Przepisy RODO wskazują określone przypadki w których wyznaczenie inspektora ochrony danych (IOD) jest obligatoryjne. Zgodnie z art. 37 ust. 1 RODO wyznaczenie IOD jest obowiązkowe zawsze gdy:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczelnych kategorii danych osobowych, o których mowa w art. 9 RODO (tzw. „dane wrażliwe”) lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO.
Jeśli zachodzi którakolwiek ze wskazanych wyżej przesłanek brak wyznaczenia IOD w świetle art. 83 ust. 4 lit. a RODO może skutkować nałożeniem administracyjnej kary pieniężnej w kwocie do 10 000 000 euro, a w przypadku przedsiębiorstwa do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. W przypadku dużych przedsiębiorstw, przetwarzających dane osobowe na dużą skalę konieczne może być nawet powołanie zespołu IOD, wspierającego go w realizacji jego zadań, aby miał on zapewnione odpowiednie zasoby dla ich realizacji.
Wyznaczenie IOD w innych przypadkach jest wprawdzie fakultatywne, jednak warto mieć na uwadze, że wyznaczenie takiej osoby może przynieść wymierne korzyści dla organizacji. Nawet jeśli wyznaczenie IOD nie jest obowiązkowe, każdy podmiot, który w ramach prowadzonej działalności przetwarza dane osobowe (niezależnie od skali tej działalności) i tak zobowiązany jest do stosowania przepisów o ochronie danych osobowych. W związku z powyższym wyznaczenie IOD może okazać się dobrym rozwiązaniem w większości dużych i średnich przedsiębiorstw nawet, jeśli na podstawie art. 37 ust. 1 RODO nie są one zobowiązane do wyznaczenia takiej osoby. Fachowy IOD powinien pomagać organizacji, która go wyznaczyła przestrzegać przepisów RODO, w tym wspierać ją we wszystkich aspektach związanych z realizowaniem poszczególnych wymogów wynikających z RODO (np. w zakresie przestrzegania podstawowych zasad przetwarzania danych, prowadzenia rejestru czynności przetwarzania, zapewniania realizacji praw podmiotów danych, przeprowadzania analizy ryzyka i wdrażania środków technicznych i organizacyjnych mających zapewnić odpowiedni stopień bezpieczeństwa danych osobowych, przeprowadzania oceny skutków dla ochrony danych, wyjaśniania incydentów i zgłaszania naruszeń ochrony danych do organu nadzorczego oraz zawiadamiania podmiotów danych o naruszeniu, etc.).
Zgodnie z art. 39 ust. 1 RODO IOD powinien realizować następujące zadania mające na celu wspieranie w obszarze ochrony danych osobowych podmiotu, który go wyznaczył:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów RODO oraz innych przepisów o ochronie danych osobowych i doradzanie im w tej sprawie;
- monitorowanie przestrzegania przepisów RODO oraz innych przepisów o ochronie danych osobowych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
- współpraca z organem nadzorczym;
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
W związku z tym wyznaczenie IOD w tych przypadkach, w których nie jest ono obligatoryjne powinno być uznane za dobrą praktykę (np. w przypadku podmiotów z branży produkcyjnej zatrudniających dużą liczbę pracowników). Zgodnie z wytycznymi Grupy Roboczej art. 29 dotyczącymi inspektorów ochrony danych (WP 243 rew. 01) poziom wiedzy fachowej IOD powinien być przy tym współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach danej jednostki, a kwalifikacje zawodowe powinny obejmować dogłębną znajomość krajowych i europejskich przepisów o ochronie danych (w tym RODO), jak również wiedzę na temat operacji przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych przez podmiot, który go wyznaczył i jego potrzeb w zakresie ochrony danych. Podmiot wyznaczający IOD powinien zapewnić przy tym takiej osobie zasoby niezbędne do realizacji jego zadań. IOD może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać swoje zadania na podstawie umowy o świadczenie usług (np. jako zewnętrzny specjalista). IOD nie musi w każdym przypadku współpracować z administratorem lub podmiotem przetwarzającym w wymiarze odpowiadającym pełnemu etatowi, ponieważ nie zawsze będzie to konieczne. Ważne jest jednak, aby w ramach czasu poświęcanego na realizację swoich zadań IOD mógł je prawidłowo realizować.
Jeśli wyznaczenie IOD nie jest w danym przypadku obowiązkowe alternatywą dla wyznaczenia IOD może być natomiast powołanie osoby o podobnych kompetencjach (np. specjalisty ds. ochrony danych osobowych), odpowiadającej za wsparcie organizacji przy zapewnieniu zgodności z wymogami RODO. Takie rozwiązanie może bardzo dobrze sprawdzać się zwłaszcza w mniejszych podmiotach. Taka osoba nie musi wówczas formalnie pełnić funkcji IOD, może jednak realizować podobne działania o charakterze doradczym pomagając zapewnić zgodność z wymogami prawnymi w ramach procesów związanych z przetwarzaniem danych osobowych. Także w tym przypadku nadal istotne pozostaje zapewnienie odpowiedniego stopnia fachowości takiego specjalisty.
Brak osoby zapewniającej profesjonalne wsparcie w obszarze ochrony danych osobowych wcześniej czy później odbije się negatywnie na poziomie zgodności z RODO, co może prowadzić do poważanych konsekwencji dla każdej organizacji. W związku z tym wyznaczenie IOD pozostaje często racjonalnym rozwiązaniem nawet, jeśli w danym przypadku nie jest to obligatoryjne. Warto także alternatywnie rozważyć powołanie osoby pełniącej podobną funkcję, w celu zapewnienia stałego, profesjonalnego wsparcia w obszarze ochrony danych osobowych.
Jeśli jesteś zainteresowany oddelegowaniem funkcji IOD na zewnątrz Twojej organizacji zapoznaj się z naszą ofertą outsourcingu funkcji IOD.