W mojej opinii nie zmienia tego nowy poradnik UODO, opublikowany w lutym 2025 r., nawet jeśli można dopatrywać się w nim pewnego ograniczenia roli IOD-a w firmie. - Podpowiada Kancelaria Adwokacka Pałucki & Szkutnik
RODO wskazuje obowiązek posiadania IOD-a przez niektórych przedsiębiorców, dlatego powinieneś w pierwszej kolejności się upewnić, czy nie musisz go posiadać ze względu na obowiązujące przepisy. Bez względu na to postaram Ci się pokazać, w jakich przykładowych sytuacjach IOD może służyć Ci wartościowym wsparciem, co pomoże nam odpowiedzieć na pytanie czy posiadanie w 2025 r. dla każdego administratora ma sens.
Kiedy posiadanie IOD-a jest obowiązkowe?
Kwestie wyznaczenia inspektora ochrony danych osobowych reguluje art. 37 RODO. Pomijając fakt, że obowiązkiem wyznaczenia IOD-a obarczone są organy i podmioty publiczne (z wyjątkiem sadów), to może tak być również z podmiotami sektora prywatnego.
Kiedy w firmie zatem musi zostać wyznaczony IOD?
-gdy główną działalnością administratora lub podmiotu przetwarzania są operacje przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na duża skalę, lub
główną działalnością administratora lub podmiotu przetwarzającego jest przetwarzanie na dużą skalę szczególnych kategorii danych osobowych (art. 9 RODO) albo danych, które dotyczą wyroków skazujących i czynów zabronionych (art. 10 RODO).
Do tego czy przetwarzanie odbywa się na dużą skalę bierze się pod uwagę, między innymi: liczbę osób, których dane dotyczą, zakres geograficzny przetwarzania danych osobowych czy zakres przetwarzanych danych lub okres, w jakim są przetwarzane (według Grupy Roboczej art. 29).
Pomoc IOD-a przy analizie ryzyka
Jednym z podstawowych i najważniejszych aspektów związanych z przetwarzaniem danych w organizacji jest stosowna ocena ryzyka dokonywana przez administratora. Dobrze wykonana analiza ryzyka pozwoli na odpowiednie zabezpieczenie przetwarzanych danych. UODO w swoim nowym poradniku zaleca wręcz „podejście oparte na ryzyku”, aby dobrane przez administratora środki techniczne i organizacyjne były dostosowane do faktycznego ryzyka. Ocena ryzyka i dobranie stosownych środków zabezpieczających przetwarzanie danych stanowi obowiązek każdego administratora (art. 24 ust. 1 RODO). Musi on dokonać jej samodzielnie, ale dużym wsparcie może właśnie w tym wypadku okazać się IOD, który swoją wiedzą i doświadczeniem może doradzić administratorowi zarówno na etapie planowania przetwarzania, jak i w jego trakcie (privacy by design oraz privacy by default). IOD nie może wyręczyć w tym administratora, gdyż jak podkreśla PUODO w nowym poradniku, byłoby to konfliktem interesów, który z założenia ma czuwać nad poprawnością przetwarzania danych i oceniać postępowanie zgodne z przepisami RODO. Może on jednak stosownie doradzić i pomóc w ten sposób administratorowi w prawidłowym przeprowadzeniu tych operacji.
Pomoc IOD-a przy postępowaniu podczas wykrycia naruszenia danych osobowych
Wykrycie naruszenia danych osobowych to zapewne najbardziej stresujący moment dla każdego administratora, dlatego kluczowe jest, aby być na niego odpowiednio przygotowanym. Z jednej strony oczywiście bardzo ważne są czynności zapobiegające naruszeniem, jednak w praktyce bardzo mało prawdopodobne jest, aby nigdy w Twojej firmie do takiego incydentu nie doszło, gdyż mówiąc trywialnie, błądzić jest rzeczą ludzką, a to właśnie ludzkie błędy są najczęstszą przyczyną naruszeń danych osobowych. Tutaj ogromną rolę odgrywa IOD, który odgrywa niebagatelną rolę przy czynnościach zapobiegawczych, promowaniu odpowiedniej wiedzy wśród pracowników organizacji i uczenia stosownych reakcji na sytuację wykrycia incydentu. To właśnie odpowiednia reakcja, szybkie działanie pracownika może zapobiec w otrzymaniu ewentualnej kary grzywny od UODO.
IOD wspomaga właśnie odpowiednimi wskazówkami także przy zgłaszaniu przez administratora Prezesowi UODO naruszenia, gdyż pamiętaj o tym – nie każde naruszenie należy zgłaszać, ale każde trzeba koniecznie odpowiednio dokumentować. W tym ostatnim również dopomoże inspektor ochrony danych odpowiednim doradztwem zarządzania dokumentacją.Na naruszenie należy również stosownie zareagować środkami zapobiegawczymi, wprowadzeniem zabezpieczeń, a także zawiadomieniem osób, których dane dotyczą. IOD nie może wyręczyć w czynności zawiadomienia, ale odpowiednio monitorować sytuację i doradzić administratorowi w czynnościach, aby były one zgodne z przepisami RODO.
Pomoc IOD-a w rozpatrywaniu wniosków podmiotów danych
Artykuły RODO od 15 do 18 regulują prawa osób, których dane dotyczą do:prawa dostępu do danych;
-prawa sprostowania danych;
-prawa usunięcia danych;
-prawa do ograniczenia przetwarzania.
Podmioty danych mogą składać wnioski w związku z każdym powyższych przysługujących im praw i odpowiednia reakcja na takie wnioski leży w obowiązkach administratora. Ma 30 dni na rozpatrzenie takiego wniosku. Inspektor danych osobowych może wesprzeć Cię, służąc wiedzą i doradzając. Pamiętaj, że prawidłowa obsługa wniosków z pewnością w znacznym stopniu ograniczy możliwość wniesienia skargi w tej sprawie do Prezesa UODO.
Pomoc IOD-a w prowadzeniu rejestrów czynności i kategorii czynności przetwarzania
Każdy administrator oraz podmiot przetwarzający mają obowiązek prowadzenia rejestru czynności przetwarzania danych (ust. 1) oraz rejestru kategorii czynności przetwarzania (ust. 2), o czym mówi art. 30 RODO. Celem ich prowadzenia jest zachowanie zgodności z RODO i oraz współpraca z organem nadzorczym (motyw 82 RODO), a więc spełnienie zasady rozliczalności poprzez umożliwienie organowi nadzorczemu monitorowania, dzięki udostępnieniu rejestrów, operacji przetwarzania prowadzonych przez administratora.Obowiązek prowadzenia tych rejestrów jest skierowany bezpośrednio do administratora, ale IOD może jak najbardziej doradzać mu i wykorzystywać zawarte w rejestrach informacje do swojej pracy.
Zgodnie z art. 30 ust. 3 RODO rejestry powinny być prowadzone w formie pisemnej, ale nie ma odgórnego narzucenia wymagań postaci tej formy.
Pomimo pewnych ograniczeń dla roli IOD-a, które wydaje się wprowadzać nowy poradnik UODO, wydaje się, że w praktyce niewiele się zmieni. Inspektor ochrony danych dalej będzie stanowił wartościowe wsparcie dla administratora w bardzo wielu aspektach przetwarzania danych w firmie, za które odpowiedzialny jest właśnie administrator.
Nie wiesz jak się zachować podczas kontroli UODO? Koniecznie przeczytaj: https://paluckiszkutnik.pl/jak-przedsiebiorca-powinien-postepowac-podczas-kontroli-uodo-czy-potrzebna-mu-reprezentacja/
Komentarze (0)
Wysyłając komentarz akceptujesz regulamin serwisu. Zgodnie z art. 24 ust. 1 pkt 3 i 4 ustawy o ochronie danych osobowych, podanie danych jest dobrowolne, Użytkownikowi przysługuje prawo dostępu do treści swoich danych i ich poprawiania. Jak to zrobić dowiesz się w zakładce polityka prywatności.