Inspektor Danych Osobowych (IOD) – wsparcie w czynnościach ochrony danych osobowych

Każdy przedsiębiorca, po wejściu w życie RODO, powinien zastanowić się nad ryzykiem i dokonać analizy czy w organizacji powinien zostać powołany IOD. Jest on swego rodzaju ekspertem w ramach organizacji, który ma za zadanie wspierać ją w czynnościach związanych z przetwarzaniem danych osobowych. Jest on zatem odpowiedzialny za utrzymanie spójnego systemu ochrony danych osobowych w organizacji. Ponadto IOD jest ważnym źródłem informacji o wykonywanych operacjach na danych osobowych dla tych osób, których te dane dotyczą (m. in. klientów danej organizacji).

Do obowiązków IOD należy, w szczególności:

  • monitorowanie przestrzegania RODO oraz innych przepisów dotyczących ochrony danych osobowych;
  • wspieranie administratora w zakresie prowadzenia oceny skutków dla ochrony danych;
  • współpraca z organem nadzorczym i pełnienie funkcji punktu kontaktowego (umożliwienie organowi nadzorczemu dostępu do dokumentów i informacji w celu realizacji jego zadań);
  • wypełnianie swoich obowiązków z uwzględnieniem priorytetów z jednoczesną koncentracją na kwestiach pociągających za sobą wyższe ryzyko (podejście oparte na analizie ryzyka).

RODO przewiduje obowiązek wyznaczenia IOD dla administratorów i podmiotów przetwarzających wówczas, gdy:

  • przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę;
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Osoby mające sprawować nadzór nad systemem ochrony danych osobowych powinny gwarantować zdolność do zapewnienia bezpieczeństwa informacyjnego poprzez posiadanie fachowej wiedzy w obszarze prawa i praktyk w dziedzinie ochrony danych, przy jednoczesnym uwzględnieniu ryzyka związanego z realizowanymi przez organizacje procesami biznesowymi.