Inspektor ochrony danych (IOD) – osoba fizyczna wspierająca administratora danych w realizacji obowiązków dotyczących ochrony danych osobowych.
Zadania inspektora ochrony danych
Zgodnie z art. 37 ogólnego rozporządzenia o ochronie danych (RODO) do obowiązków IOD należy:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich UE o ochronie danych i doradzanie im w tej sprawie;
- monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich UE o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
- współpraca z organem nadzorczym;
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
Obowiązek wyznaczenia IOD
Zgodnie z art. 37 RODO administrator danych lub podmiot przetwarzający wyznaczają inspektora ochrony danych zawsze, gdy:
- przetwarzania dokonują organ lub podmiot publiczny[1], z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.
Administrator lub podmiot przetwarzający zawiadamia Prezesa UODO o wyznaczeniu IOD w ciągu 14 dni od dnia jego wyznaczenia[2]. Zawiadomienie musi być złożone elektronicznie i opatrzone kwalifikowanym podpisem elektronicznym albo podpisem zaufanym[3].
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 45/2001 z dnia 18 grudnia 2000 r.
Inspektor ochrony danych (czasami określany również jako urzędnik ds. ochrony danych) – osoba powoływana przez każdą instytucję lub organ Unii Europejskiej w celu zapewnienia stosowania przepisów Rozporządzenia Nr 45/2001 Parlamentu Europejskiego i Rady z 18 grudnia 2000 roku o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych. Ponadto doradza administratorom danych w kwestii wypełniania przez nich obowiązków w zakresie ochrony danych osobowych. W zakresie wykonywania swoich obowiązków jest niezależny.
Do szczegółowych zadań inspektora należy:
- zapewnienie, że administratorzy i podmioty danych (osoby fizyczne) są poinformowani o swoich prawach i obowiązkach wynikających z Rozporządzenia Nr 45/2001;
- odpowiadanie na prośby Europejskiego Inspektora Ochrony Danych i w ramach jego kompetencji współpraca z Europejskim Inspektorem Ochrony Danych na jego życzenie lub z własnej inicjatywy;
- zapewnienie w sposób niezależny wewnętrznego stosowania przepisów Rozporządzenia Nr 45/2001;
- prowadzenie rejestru operacji przetwarzania przeprowadzonych przez administratora;
- powiadamianie Europejskiego Inspektora Ochrony Danych o operacjach przetwarzania, które mogą spowodować konkretne zagrożenia dla praw i wolności podmiotów danych.
Inspektor ochrony danych może zostać powołany na okres od 2 do 5 lat. Możliwy jest ponowny wybór tej samej osoby na stanowisko inspektora z zastrzeżeniem, że nie można sprawować funkcji dłużej niż przez 10 lat. Każda instytucja lub organ, który powoła inspektora (lub inspektorów) zobowiązana jest go zgłosić do rejestru prowadzonego przez Europejskiego Inspektora Ochrony Danych.
Przypisy
- ↑ Organami lub podmiotami publicznymi są, zgodnie z art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych: jednostki sektora finansów publicznych (art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych), instytuty badawcze (art. 1 ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych) i Narodowy Bank Polski.
- ↑ Art. 10 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
- ↑ Art. 10 ust. 6 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.