Modele funkcjonowania organizacji z IOD i bez IOD – zalety i wady

W sytuacjach, w których przepisy RODO obligują administratora danych do wyznaczania Inspektora Ochrony Danych (dalej IOD), nie ma on wyboru i musi powołać osobę pełniącą taką funkcję. Jest jednak grupa przedsiębiorstw, w których choć nie ma obowiązku obligatoryjnego wyznaczenia IOD, administratorzy danych albo zastanawiają się, czy nie wyznaczyć IOD, albo go wyznaczyli.

W niniejszym dziale zostaną przedstawione zalety oraz wady wyznaczania IOD w sytuacji, gdy przepisy RODO nie zobowiązują do tego administratora danych. Czy zatem dobrowolne wyznaczenie IOD może być korzystne dla
administratora danych?

Zalety wyznaczenia IOD

W pierwszej kolejności należy wskazać, że powołanie IOD może ułatwić przestrzeganie przepisów RODO. Obowiązki IOD koncertują się wokół udzielania zaleceń i czuwania nad prawidłowością przestrzegania wymogów RODO przez administratora danych. Zgodnie z art. 39 ust. 1 RODO zadania IOD to m.in.:

  • informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów o ochronie danych i doradzanie im w tej sprawie,
  • monitorowanie przestrzegania RODO, innych przepisów o ochronie danych oraz polityki administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków,
  • działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania,
  • przeprowadzanie audytów.

Warto przy tym zaznaczyć, że wszelkie zalecenia i wytyczne RODO należy dokumentować1.

Prawidłowo realizowane zadania przez IOD przyczyniają się do przestrzegania zasady rozliczalności (art. 5 ust. 2 RODO), gdyż administrator danych jest w stanie bez problemu wykazać i uzasadnić, dlaczego projektując system przetwarzania danych osobowych, przyjął takie, a nie inne rozwiązania.

Warto także zaznaczyć, że wyznaczenie IOD przyczynia się do wzrostu wśród pracowników administratora danych świadomości zagrożenia związanego z ochroną danych osobowych, ale także wiedzy w zakresie przeciwdziałania incydentom naruszenia bezpieczeństwa danych osobowych. W konsekwencji wzrasta standard ochrony danych osobowych u administratora danych, co pociąga za sobą wzrost jakości obsługi klientów.

W tym kontekście wyznaczenie IOD niewątpliwie przyczynia się do wzrostu konkurencyjności przedsiębiorstwa. Świadomi klienci cenią sobie bezpieczeństwo danych, zwłaszcza w tych branżach, w których jest to niezbędny element codziennego funkcjonowania firmy (są to np. branże związane z szeroko rozumianym IT). Obecność IOD pomaga w zwiększaniu przejrzystości zasad ochrony danych osobowych.

Kolejną istotną zaletą wyznaczenia IOD jest możliwość przeprowadzenia konsultacji z IOD w problematycznych kwestiach. Na ten aspekt funkcjonowania IOD zwraca uwagę Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO), który w artykule opublikowanym w newsletterze dla Inspektorów Ochrony Danych, nr 6/2019 (6) wrzesień 2019, pt.: „Problemy z zakresu ochrony danych osobowych administrator najpierw powinien konsultować z IOD”.

W powołanym artykule IOD podnosi, że „wiele podmiotów mających wątpliwości co do zastosowania w konkretnych przypadkach przepisów RODO, z pytaniami w takich sprawach zwraca się wprost do UODO. Niesłusznie pomija
przy tym swojego inspektora ochrony danych (IOD)”2.

Zgodnie ze stanowiskiem PUODO, w sytuacjach budzących wątpliwości, administrator danych powinien przede wszystkim skonsultować się ze swoim IOD, którego zadaniem jest poddanie danego przypadku szczegółowej analizie i przedstawienie opinii na ten temat. Dopiero w dalszej kolejności, jeżeli wymagają tego okoliczności danej sytuacji, to IOD może zwrócić się do UODO z prośbą o konsultację3. Wyznaczając IOD w swojej organizacji, administrator danych zyskuje osobę, która będzie dla niego wsparciem w codziennych problemach związanych z przestrzeganiem przepisów RODO i która pomoże mu w uzyskaniu stanowiska PUODO w sytuacjach szczególnie skomplikowanych.

Wśród zalet wyznaczenia IOD trzeba także omówić zadania IOD, które polegają na pełnieniu funkcji punktu kontaktowego dla PUODO oraz dla osób, których dane dotyczą. Warto podkreślić, ze w takich przypadkach IOD odgrywa rolę pośrednika pomiędzy tymi podmiotami. Jest to szczególnie istotne w sytuacjach, kiedy prowadzona jest korespondencja z PUODO (np. w związku z koniecznością udzielenia PUODO informacji albo w związku ze złożoną skargą). Administrator danych ma wtedy pewność, że zadania w tym zakre...

Dalsza część jest dostępna dla użytkowników z wykupionym planem