Dlaczego firmie potrzebny jest Inspektora Ochrony Danych i dlaczego nie każda musi go mieć

Nie każda firma musi mieć Inspektora Ochrony Danych (w skrócie: IOD). W takim razie na pewno zastanawiasz się, które muszą i czy twoja firma zalicza się do nich.

Podmioty, które obligatoryjnie muszą mieć IOD to:

1. organ publiczny (z wyjątkiem sądów lub niezależnych organów wymiaru sprawiedliwości w ramach sprawowania wymiaru sprawiedliwości),
2. podmiot prywatny, którego główna działalność polega na:

• operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą,
• przetwarzanie odbywa się na dużą skalę lub
• jeżeli główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Po tych informacjach, twoim zadaniem jest przeanalizowanie, czy wymienione przesłanki dotyczą twojej firmy. Mogę cię zapewnić, że jeżeli prowadzisz działalność (a nie hobby od czasu do czasu) to przetwarzanie ma charakter regularny.

Sprawdź zatem pozostałe przesłanki.

Czy odbywa się na dużą skalę to już inna kwestia. Pomyśl, ilu masz klientów miesięcznie, kwartalnie, jak duży jest rynek usług które świadczysz, jak duża konkurencja, jaki procent osób korzysta z oferty twojej firmy, w porównaniu z innymi firmami świadczącymi podobne lub identyczne usługi.

Czy przetwarzasz dane osobowe zaliczające się do szczególnej kategorii danych, tj. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne, przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, jak również dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby.

Czy szef musi się znać na RODO?

Podstawowym zadaniem IOD jest pomoc administratorowi lub podmiotowi przetwarzającemu dane we wszystkich kwestiach związanych z ochroną danych osobowych.

Dlatego prezes firmy nie musi być specjalistą RODO, bo ma od tego Inspektora. Jednak uwaga, posiadanie w strukturze firmy IOD nie zwalnia z obowiązków administratora (czyli właściciela, zarząd itd.).

Przepisy nie mówią, że jak masz IOD to możesz spokojnie usiąść i temat ciebie nie interesuje. To znaczy, że masz u siebie specjalistę i jeśli pojawią się pytania, wątpliwości, pracownik nie będzie wiedział, jak postąpić – zasięgniesz opinii Inspektora.

Co robi Inspektor Ochrony Danych?

Rozporządzenie o ochronie danych używa zwrotu, że administratorzy powinni być wspomagani przez osobę dysponującą wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych (motyw 97).

Wspomaganie administratora. To najkrótsza odpowiedź, na pytanie po co jest Inspektor Ochrony Danych.

Jednak podchodząc bardziej szczegółowo, można wyróżnić, konkretne czynności, które podejmuje IOD, a które polegające na:

• informowaniu i doradzaniu administratorowi lub podmiotowi przetwarzającemu, jak również ich pracownikom, w zakresie ich obowiązków wynikających z przepisów prawa o ochronie danych,
• monitorowaniu zgodności organizacji z wszystkimi przepisami prawa dotyczącego ochrony danych, w tym audyty, działania podnoszące świadomość, a także szkolenia dla personelu zajmującego się przetwarzaniem danych,
• udzielaniu zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,
• pełnieniu funkcji punktu kontaktowego dla osób fizycznych składających wnioski i żądania dotyczące przetwarzania ich danych osobowych i wykonywania ich praw,
• współpracy z organami ochrony danych i pełnienie funkcji punktu kontaktowego dla organów ochrony danych w kwestiach związanych z przetwarzaniem.

To tyle i aż tyle.

To jak? Czy twoja firma potrzebuje IOD?