Kim jest inspektor ochrony danych osobowych
Szukasz odpowiedzi na pytanie, czy masz obowiązek powołania inspektora ochrony danych? A może interesują cię informacje na temat jego uprawnień i obowiązków? Czy też zastanawiasz się, czy inspektor podlega zgłoszeniu do Prezesa UODO? W artykule znajdziesz wiadomości na temat:
- Kto ma obowiązek powołać inspektora ochrony danych,
- Jaki jest status inspektora ochrony danych,
- Jakie zadania wykonuje inspektor ochrony danych,
- W jakich terminach należy zgłosić inspektora lub jego zmianę Prezesowi UODO?
Kto ma obowiązek powołać inspektora
RODO wymienia trzy kategorie podmiotów, w których należy ustanowić stanowisko inspektora ochrony danych osobowych, są to:
- podmioty publiczne, przez które na gruncie prawa polskiego należy rozumieć jednostki sektora finansów publicznych, instytuty badawcze oraz Narodowy Bank Polski,
- podmioty, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę – do tej kategorii zalicza się portale internetowe gromadzące dane osobowe znacznej liczby użytkowników, pracodawców gromadzących dane biometryczne dużej liczby pracowników w celu ich identyfikacji, podmioty korzystające z monitoringu wizyjnego na dużą skalę,
- podmioty, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa – będą to w szczególności szpitale i placówki medyczne (w zakresie szczególnych kategorii danych osobowych), instytucje i podmioty przetwarzające na dużą skalę informacje o wyrokach i innych naruszeniach prawa.
Co ważne, obowiązek wyznaczenia inspektora ochrony danych spoczywać może zarówno na administratorze danych osobowych, jak i na podmiocie przetwarzającym.
Jaki jest status inspektora ochrony danych
Inspektor ochrony danych:
- jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań mu przypisanych,
- może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.
W związku z powołaniem inspektora ochrony danych w firmie, należy zapewnić przestrzeganie następujących zasad:
- inspektor ochrony danych powinien być niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych,
- administrator oraz podmiot przetwarzający zapewniają inspektorowi zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej,
- inspektor ochrony danych nie może otrzymywać instrukcji dotyczących wykonywania jego zadań,
- inspektor nie może być odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań,
- inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego,
- inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań,
- inspektor ochrony danych może wykonywać inne zadania i obowiązki, jeżeli takie zadania i obowiązki nie powodowały konfliktu interesów.
Zadania inspektora ochrony danych
Inspektor ochrony danych ma następujące zadania:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii Europejskiej [UE] lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
- monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów UE lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
- współpraca z organem nadzorczym;
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
Zgłoszenie inspektora ochrony danych Prezesowi UODO
Administrator danych albo podmiot przetwarzający, który wyznaczył inspektora ochrony danych zawiadamia Prezesa UODO, o jego wyznaczeniu, w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora. Co więcej, o każdej zmianie zgłoszonych uprzednio danych, w tym o odwołaniu inspektora, należy zawiadomić Prezesa UODO w terminie 14 dni od dnia zaistnienia zmiany,
Zawiadomienia sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP, Prezes UODO wpisuje zgłoszonych inspektorów do wewnętrznej ewidencji, która nie jest ogólnodostępna.