Kto ma obowiązek wyznaczenia IOD-a?
Poza organami i podmiotami publicznymi art. 37 RODO wskazuje na obowiązek posiadania inspektora danych osobowych również przez przedsiębiorstwa prywatne. Dzieje się tak właściwie w dwóch przypadkach. Po pierwsze, gdy główną działalnością administratora lub podmiotu przetwarzającego są operacje przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Po drugie, może tak być w wypadku, kiedy główną działalnością administratora lub podmiotu przetwarzającego jest przetwarzanie na dużą skalę szczególnych kategorii danych osobowych (z art. 9 RODO) albo danych, które dotyczą wyroków skazujących i czynów zabronionych (z art. 10 RODO). Warto dodać, że nic nie stoi na przeszkodzie, aby wyznaczać IOD także w innych przypadkach, niewynikających bezpośrednio z przepisów. IOD może być jednak cennym wsparciem w bieżącej działalności administratora, stąd jego wyznaczenie może przynieść organizacji realne korzyści.
Jeśli prowadzisz firmę to powinieneś ocenić, czy Twoja firma nie zalicza się do jednej (lub obydwu) wyżej wspomnianych grup. Przypomnę, że za brak IOD-a, przy obowiązku jego posiadania, grozi kara wyznaczana przez Prezesa UODO. (więcej informacji https://paluckiszkutnik.pl/kiedy-nalezy-wyznaczyc-inspektora-ochrony-danych-i-jaka-jest-jego-rola-w-firmie/)
Nowy poradnik dotyczący naruszeń ochrony danych osobowych od PUODO
W lutym 2025 r. Prezes UODO udostępnił nowy poradnik dotyczący naruszeń ochrony danych osobowych[1]. Jest w nim także mowa o roli IOD-a w firmie i wielu ekspertów zwraca uwagę, że została ona zredukowana w stosunku do wcześniej obowiązujących wytycznych. Wiąże się to w teorii z podkreśleniem przez UODO niezależności funkcji inspektora ochrony danych – nie powinien on wykonywać obowiązków administratora w jego imieniu lub zastępstwie, gdyż musiałby wtedy oceniać operacje, które sam by wykonywał. W praktyce trudno powiedzieć czy treść nowego poradnika faktycznie zmieni coś w funkcjonowaniu IOD-a w firmie. Jedno jest jednak pewne- jego obecność w organizacji stanowi często nieocenioną pomoc dla administratora, źródło wiedzy, z którego można skorzystać w razie wszelkich wątpliwości, co pomoże zapewnić przedsiębiorstwu funkcjonowanie zgodne z RODO.
Na wsparcie IOD-a administrator może liczyć podczas najbardziej kryzysowych sytuacjach związanych z ochroną danych osobowych w firmie, jakimi są np. naruszenie danych osobowych, zgłaszanie incydentu do organu nadzorczego czy powiadamianie osób, których dane dotyczą. Inspektor może również służyć radą przy całej strategii bezpiecznego przetwarzania danych. IOD wspomaga administratora przy analizie ryzyka, doradza przy dokumentowaniu naruszeń i tworzeniu całej pozostałej dokumentacji, jak np. rejestrów czynności i kategorii czynności przetwarzania, ale także przede wszystkim pomaga w zapobieganiu naruszeniom, przykładowo promując w firmie wiedzę na temat bezpiecznego przetwarzania danych osobowych.
Co to ostatnie oznacza w praktyce?
Szkolenia RODO – ścisła współpraca z administratorem
W ramach obowiązków administratora, wyznaczonych art. 24 RODO, znajduje się między innymi dbanie o przeszkolenie swoich pracowników w znajomości aktualnych przepisów. Przy organizacji szkolenia RODO najlepszym ekspertem będzie z pewnością IOD i to właśnie z jego pomocy najlepiej powinien skorzystać administrator. Podkreślam tutaj współpracę na linii administrator-inspektor. Uwzględniając nowy poradnik od PUODO, administrator, który ponosi całą odpowiedzialność za poprawność przetwarzania danych w firmie, powinien wsłuchiwać się w sugestie i porady od swojego IOD-a, dzięki czemu łatwiej będzie mu decydować o organizacji szkoleń RODO- tj. z jaką częstotliwością powinny się odbywać, jaki powinien być ich zakres itp. Taka dobra współpraca może zaowocować zbudowaniem środowiska, w którym przepisy RODO będą nieobce dla żadnego pracownika.
Budowanie świadomości wśród pracowników na temat przepisów RODO oraz bezpiecznego przetwarzania danych osobowych jest bardzo ważne, ponieważ, jak wskazuje UODO, błędy wewnętrzne, czyli błędy wynikające często z niewiedzy, są najczęstszym źródłem naruszeń w firmach. Szkolenia RODO, w szczególności prowadzone przez eksperta, jakim jest IOD, pomagają wytworzyć odpowiedzialność i świadomość wśród pracowników organizacji na temat stosownych reakcji w wypadku incydentu naruszenia lub wobec takich sytuacji, które mogą prowadzić do potencjalnych zagrożeń. Stworzenie sprawdzalnej, a przede wszystkim zrozumiałej i znanej wszystkim struktury przetwarzania danych pozwoli niejednokrotnie uniknąć sytuacji, które mogą skończyć się wysokimi grzywnami. Zbudowanie takiego poczucia współodpowiedzialności stanowi z pewnością jeden z celów szkolenia RODO.
Art. 39 RODO, który mówi o zadaniach inspektora ochrony danych, wprost wymienia szkolenia pracowników uczestniczących w operacjach przetwarzania jako jedne z obowiązków IOD-a w firmie. Takie szkolenie często warto poprzedzić audytem RODO, którym również zajmie się inspektor. Audyt może dać odpowiedzi, które konkretnie działy w organizacji szczególnie wymagają w danej sytuacji przeszkolenia. Tu warto właśnie dodać, że szkolenie nie musi wcale obejmować całej firmy. Czasem specyfika problemu może wymagać, aby szkolenie RODO odbyło się np. dla samego działu HR lub marketingu.
W 2025 r. IOD wciąż pozostaje bardzo wartościowym wsparciem dla administratora, którego obowiązek prowadzenia działalności zgodnej z RODO, stanowi często wyzwanie, a jednocześnie niesie ze sobą niebezpieczeństwo potencjalnych kar i nadszarpniętego zaufania klientów.
Więcej na temat szkoleń rodo: https://paluckiszkutnik.pl/szkolenia-rodo-w-firmie-online-i-stacjonarne-praktyczny-przewodnik-po-szkoleniach-z-ochrony-danych-osobowych/
źródło:
https://paluckiszkutnik.pl/inspektor-ochrony-danych-osobowych-10-rzeczy-ktore-powinien-wiedziec-przedsiebiorca-przy-wyznaczaniu-iod/
[1] Porównaj: Poradnik na gruncie UODO. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych, https://uodo.gov.pl/pl/138/3561.
Wasze komentarze