikającym z art. 25 RODO.
Aby wywiązać się więc z powyższego, w tym miejscu zacytujemy niezawodną Grupę Roboczą art. 29, która twierdzi, że "organizacja powinna zapewnić między innymi:
Udział DPO (IOD) w spotkaniach przedstawicieli wyższego i średniego szczebla organizacji;
Uczestnictwo DPO przy podejmowaniu decyzji dotyczących przetwarzania danych osobowych. Niezbędne informacje powinny zostać udostępnione DPO odpowiednio wcześniej, umożliwiając DPO zajęcie stanowiska;
Stanowisko DPO powinno być zawsze brane pod uwagę. GR Art. 29 zaleca, w ramach dobrych praktyk, dokumentowanie przypadków i powodów postępowania niezgodnego z zaleceniem DPO;
W przypadku stwierdzenia naruszenia albo innego zdarzenia związanego z danymi osobowymi należy natychmiast skonsultować się z DPO.
Sami w jako rodo.pl w celu uświadomienia pracownikom powyższych obowiązków, w naszych organizacjach wdrażamy dedykowaną instrukcję, w której wymienione są procesy, o których trzeba informować IOD. Dobrym sposobem spełnienia wskazanego obowiązku, jest też stworzenie odpowiedniego planu postępowania z ryzykiem i rekomendacjami wydanymi przez IOD.
Drugi kluczowy obowiązek Administratora wobec IOD.
Zapewnienie środków umożliwiających właściwą realizację zadań. Jak go realizować ? Tu znów posłużymy się odpowiednimi wytycznymi Grupy Artykułu 29.
"Następujące aspekty powinny zostać wzięte pod uwagę:
aktywne wsparcie funkcji DPO przez kierownictwo wyższego szczebla;
wystarczający czas, umożliwiający DPO wykonywanie zadań;
odpowiednie wsparcie finansowe, infrastrukturalne (pomieszczenia, urządzenia, wyposażenie) i kadrowe, w stosownych przypadkach;
oficjalne powiadomienie o wyznaczeniu DPO ;
dostęp do innych działów organizacji, dzięki czemu DPO mogą uzyskać niezbędne wsparcie, wkład lub informacje z tych innych działów;
ciągłe szkolenia"
Nie ostatni, ale trzeci kluczowy i równie ważny aspekt to zapewnienie Inspektorowi wystarczającej niezależności, poprzez umocowanie go w organizacji w taki sposób, aby nie dochodziło do konfliktu interesów. Ten wątek rozwinęliśmy we wcześniejszym artykule, tutaj https://www.rodo.pl/post/konflikt-interesow-iod-ado .
Podsumowując
Właściwie umocowany IOD, powinien być niezależny i niezwłocznie informowany przez wszystkich pracowników o wszystkich nowych, modyfikowanych procesach, a kierownictwo najwyższego szczebla powinno zawsze umożliwiać mu dostęp do wszystkich informacji, które umożliwią Inspektorowi właściwe wykonywanie swoich zadań.
Ważne jest również umocowanie IOD bezpośrednio pod osobą zarządzającą, tak aby informacja na temat wskazanych przez Inspektora rekomendacji, zawsze trafiała do osoby odpowiedzialnej za ewentualne nieprzestrzeganie przepisów RODO i dokumentowanie postępowania z tymi informacjami.
Pozdrawiamy,
Zespół rodo.pl