Outsourcing IOD - Jakie są zadania inspektora ochrony danych osobowych?
Outsourcing IOD stał się popularną usługą od momentu obowiązywania RODO. Powołanie Inspektora Ochrony Danych jest obowiązkowe dla wskazanych w RODO grup administratorów danych. IOD muszą wyznaczyć:
- organy lub podmioty publiczne z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości np. jednostki samorządu terytorialnego,
- administratorzy lub podmioty przetwarzające, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cel wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę np. banki, firmy ubezpieczeniowe, dostawcy telekomunikacyjni,
- administratorzy lub podmioty przetwarzające, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa np. podmioty medyczne
Najlepszym rozwiązaniem dla wymienionych wyżej podmiotów jest usługa Outsourcingu Inspektora Ochrony Danych (Outsourcing IOD). O zaletach Inspektora Ochrony Danych w ramach Outsourcingu IOD napisaliśmy w osobnym artykule.
Jakie są zadania Inspektora Ochrony Danych w ramach Outsourcingu IOD?
RODO w sposób ogólny opisuje zadania Inspektora Ochrony Danych. Zgodnie z art. 39 ust.1 oraz 38 ust. 4 RODO są to:
a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
Urząd Ochrony Danych Osobowych (UODO) trafnie zauważył, że aby Inspektor Ochrony Danych mógł kompetentnie edukować i doradzać innym musi być do tego nie tylko przygotowany merytorycznie, ale także musi bardzo dobrze znać obowiązki administratorów i podmiotów przetwarzających. Dlatego Inspektor Ochrony Danych w ramach Outsourcingu IOD dba o edukacje osób podejmujących działania i decyzje w zakresie ochrony danych osobowych.
b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
Inspektor Ochrony Danych w ramach Outsourcingu IOD analizuje oraz sprawdza zgodność przetwarzania, a także informuje, doradza i rekomenduje określone działania administratora lub podmiotu przetwarzającego.
c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35,
Inspektor Ochrony Danych w ramach Outsourcingu IOD przeprowadza konsultacje z administratorem danych w ramach dokonania oceny skutków dla ochrony danych
d) współpraca z organem nadzorczym, czyli z Urzędem Ochrony Danych Osobowych (PUODO),
e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach
Inspektor Ochrony Danych w ramach Outsourcingu IOD współpracuje z organem nadzorczym w kwestiach związanych z przetwarzaniem danych osobowych. Natomiast w ramach funkcji punktu kontaktowego należy traktować Inspektora Ochrony Danych, jako pośrednika pomiędzy administratorem lub podmiotem przetwarzającym, a organem nadzorczym.
Zadania Inspektora Ochrony Danych zostały przedstawione ogólnikowo. Warto jednak pamiętać, że firma EDUODO w ramach Outsourcingu IOD ma za zadanie również:
- reprezentować administratora podczas kontroli UODO,
- aktualizować dokumenty „na gotowo”, aby były one aktualne,
- informować o wszystkich zmianach w przepisach, przypominać o ważnych kwestiach, związanych z ochroną danych i nie tylko,
- troszczyć się o bezpieczeństwo administratora, a także zapobiegać naruszeniom bezpieczeństwa danych,
- rozpatrywać skargi osób fizycznych i nie tylko.